Nie takie RODO straszne JAK MU SIĘ PRZYJRZEĆ Z BLISKA

0
22

Myślisz: prowadzę jednoosobową firmę, nie realizuję żadnych działań reklamowych, nie wykonuję telefonów reklamowych ani nie zasypuję klientów informacjami handlowymi – RODO mnie nie dotyczy. Nic bardziej mylnego! RODO dotyczy każdego przedsiębiorcy, ponieważ w praktyce każdy aktywnie prowadzący firmę przetwarza dane osobowe. Co to dokładnie oznacza w praktyce i że nie takie straszne RODO, jak je malują, przekonamy Cię w krótkim poradniku.

Dlaczego dotyczy Ciebie?

RODO przypomniało europejskim przedsiębiorcom, że każdy z nich bez wyjątku przetwarza dane osobowe. Przetwarzanie to nie wysyłanie informacji handlowych czy reklamowych, lecz już samo zapisywanie, gromadzenie danych – np. pracowników w ramach dokumentacji księgowo-finansowej. Dokumentacja ta także jest zbiorem danych, a więc trzeba ją zabezpieczyć. Jeśli zatrudniasz pracowników lub masz współpracowników, na pewno przetwarzasz dane osobowe. Tak samo dotyczy to danych Twoich klientów.

Definicja danych osobowych

Zgodnie z  art. 4 ust. 1 RODO dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. O ile nie budzi wątpliwość definicja osoby zidentyfikowanej, o tyle ta możliwa do identyfikacji każe już się wysilić. Osoba możliwą do zidentyfikowania w świetle RODO jest osoba, którą można pośrednio zidentyfikować, zwłaszcza na podstawie takich identyfikatorów, jak:

– imię i nazwisko, numer identyfikacyjny (w systemach), PESEL, dane o lokalizacji, identyfikator internetowy

– jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, psychiczną, genetyczną, kulturową, ekonomiczną lub społeczną tożsamość osoby fizycznej.

Jednym słowem: za daną osobową należy uważać każdą informację, którą za pomocą ogólnie dostępnych środków jesteś w stanie powiązać z konkretną  osobą i dzięki temu ustalić jej tożsamość.

Przegląd i weryfikacja danych

Sprawdź, jakimi danymi dysponujesz w firmie, czy są to dane osobowe, finansowe, wrażliwe (należą do nich: informacje o stanie zdrowia, poglądach politycznych, orientacji seksualnej, dane biometryczne). Jeśli prowadzisz salon kosmetyczny, nie potrzebujesz adresów sowich klientów. Skasuj je. Jeśli handlujesz (sklep stacjonarny i internetowy) i jakimś cudem masz informacje o poglądach politycznych swoich klientów, skasuj je jak najszybciej. Sprawdź, skąd masz dane, po co Ci one są potrzebne oraz gdzie się znajdują (wydruki, skrzynki pocztowe, na ilu serwerach). Musisz mieć ogląd stanu faktycznego, by móc zadbać o zabezpieczenie danych (o tym dalej). Jeśli dane pozyskałeś bez wiedzy i zgody danej osoby, powinieneś zadbać o zgodę lub usunąć dane.

Minimalizacja danych

RODO wymaga od przedsiębiorców zbierania adekwatnych do prowadzonej działalności danych i stara się wymóc na przedsiębiorcach porządek w danych. Koniec ze zbieraniem jakichkolwiek danych w niewiadomych celach.

  • Zbieraj tylko te dane, których naprawdę potrzebujesz
  • Kasuj zbyteczne dane – systematycznie (ujmij to w swojej polityce bezpieczeństwa danych)

Od 25 maja musisz systematycznie czyścić zawartość swoich elektronicznych skrzynek, listy kontaktów, dysków czy rejestrów, by usuwać zbyteczne dane. Tworząc kwestionariusze, np. dla swoich pracowników, zastanów się, jakich danych naprawdę potrzebujesz, by spełnić wymogi prawne (np. do rozliczeń, obowiązku sprawozdawczego itp.)

Zgoda na przetwarzanie danych

RODO wymaga, by zgoda osoby fizycznej na przetwarzanie jej danych była: dobrowolna, jednoznaczna, konkretna, świadoma. Oznacza to w praktyce, że:

  • musisz sformułować jasne i czytelne – jak najkrótsze zgody na przetwarzanie danych w kontaktach ze swoimi klientami, np. przy formularzu na stronie WWW, w mailu, SMS-ie (gdy przyjmujesz zapytania telefonicznie, możesz odesłać SMS z krótkim pouczeniem o tym, że w celu przesłania oferty musisz przetworzyć dane osoby dzwoniącej), wszelkie rozmydlające przesłanie komunikaty są zabronione – nie ujdzie ci na sucho wprowadzanie klientów w błąd;
  • nie wolno ci domyślnie przyjmować, że jak ktoś skontaktował się z formularza z Twojej strony internetowej, to oczywistym jest, że masz jego mail czy telefon (bo musisz mu jakoś odpowiedzieć) – musisz mu to uświadomić, nim kliknie „wyślij”;
  • musisz poinformować o celu przetwarzania danych i zgodnie z nim postępować – gdy ktoś wysyła zapytanie o cenę, nie wolno ci w przyszłości wysyłać reklam z promocjami, jeśli nie masz odrębnej na to zgody;
  • nie wolno ci łączyć celów marketingowych z realizacja zapytania lub zamówienia – te dwie zgody muszą być wyszczególnione i zbierane rozłącznie. Właściciel danych osobowych (czyli każda osoba fizyczna) musi się od ciebie dowiedzieć, że: przetwarzasz jej dane, w jakim celu i musi się na to jasno i wyraźnie zgodzić. Pamiętaj o tym również w kontekście swojej strony internetowej i wyposaż ją w odpowiedni komunikat o tzw. ciasteczkach, prowadzenia statystyk lub innych działań w ramach strony WWW.

Ocena ryzyka

By wywiązać się z obowiązków spoczywających na tobie jako administratorze przetwarzanych danych, jesteś zobowiązany do oceny ryzyka. Choć brzmi to bardzo specjalistycznie, nie musisz wynajmować firmy czy prawnika, by to dobrze zrobić. Chodzi o to, byś rozsądnie przyjrzał się temu, co i w jakich sytuacjach może się stać z danymi, które przetwarzasz, i jak temu można zapobiec. Warto zrobić to na piśmie, by w razie wycieku / utraty danych móc podczas kontroli udowodnić, że zrobiłeś wszystko, by zabezpieczyć dane.

  • Wyodrębnij i nazwij środki zabezpieczające, które jesteś w stanie wdrożyć przy przetwarzaniu danych.
  • Stwórz skalę, np. od 1 do 10, gdzie 1 oznacza sytuacje, w których rejestr czy zbiór w ogóle nie przetwarza danych osobowych, albo przetwarza je anonimowo, a 10: gdy przetwarzasz wyłącznie dane osobowe wrażliwe w dużych ilościach. Każdej z pozycji na skali przyporządkowujemy określone zabezpieczenie – inaczej (czyli mniej) zabezpieczasz dane z początku skali, inaczej te z końca.

Kogo dotyczy RODO?

Wszystkich przedsiębiorców bez wyjątku, którzy przetwarzają dane osobowe. Oznacza to w praktyce każdego przedsiębiorcę działającego aktywnie: wystawiającego faktury,  zatrudniających pracowników lub tylko współpracowników. Nie ma znaczenia, czy firma działa w obszarze  B2C (business to consumer) czy tylko B2B (business to business), ponieważ za każdym razem współpracuje z konkretnymi osobami, których dane ma obowiązek chronić.

Pamiętaj: w świetle RODO administratorem danych jesteś ty, przedsiębiorco i na tobie spoczywa odpowiedzialność za dane.

Zabezpieczenie danych

A jak te dane zabezpieczać? RODO nie nakazuje konkretnych rozwiązań, ale wymaga zabezpieczenia adekwatnego do ryzyka oraz skali przetwarzania danych. Inne wiec wymogi musi spełniać koncern świadczący usługi internetowe, inne osoba prowadząca jednoosobową działalność, wystawiająca kilka faktur miesięcznie.

Na co zwrócić uwagę?

  • Zabezpieczenie urządzeń, na których znajdują się dane: komputery, telefony (czy i jakich zabezpieczeń wymagasz w firmie) – jak łatwo wydobyć dane z komputera (blokady ekranu, stopień skomplikowania danych, odpowiednie folie na laptopy uniemożliwiające czytanie zawartości ekranu pod kątem – gdy często używasz firmowego sprzętu w przestrzeni publicznej). Zabezpieczenie antywirusowe – firewalle, programy antywirusowe.
  • Umowy z osobami, którym powierzasz dane – jako administrator zatrudniasz w firmie osoby, które zapewne w jakimś stopniu mają dostęp do danych. Zadbaj o stosowne umowy i przeszkolenie tych osób.
  • Umowy o powierzeniu danych osobowych z podmiotami, którym przekazujesz dane, zwłaszcza:
    • firmy księgowo-kadrowe,
    • firmy hostingowe (gdy korzystasz z zewnętrznych serwerów, w tym poczty internetowej),
    • agencja reklamowa (gdy zlecasz prowadzenie kampanii reklamowej online, telefonicznie lub za pośrednictwem tradycyjnych przesyłek),
    • firmy kurierskie (wyłączona jest z tego jedynie Poczta Polska),
    • przychodnie lekarskie (np. prywatna opieka zdrowotna),
    • zasadniczo – wszystkie firmy, które otrzymują od Ciebie jakiekolwiek dane osobowe w jakiejkolwiek postaci.

Prawa osób, których dane przetwarzasz

Zgodnie z RODO każda osoba, która powierzyła Ci swoje dane ma prawo do:

  • wglądu do swoich danych i ich zmiany,
  • bycia zapomnianym – na jej życzenie musisz trwale usunąć wszystkie dane u siebie oraz – jeśli je przekazywałeś dalej – przekazania tego życzenia podmiotowi, który dysponuje tymi danymi (ta procedura wymaga od ciebie jako administratora prowadzenia rejestru danych ).

Ważne: nawet jeśli Twój klient żąda usunięcia jego danych, ale względem niego dochodzisz swoich praw (na przykład należności), nie musisz wywiązywać się z tego prawa. Na przykład: prowadzisz sklep internetowy. Wysłałeś zamówiony towar klientowi, ale klient za niego nie zapłacił i chce skorzystać z prawa do bycia zapomnianym. Administrator danych może jego dane nadal przetwarzać, ponieważ jest mu to niezbędne do dochodzenia swoich praw przed sądem.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here