Jak wdrożyć wewnętrzną politykę ochrony danych bez zatrudniania prawnika? Praktyczny przewodnik dla

1. Zacznij od mapy danych – czyli co, gdzie, dlaczego i jak długo

Zanim napiszesz politykę, musisz wiedzieć, jakie dane przetwarzasz. Wypisz:

• dane osobowe, które zbierasz (np. imię, PESEL, dane kredytowe),
• cele przetwarzania (np. ocena zdolności kredytowej, kontakt z klientem),
• sposób przechowywania (komputer, chmura, papier),
• czas przechowywania (np. 5 lat zgodnie z AML),
• podstawę prawną przetwarzania (RODO, AML, ustawa o kredycie hipotecznym).

Porada: Stwórz prostą tabelę – będzie punktem wyjścia do polityki.

2. Stwórz dokument polityki – nawet prosty szablon wystarczy

Dokument polityki powinien zawierać:

• opis kategorii danych i celów przetwarzania,
• procedury bezpieczeństwa (hasła, kopie zapasowe, szyfrowanie),
• zasady udzielania dostępu do danych (np. tylko właściciel firmy),
• sposób realizacji praw osób, których dane dotyczą (np. formularz kontaktowy),
• plan działania w razie naruszenia (np. zgłoszenie do UODO w 72h),
• datę utworzenia i nazwisko osoby odpowiedzialnej.

Porada: W internecie znajdziesz gotowe wzory – np. na stronie UODO lub w ramach projektów dla MŚP.

3. Stwórz procedurę obsługi żądań RODO – np. prawa dostępu lub bycia zapomnianym

Nawet jeśli klient nigdy nie skorzysta z tych praw, musisz mieć gotową procedurę:

• gdzie kierować wniosek (adres mailowy? formularz?),
• ile masz czasu na odpowiedź (do 30 dni),
• jakie dane należy potwierdzić (czy klient to rzeczywiście osoba, której dane dotyczą?),
• jak dokumentować odpowiedzi (wydruk, kopia maila).

Porada: Przygotuj prosty wzór pisma do klienta – pomoże przy kontroli.

4. Nie zapomnij o rejestrze czynności przetwarzania (RODO, art. 30)

Pośrednicy nie zawsze wiedzą, że muszą prowadzić tzw. RCPD – Rejestr Czynności Przetwarzania Danych. To obowiązkowy dokument, który możesz przygotować samodzielnie – w formie tabeli Excela lub Worda.

Rejestr powinien zawierać:

• kto przetwarza dane (Ty jako administrator),
• jakie dane, w jakim celu,
• komu dane są udostępniane,
• ile czasu je przechowujesz,
• jak są zabezpieczone.

Porada: UODO udostępnia darmowe szablony RCPD w PDF i Excelu.

5. Przeszkol siebie (i współpracowników)

Nawet jeśli jesteś jednoosobową firmą, warto udokumentować, że znasz zasady przetwarzania danych i że zapoznałeś się z polityką. Przy kontroli UODO to istotny dowód rzetelności.

Porada: Wydrukuj politykę, podpisz i nadaj numer wersji. Jeśli zatrudniasz osobę pomocniczą – dołącz dokument zapoznania się z procedurą.

Podstawy prawne

• RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, w szczególności:
• art. 24 – obowiązek wdrożenia odpowiednich środków organizacyjnych,
• art. 30 – prowadzenie rejestru czynności,
• art. 32 – zabezpieczenie danych osobowych
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
• Strona UODO – przykładowe wzory dokumentów dla mikroprzedsiębiorców
• https://uodo.gov.pl/pl/404/2240

Podsumowanie

Wdrożenie wewnętrznej polityki ochrony danych nie musi kosztować ani złotówki. Wystarczy trochę czasu, świadomość przepisów i korzystanie z gotowych narzędzi. Dobrze przygotowany dokument to nie tylko spełnienie obowiązku, ale także dowód Twojej rzetelności i profesjonalizmu – a to liczy się zarówno w oczach klientów, jak i podczas kontroli UODO.