72 godziny na zgłoszenie naruszenia

72 godziny na zgłoszenie naruszenia

72 godziny na zgłoszenie naruszenia

Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.

Czym jest naruszenie ochrony danych osobowych

Naruszenie bezpieczeństwa w RODO zdefiniowane jest w sposób następujący:

„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

RODO, artykuł 4 punkt 12

W motywie 75 preambuły znajdziemy ponadto przykłady, kiedy występuje ryzyko naruszenia ochrony danych osobowych. Są to między innymi sytuacje, które mogą prowadzić do:

  • uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych
  • dyskryminacji
  • kradzieży tożsamości lub oszustwem dotyczącym tożsamości
  • straty finansowej
  • naruszenia dobrego imienia
  • naruszenia poufności danych chronionych tajemnicą zawodową
  • nieuprawnionego odwrócenia pseudoanonimizacji
  • wszelkiej znacznej szkody gospodarczej lub społecznej

Jednocześnie naruszeniem ochrony danych osobowych występuje zawsze, jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności, lub wyroków skazujących i naruszeń prawa, lub związanych z tym środków bezpieczeństwa.

Bezpieczeństwo danych osobowych, czyli RODO w interesie Twojej firmy!

RODO nic nie mówi o tym, jak ma wyglądać bezpieczeństwo procesu przetwarzania. Znajdziemy w nim ogólne zasady, którym ma ono podlegać. Wymaga też od administratora analizy, jakie dane osobowe i w jakim celu są przetwarzane, czyli prowadzenia rejestru czynności przetwarzania. Musi on także dokonać analizy ryzyka konsekwencji, jakie mogą się wiązać dla osoby, która nam swoje dane powierzyła, gdy wystąpi naruszenie ochrony tych danych. Do administratora należy na tej podstawie zapewnienie odpowiednich zabezpieczeń, zarówno technicznych jak i proceduralnych. Podjęte środki bezpieczeństwa, w zależności od wielkości firmy, skali działalności, czy rodzaju przetwarzanych danych mogą się diametralnie między sobą różnić.

SECURITY

Czy wdrożenie tych bezpiecznych rozwiązań będzie kosztowne i czasochłonne, zależy od przeprowadzonej przez Ciebie analizy oraz podjętych decyzji. Z moich obserwacji wynika, że osoby prowadzące mikro i małe przedsiębiorstwa z gałęzi e-commerce, edukacji czy usług nie powinny mieć z tym większych problemów. Tak naprawdę wiele z technicznych mechanizmów ochrony powinno być przez Ciebie stosowanych od dawna także w życiu prywatnym.

Odnoszą się one do bezpiecznego korzystania z komputera, Internetu i poczty elektronicznej, przechowywania czy przesyłania plików. Zaleca się stosowanie odpowiedniego oprogramowania wykrywającego złośliwe pliki. Wszyscy powinniśmy stosować zasadę ograniczonego zaufania do tego, co mówią i za kogo podają się osoby do nas dzwoniące czy piszące. Wiele organizacji wydało swoje przewodniki po rekomendowanych najlepszych praktykach, które uwzględniają specyfikę pracy przedsiębiorstw z danej branży. Znajdziemy w nich też przykłady, czym może być naruszenie ochrony danych osobowych w procesach przetwarzania charakterystycznych dla branży.

Popraw bezpieczeństwo wszystkich informacji

Jeżeli w tym momencie widzisz tylko piętrzące się przed Tobą obowiązki i rosnące koszty, to mam dla Ciebie dwie dobre informacje. Po pierwsze wdrożenie technicznych zabezpieczeń czy nowych procedur nie musi być kosztowne. Większość znanych programów wspomagających prowadzenie firmy jest odpowiednio już przygotowana i nie musisz ich wymieniać. Także większość dostawców usług jest od początku gotowa ze swoimi produktami, by być w zgodzie z RODO. Jeżeli używasz usług Microsoft Office 365 czy Google G Suite to może nawet nie wiesz o wbudowanych w nich możliwościach ochrony i nadzoru.

Druga wiadomość jest dla Ciebie jeszcze lepsza. Jakiekolwiek zmiany nie wprowadzisz, to wszystko, co zrobisz, będzie chronić nie tylko przetwarzanie danych osobowych, ale wszystkie najcenniejsze informacje w Twojej firmie. Mogą to być przykładowo pliki z cennikami od producenta, którego Twoja firma jest dystrybutorem w Polsce, dokumenty serwisowe, plany handlowe czy marketingowe i inne. Zarówno te przechowywane w formie elektronicznej, jak i tradycyjnej. Dobrze wiesz, co jest dla Twojej firmy największym skarbem. Dlatego przestań patrzeć na RODO jak na zły obowiązek, a zacznij jak na szansę poprawy jej bezpieczeństwa.

Zgłoszenie naruszenia

Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym.

Ponadto, w sytuacji, gdy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie nie będzie konieczne, jeżeli wdrożysz odpowiednie techniczne i organizacyjne środki ochrony i będą one stosowane. Ponadto musisz wdrożyć środki eliminujące prawdopodobieństwo wysokiego ryzyka. Od informowania poszkodowanych możesz też odstąpić, gdyby wymagałoby ono niewspółmiernie dużego wysiłku. Pamiętaj jednak, że każda z tych sytuacji to subiektywna ocena Twoja jako administratora, oraz kontrolera z UODO, jeżeli będzie on przyglądał się sprawie. Dlatego warto wszystko przemyśleć na spokojnie, a nie pod wpływem stresu związanego z naruszeniem. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

ZEGARY

Napisz procedurę postępowania

Przykładowe postępowanie po wykryciu naruszenia może wyglądać następująco:

  1. Zebranie informacji o incydencie:
    • Co się stało, kiedy i gdzie?
    • Jak wykryto lub kto zgłosił naruszenie?
    • Jakie kategorie danych były przedmiotem incydentu?
    • Jaki jest zasięg incydentu, ilu jest potencjalnie poszkodowanych?
  2. Potwierdzenie wystąpienia incydentu przez drugiego pracownika, lub firmę zewnętrzną.
  3. Jakie środki ochrony danych osobowych wdrożono i czy były one rzeczywiście zastosowane.
  4. Analiza skali incydentu.
  5. Analiza, czy wystąpiło wysokie naruszenia praw lub wolności osób fizycznych.
  6. Odnotowanie incydentu w wewnętrznym rejestrze naruszeń.

Po przeprowadzonym postępowaniu należy podjąć decyzję co do poinformowania o incydencie UODO oraz osoby potencjalnie poszkodowane. Procedurę zgłaszania incydentu, jak i odpowiednie formularze, znajdziesz na stronie Urzędu. Ponadto w rejestrze naruszeń warto wpisać jakie przesłanki były brane pod uwagę przy podejmowaniu decyzji o zgłoszeniu incydentu lub zastosowaniu jednego z wyłączeń od tego obowiązku.

Przykłady naruszeń

Poniżej znajdziesz kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.

Zgubienie lub kradzież laptopa

Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.

  • Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
  • Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.

Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive

  • Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
  • Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.

Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników

  • Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
  • Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.

Niewłaściwie zaadresowana poczta elektroniczna

  • Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
  • Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne

Aktywne konta pracowników, którzy już nie są zatrudnieni

Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.

  • Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
  • Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu

Podanie danych przez telefon niezweryfikowanemu rozmówcy

Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.

  • Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
  • Zgłaszamy, w każdym innym przypadku.

Niepoprawne usunięcie danych z nośników elektronicznych

Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.

  • Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
  • Zgłaszamy w każdym innym przypadku.

Wyrzucenie dokumentów na śmietnik

O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.

  • Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
  • Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.

 

Polecany artykuł: 5 pytań o pierwsze kroki w świecie RODO

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Darmowa skrzynka e-mail a RODO

Darmowa skrzynka e-mail a RODO

Darmowa skrzynka e-mail a RODO

Praktycznie nie istnieją już chyba przedsiębiorstwa, które mogą obejść się bez poczty elektronicznej. Służy nam ona do kontaktu z klientami, partnerami handlowymi czy urzędami administracji publicznej. W samych listach znajdują się natomiast dane osobowe, które przetwarzamy poprzez odbieranie, przechowywanie, przesyłanie czy kasowanie wiadomości. Zatem usługa poczty elektronicznej musi być zgodna z RODO. Czy zatem darmowy e-mail możemy za taki uznać?

Darmowa skrzynka pocztowa e-mail, czyli kto za to płaci?

W biznesie nie ma nic za darmo. Nie inaczej jest z usługami darmowej poczty. Polskie firmy czy globalne koncerny przecież nie wydają swoich pieniędzy na zbudowanie i utrzymanie darmowej poczty bezinteresownie. Walutą, którą za taką usługę płacimy, jest prywatność – nasza i osób, z którymi korespondujemy. Dokonując analizy treści przesyłanych wiadomości e-mail, można bardzo wiele dowiedzieć się o danej osobie, o jej nawykach, upodobaniach, hobby, animozjach, kręgu znajomych itp. A wszystkie te dane firma oferująca darmowe skrzynki może potem sprzedać lub samodzielnie przetwarzać w celach marketingowych. Za naszą zgodą. Jej brak skutkowałby zakończeniem świadczenia „darmowej” usługi dla nas.

Aby profilować użytkowników darmowej poczty, operator musi zaglądać w jej treść. Oczywiście dzieje się to w sposób automatyczny bez udziału człowieka, niemniej naraża to przedsiębiorcę na odpowiedzialność z tytułu złamania RODO. Jeżeli skorzystamy z usługi darmowej poczty, to nie podpiszemy z jej operatorem umowy powierzenia. Pozwolimy także profilować naszych klientów, na co oni przecież mogą nie wyrażać zgody. Przyjrzyjmy się kilku najpopularniejszym w Polsce dostawcom usługi darmowej poczty elektronicznej.

Gmail

Niewątpliwie GMail jest jedną z najpopularniejszych platform darmowej poczty elektronicznej nie tylko w Polsce, ale na całym świecie. Jest jedną z usług całego ekosystemu darmowych usług, do korzystania z których Google zaleca, by być na stałe zalogowanym przy pomocy swojej tożsamości identyfikowanej przez konto GMail. Wraz z wejściem RODO przejrzystość dokumentów opisujących warunki użytkowania usług się znacznie poprawiła. Nie oznacza to jednak, że łatwo się połapać w zależnościach i przetwarzanych danych. Świadczą o tym nagłaśniane w mediach co jakiś czas potencjalne nadużycia ze strony Google, a także działania organizacji społecznych wymierzone przeciwko praktykom giganta.

W warunkach użytkowania usługi możemy napotkać następujący fragment: “Nasze automatyczne systemy analizują treść (w tym wiadomości e-mail) w celu oferowania spersonalizowanych funkcji usług, takich jak wyniki wyszukiwania, reklamy indywidualne i wykrywanie spamu oraz złośliwego oprogramowania. Tę analizę przeprowadzamy podczas wysyłania, odbierania oraz zapisywania treści.”

Warunki korzystania z usług Google (https://policies.google.com/terms?hl=pl)

Zapis ten w pewnym uproszczeniu oznacza, mówiąc potocznie, że automaty Google „czytają” pocztę”, gdy ją wysyłamy, odbieramy, a także przechowujemy w usłudze GMail. Jeżeli prowadzimy przedsiębiorstwo, oznacza to, że przekazujemy celem automatycznego przetwarzania dane osobowe, które nasi klienci czy kontrahenci przekazali nam w zupełnie innym celu. Nie można też powiedzieć, że te dane są poufne, skoro analizuje je automat. Google co prawda zapowiedziało wycofywanie się z takiego analizowania poczty, lecz zapisy takie nadal są w regulaminach.

Outlook.com, czyli dawny hotmail.com

Popularny Hotmail jest obecnie darmową usługą realizowaną w ramach Office365, czyli zestawu usług od Microsoft, w skład których wchodzi także darmowa poczta. Podobnie jak Google darmowa poczta wymaga od użytkownika zrzeczenia się części prywatności. Microsoft nie mówi wprost o skanowaniu poczty w celach marketingowych, natomiast nie ma usług za darmo. Pamiętajmy także, że konto może zostać powiązane z systemem Windows, na którym pracujesz, a cały ekosystem może zostać rozszerzony o wiele wtyczek i dodatków, to któreś z rozszerzeń może mieć pełen dostęp do Twojej poczty.

Jedną z takich wtyczek jest popularny Boomerang, który pozwala między innymi na opóźnienie wysłania poczty wysyłając ją za Ciebie w ustalonym momencie. Rozszerzenie takie nie zadziała jednak, jeżeli nie nadamy mu pełnego dostępu do naszej skrzynki pocztowej.

Pamiętajmy, że zarówno korzystając z konta od Googla jak i od Microsoft ustawienia prywatności mogą znajdować się w różnych miejscach. Choć trzeba docenić, że obie firmy starają się stan rzeczy uporządkować i wyjaśniać użytkownikom. Natomiast, jak już wcześniej wspomniałem, darmowa poczta nie jest tak na prawdę darmowa. Wielkie koncerny udostępniając nam usługę darmowej poczty nie oczekują pieniędzy, ale nie znaczy że za nią nie płacimy. Walutą jest prywatność – nasza, a także osób z którymi korespondujemy.

Interia

Polscy dostawcy działają w bardzo podobny sposób, choć informacje o metodach profilowania nie są tak bezpośrednie. Mając trochę wiedzy technicznej i znając sposoby, w jaki profilowanie zapisane w regulaminie usługi się odbywa, można wywnioskować stopień zagrożenia dla powierzonych nam danych. W regulaminie usługi darmowej poczty Interii znajdziemy następujący fragment:

W przypadku chęci skorzystania przez Użytkownika z opcji Konta Bezpłatnego Użytkownik przyjmuje do wiadomości, że korzystanie z Usługi bez opłat wymaga od Użytkownika wyrażenia zgód na przetwarzanie danych osobowych w sposób umożliwiający INTERIA.PL dokonywania operacji na danych osobowych Użytkownika w celu kierowania do Użytkownika spersonalizowanej reklamy. Powyższe operacje na danych osobowych dokonywane są przez INTERIA.PL z poszanowaniem praw Użytkownika, umożliwiają INTERIA.PL świadczenie usługi za darmo, gdyż dopasowanie reklam do preferencji użytkownika umożliwia INTERIA.PL zarabianie na reklamach.

REGULAMIN ŚWIADCZENIA USŁUG UDOSTĘPNIANIA KONT POCZTOWYCH PRZEZ GRUPA INTERIA.PL SPÓŁKA z o.o. Sp. k. (Cz VIII pkt. 9) (https://konto-pocztowe.interia.pl/agreements/item/50/file/10)

Zapis mówi enigmatycznie o „operacjach na danych osobowych” nie przekazując wprost na czym to polega, ani czyje dane są przetwarzane. Zatem można przyjąć, że każde, w tym dane nam powierzone w nagłówkach czy treści poczty e-mail. Na liście podmiotów, którym dane zaś mogą być udostępniano znajdziemy przede wszystkim firmy trudniące się marketingiem i profilowaniem pod kątem marketingu. Cel zatem wydaje się jasny.

O2

Regulamin i polityka serwisu O2 jest mało czytelna, jednak zakładając darmowe konto pocztowe musimy zaznaczyć następujące zgody

email darmowy
Darmowa skrzynka e-mail a RODO 4

 

Zgody marketingowe mówią o zbieraniu danych w celu reklamy w tym jej dopasowania, zatem do profilowania. Dodatkowo w polityce prywatności możemy przeczytać, że firma wykonuje „pomiary statystyczne (…) marketing (w tym analizowanie i profilowanie danych w celach marketingowych)” zarówno w odniesieniu do marketingu własnego jak i firm trzecich. Zatem należy założyć, że także jakiś automat czyta pocztę i zbiera dane.

Czy da się zgodnie z RODO prowadzić działalność gospodarczą korzystając z usług darmowej poczty?

Da się, nie jest to jednak proste. Akceptując regulamin takiej usługi nie podpisujemy umowy powierzenia danych osobowych z operatorem takiej poczty. Zatem ciężko wykazać, że wypełniony został obowiązek formalny. Można próbować na podstawie regulaminu czy polityki prywatności, bo umowę na koniec formalnie zawieramy, lecz jest to działanie, które UODO może w trakcie kontroli podważyć. Warto też zastanowić się nad taką darmową pocztą od strony wizerunku naszej firmy. Adres w domenie darmowych skrzynek e-mail takich jak @gmail.com, @wp.pl i podobne nie wyglądają profesjonalnie i mogą zniechęcić część klientów.

Najlepszym i niedrogim rozwiązaniem, jest płatna usługa pocztowa. Oferuje je bardzo wielu dostawców, często jest elementem składowym bardziej kompleksowego pakietu usług biurowych. Wybierając dostawcę, musisz zwrócić uwagę na to by podpisana została umowa powierzenia, tak aby przetwarzanie danych na serwerze usługodawcy miało poparcie w odpowiednich dokumentach. Przeanalizuj też dokładnie regulamin i politykę prywatności komercyjnej usługi, aby uzyskać pewność, że nie ma w niej uderzających w Twoje interesy zapisów. W razie wątpliwości zapytaj się o wykładnię Inspektora Danych Osobowych dostawcy lub swojego prawnika.

Warto też przyjrzeć się całemu pakietowi usług, nie tylko samej poczcie elektronicznej. Zarówno Google, jak i Microsoft oferują całe pakiety usługi i aplikacji dedykowane przedsiębiorcom. Odsprzedają je także polscy dostawcy, oferując do nich własne dodatkowe serwisy.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

NEWSLETTER zgodny z RODO

NEWSLETTER zgodny z RODO

NEWSLETTER zgodny z RODO

W tym artykule przyjrzymy się na powszechnemu mechanizmowi, który w skrócie można określić „wartość za e-mail”. Przedsiębiorca oferuje jakiś dokument czy innego rodzaju produkt za darmo w zamian za możliwość przetwarzania danych osobowych w celach marketingowych, które realizuje np. poprzez newsletter. Newsletter zgodny z RODO zrealizujemy min poprzez pobranie jasnej zgody czytelnika na jego otrzymywanie.

Obowiązek informacyjny

Obowiązek informacyjny opisany jest w artykułach 12, 13 i 14 RODO. Pierwszy z nich mówi wprost, że komunikacja musi być prowadzona w sposób jasny i zrozumiały dla odbiorcy.

„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15–22 i 34 w sprawie przetwarzania. (…)’

RODO, art 12, pkt. 1 (fragment)

Oznacza to, że w momencie podawania swoich danych osobowych osoba ta musi być już w sposób jasny poinformowana choćby w jakim celu te dane są zbierane, co się stanie, gdy wypełni formularz i wciśnie przycisk Wyślij. Takie informacje zazwyczaj zawarte są w polityce prywatności. Ponieważ jest to zazwyczaj dokument długi, zawierający bardzo dużo informacji, to w wielu przypadkach może być niewystarczającym.

Klauzule informacyjne znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.

Plik na zachętę w zamian za newsletter

RODO dopuszcza, że możesz zachęcać osobę odwiedzającą Twoją stronę, aby zostawiła swoje dane osobowe w celach marketingowych. Wszyscy tego doświadczamy – operatorzy telefonii komórkowej czy telewizji kablowej oferują kilka złotych upustu ceny abonamentu w zamian za wyrażenie takiej zgody. Zazwyczaj jest ona konieczna zarówno do promowania usług własnych operatora, jak i firm trzecich. Podobną sytuację stworzysz, gdy zaoferujesz darmowy dokument, zestaw dokumentów czy inny produkt w zamian za zapisanie się na newsletter.

Nie ma w tym nic złego, w końcu wszyscy jako przedsiębiorcy chcemy docierać do nowych potencjalnych klientów. Oto przykład z jednej z napotkanych stron takiej zachęty. Osoba, która kliknie podany odnośnik zostaje przeniesiona do formularza, na którym proszona jest o podanie swoich danych. Wypełnienie i wysłanie formularza kończą pierwszy proces rejestracji użytkownika w liście mailowej właściciela serwisu.

news23

Tylko czy osoba, która chciała pobrać e-booka, była świadoma tego, że musi dołączyć do newslettera?

Lepiej nie zakładaj, że ktoś wie jak to działa

Dla osób, które spędzają dużo czasu w sieci, lub wręcz ich biznes jest oparty o usługi czy produkty oferowane przez Internet, zapewne nie byłyby zaskoczone takim komunikatem po wypełnieniu formularza. Jako przedsiębiorca tworzący taką zachętę nie możesz jednak zakładać, że wiedzą o tym wszyscy, czy nawet większość osób, które będą chciały taki e-book pobrać. Pamiętaj, że większość wyłudzeń i innych przekrętów w Internecie bazuje na trzech słabościach – niewiedzy, zaufaniu i naiwności ofiary. Wielu czytelników Twojego portalu może w takiej sytuacji mieć do Ciebie pretensję, że nie dostali jasnej informacji, po co Tobie ich adres e-mail. Przecież oferowałeś e-booka, prawda?

Jak zatem interpretować informację umieszczoną pod przyciskiem „odbierz prezent”? Co można jej zarzucić? Na pewno lakoniczność i spore braki. Nie każdy użytkownik internetu wie czym jest SPAM i newsletter i potrafi powiązać to pojęcie z funkcjonalnością poczty elektronicznej. Zawsze gdy masz wątpliwości co do jasności zapisów na swojej stronie możesz przeprowadzić „test dziadków” – posadź swoich dziadków przed komputerem, poprowadź przez oferty Twoich materiałów, rejestracji i pobrania, a następnie spytaj, czy był on dla nich zrozumiały i czy rozumieją, co się teraz stanie. Ręczę Ci, że jeżeli zapytasz, czy wiedzą, że teraz będą otrzymywali od Ciebie e-maile z propozycjami Twoich usług, jest bardzo wysokie prawdopodobieństwo, że odpowiedź będzie negatywna.

Co mogę zrobić lepiej?

news3W tym konkretnym przykładzie poprawy wymaga drugi krok całego procesu, czyli moment zbierania danych osobowych w formularzu. Bardzo dobrze, że autor zaznaczył wymóg podania jedynie adresu poczty elektronicznej – żądanie podania także imienia prawdopodobnie zostałoby uznane za zbieranie danych nadmiarowych, nieadekwatnych względem celu przetwarzania. Imię nie jest niezbędne, aby do odbiorcy dotarł e-mail z newslettera.

Rozbudowana powinna zostać sekcja informacyjna. Należałoby dodać czytelny opis, że oferujemy prezent, w zamian za możliwość wysyłania newslettera i oferowania swoich usług. Dobrze też już w tym miejscu zaznaczyć, że osoba ta, może w każdym momencie się z listy wypisać. Ponadto powinien w opisie znaleźć się odnośnik to polityki prywatności, w której dokładnie zostanie opisane czym jest newsletter i przedstawimy cel, czas i zakres przetwarzanych w tym celu danych osobowych.

Umieszczenie w tym miejscu odnośnika jest szczególnie jeżeli nie znajduje się on w stopce strony lub odczytanie polityki wymagałoby przerwanie procesu rejestracji. Wielu świadomych czytelników, gdy przerwie podawanie swoich danych, by sprawdzić politykę prywatności może do procesu rejestracji już nie powrócić. Nie dlatego, że znajdzie w niej zapisy, które nie będą tej osobie pasować, lecz może uznać proces za skomplikowany i niewygodny.

Podpięcie odnośnika do polityki prywatności należy uznać za dobrą praktykę spełniania obowiązku informacyjnego. Pamiętaj tylko, aby odnośnik domyślnie otwierał się w nowym oknie lub zakładce.

Gdybym miała zmodyfikować informacje zawarte pod formularzem rejestracji do newslettera w drugim kroku zarekomendowałabym następującą formę:

„W zamian za pobranie mojego e-booka proszę Cię zapisz się do mojego newslettera podając swój adres e-mail. Nie wysyłam SPAM-u, moim celem jest dzielić się z Tobą wartościową wiedzą o tym, co znalazłem ciekawego w sieci oraz tym, co mam do zaoferowania. Jeżeli uznasz wysyłane informacje za nieprzydatne, to w każdej chwili możesz wypisać się z listy korzystając ze specjalnego odnośnika znajdującego się na końcu każdej wiadomości. Będę wysyłał Ci informacje tylko tak długo, jak będziesz chcieć je otrzymywać! Jeżeli chcesz dokładnie zapoznać się w jaki sposób będą przetwarzane powiązane z Tobą dane osobowe, w każdej chwili możesz wejść na stronę opisującą stosowaną przeze mnie politykę prywatności.”

Tak sformułowana informacja jest jasna dla czytelnika i jednoznacznie informuje co się stanie z jego adresem e-mail w zamian za przygotowany dokument oraz odsyła go do polityki prywatności po bardziej szczegółowe informacje. Nie pozostawia ona pola do niedomówień i każdy, kto ją przeczyta będzie świadomy zapisania się na newsletter

RODO nie mówi, w jaki sposób należy pewne rzeczy robić, mówi jedynie jaki stan należy uzyskać. Dlatego będę opisywała różne napotkane w Internecie sytuacje, które moim zdaniem wymagają poprawy. Na tej stronie znajdziesz nowe artykuły, ale także inne wydarzenia związane z RODO, które mogą mieć wpływ na to, w jaki sposób działa Twoja firma, a w szczególności o tym, jak usprawnić i zabezpieczyć jej codzienne funkcjonowanie.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

 

NEWSLETTER zgodny z RODO 7
Współadministrator – brzmi odpowiedzialnie

Współadministrator – brzmi odpowiedzialnie

Współadministrator – brzmi odpowiedzialnie

Jesteś prężnym przedsiębiorcą, prowadzisz już nie jedną, a kilka firm. Czasem te firmy działają w zupełnie innych branżach, realizują całkowicie inne zadania. Niejednokrotnie jednak Twoje firmy działają w tym samym sektorze, współpracują ze sobą, wzajemnie się dopełniają. Być może prowadzą one wspólne kampanie marketingowe czy obsługują tych samych Twoich klientów, a nie tylko świadczą sobie usługi nawzajem. Czy istnieje zatem sposób na to, by administrowanie danymi osobowymi było dla nich łatwiejsze? Tak! Jest nią współadministrator.

Jeden, czy wielu administratorów?

Administratorem danych osobowych jest firma lub czasem osoba prywatna, która decyduje o celach i sposobach przetwarzania pozyskanych danych osobowych. Administrator może podpisywać umowy powierzenia, zlecając wykonanie zadania związanego z przetwarzaniem innej spółce. Nie oznacza to jednak, że podwykonawca ma jakiekolwiek prawa do decydowania o celach i sposobach przetwarzania. Jego rolą jest jedynie wykonanie zadanej czynności. Zatem platforma, za pomocą której wysyłasz newsletter, nie może określić sobie nowego celu przetwarzania. Gdyby jej administrator tak postąpił to złamałby prawo wykorzystując powierzone mu dane osobowe niezgodnie z określonym przez administratora celem przetwarzania.

Jeżeli jednak pomiędzy dwoma lub więcej firmami zawierane są różne umowy współpracy, warto zastanowić się, czy nie lepiej by było one współadministratorami. Możliwość taką precyzuje artykuł 26 RODO. Przed takim pytanie staną na przykład przedsiębiorcy powołujący do życia konsorcjum, czy właściciele firm działających w ramach grupy kapitałowej. Każdy dowolny inny sposób powiązania ze sobą spółek może także skutkować chęcią powołania współadministratora. Jeżeli posiadają oni pewną wspólną grupę klientów czy kontrahentów mogą rozważyć, czy nie powinny one być współadministratorami danych osobowych.

Jeżeli prowadzisz sieć kawiarni, lecz każda z nich jest oddzielną spółką, to być może jest to dobre dla Ciebie rozwiązanie. Pozwoli ono zmniejszyć koszty i zoptymalizować zarządzanie danymi. Twoja firma szkoleniowa może dopełniać portfolio produktów Twojej firmy świadczącej usługi informatyczne. Jako współadministratorzy będą mogły razem prowadzić bardziej efektywne kampanie marketingowe wspólnie zarządzając listą kontaktów. Jeżeli wraz z zaprzyjaźnioną firmą organizujesz konkurs to także w takim przypadku oba podmioty mogą być współadministratorami. O ile realizują cel, jakim jest przeprowadzenie konkursu. Przykładów takiego współdziałania jest bardzo wiele.

Współadministrator – brzmi odpowiedzialnie?

Przede wszystkim współadministratorzy razem ustalają cele i sposoby przetwarzania. Oznacza to, że każda z firm ma prawo współdecydowania o tym, jak wygląda ochrona i przetwarzania danych osobowych. Dokładnie tak samo jak każda z nich ma prawo współdecydować o strategii marketingowej. Pamiętaj, że podstawą jest, aby cel był ten sam. Niezależnie od tego każdy współadministrator może być niezależnie administratorem danych osobowych w stosunku do innych celów przetwarzania.

Aby współadministrować danymi osobowymi spółki muszą zawrzeć umowę, w której będzie zapisany zakres współodpowiedzialności każdego ze współadministratorów. Umowa ta powinna też zawierać zapisy o sposobie realizacji praw osób, których dane są przetwarzane. Określić zatem trzeba która spółka i w jakim trybie realizować będzie prawo do informacji. Nie musi to być ta sama spółka w grupie, której systemy teleinformatyczne służą do samego przetwarzania danych. Ponadto warto by w umowie zawarte zostały jasne zapisy odnoszące się do wypełnienia obowiązku informacyjnego.

Firmy będące współadministraotrami muszą także stworzyć dokument, zawierający najważniejsze informacje dotyczące zawartej umowy. Na życzenie muszą udostępnić go osobom, których dane są przetwarzane.

W przypadku wystąpienia szkody współadministratorzy odpowiadają za nią solidarnie. Co nie oznacza, że każdy z podmiotów musi odpowiadać w takiej samej proporcji. Jeżeli jeden z nich jest odpowiedzialny za techniczną stronę procesu przetwarzania, i to przez jego błąd czy niedopatrzenia nastąpi naruszenie, to ten współadministrator powinien ponosić większą odpowiedzialność. Pozostali współadministratorzy mogą domagać się od niego pokrycia kosztów naprawienia szkody.

Współadministrator to bardzo wygodna instytucja i na pewno uprości wspólne korzystanie przez podmioty z baz. Korzystanie z tych informacji wspólnie jest w takim przypadku w pełni legalne, a formalności sprowadzają się do podpisania odpowiedniej umowy. Wspólne realizowanie celów, choćby marketingowych, pozwoli także obniżyć koszty prowadzenia działalności każdego ze współadministratorów.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Double opt-in przy zbieraniu zgód

Chroń dane podwykonawcy

Chroń dane podwykonawcy

Chroń dane podwykonawcy

Jest niewielu przedsiębiorców, którzy są w stanie prowadzić swój biznes bez korzystania z usług firm trzecich. To twój podwykonawca świadczy ci np. usługi księgowe, informatyczne, dostarcza aplikację do wysyłania newslettera. W wielu sytuacjach będziesz powierzał im wykonanie na Twoją rzecz czynności, które będą wiązały się z przetwarzaniem danych osobowych. Będą to dane osobowe, które zostały powierzone Tobie, zatem ty jesteś ich administratorem. Jako administrator masz obowiązek poinformować osoby, których dane przetwarzasz o sposobach ich przetwarzania. Czy zatem musisz w polityce prywatności umieszczać dane podwykonawcy?

Podmiot przetwarzający

Z sytuacją, w której powierzasz firmie trzeciej przetwarzanie danych osobowych na twoją rzecz spotykasz się często. Choćby w przypadku, gdy Twoją księgowość prowadzi zewnętrzna firma. To Twój podwykonawca jego pracownicy mają dostęp do danych osobowych zapisanych na fakturach. Jestem przekonana, że nie administrujesz samodzielnie serwerem, na którym trzymasz stronę swojej firmy czy bloga. Samodzielnie nie realizujesz też usług poczty elektronicznej oraz newslettera. W każdym z tych przypadków, korzystając z usług zewnętrznych dostawców, powierzasz im przetwarzanie danych osobowych Twoich klientów w określonym jasno celu. A komunikacja przez Facebook Messenger? Rozmawiasz w ten sposób z klientami przecież czy współpracownikami. Jestem pewien, że nie jesteś właścicielem Facebooka ;),

W każdej z tych sytuacji powinieneś podpisać umowę powierzenia przetwarzania danych osobowych jasno precyzującą zakres powierzonych danych, czynności, jak i odpowiedzialności każdej ze stron. O ile z Facebookiem ciężko będzie Ci taką umowę zawrzeć, to w każdej z pozostałych sytuacji będzie to prostsze. Może być to oddzielny dokument, część umowy lub element akceptowanego przez Ciebie regulaminu. Taka firma, w myśl RODO, to nie podwykonawca a podmiot przetwarzający. Czy o każdym z takich podmiotów musisz informować w polityce prywatności?

Chroń dane swoich podwykonawców

Co do zasady musisz poinformować osobę, która powierza Ci swoje dane osobowe o celu przetwarzania, retencji czy osobie administratora tych danych. Czytelnik Twojego bloga, uczestnik kursu, a nawet subskrybent newslettera, musi wiedzieć, po co potrzebujesz jego dane, jaki jest ich zakres oraz w jakim celu będziesz je wykorzystywał. Natomiast sposób realizacji wskazanej czynności jest jedynie elementem Twojego warsztatu pracy. To ty jako administrator odpowiadasz za bezpieczeństwo procesu przetwarzania, w tym także za dobór odpowiednich podwykonawców gwarantujących poprawne wykonanie wskazanych czynności. Twój podwykonawca również musi gwarantować bezpieczeństwo tych danych. W większości przypadków jednak, dopóki Twój klient wprost nie zapyta nie musisz informować go dokładnie z usług, jakich podmiotów przetwarzających korzystasz.

Upublicznienie listy Twoich podwykonawców w polityce prywatności generuje dla Ciebie problemy. Po pierwsze odsłaniasz swój warsztat pracy. Pokazujesz dokładnie, w jaki sposób prowadzisz swoją firmę. Być może masz niezwykle utalentowanego informatyka, twórcę sklepu internetowego czy księgowego i nie chcesz zdradzać tego konkurencji. Jeżeli twoja firma będzie rosnąć, to prawdopodobnie lista podwykonawców zacznie się wydłużać. Będziesz zatem poświęcać czas na ciągłe aktualizowanie polityki prywatności. A jeżeli zdecydujesz się o każdej takiej aktualizacji informować osoby zapisane na Twój newsletter, to jestem pewien, że szybko oni zaczną się z niego wypisywać.

Marketing a ochrona danych osobowych

Jeżeli masz wątpliwości jak postępować to popatrz w jaki sposób do problemu podchodzą większe, publicznie znane firmy. Jeżeli zajrzysz do polityki prywatności dużego portalu jak Onet albo sklepu internetowego Zalando, nie znajdziesz tam dokładnych informacji. Nie ma tam słowa o podmiotach przetwarzających dane osobowe celem wykonania choćby dostawy towaru. Znajdziesz za to jasną informację, że Twoje dane są przekazywane firmom realizującym usługi kurierskie. Podwykonawca otrzyma dane osobowe Twojego klienta, aby dostarczyć zamówiony produkt. Takie podejście jest jasne dla konsumenta i wygodne dla administratora. W razie potrzeby Kowalski może zadać odpowiednie pytanie.

Jest jednak grupa firm, które są wymienione w polityce prywatności z nazwy. Często używa się pod ich adresem enigmatycznego skrótu „zaufani partnerzy”. Jest to nazwa tylko i wyłącznie marketingowa niemająca nic wspólnego z definicjami zapisanymi w RODO. Wszystkie te firmy mają jeden wspólny mianownik – przetwarzają Twoje dane osobowe w celach marketingowych, aby dokonać profilowania Ciebie jako klienta, sprzedać lub zareklamować Ci jakiś dopasowany do Ciebie produkt. Dokonują zatem, oby za Twoją zgodą, ingerencji w Twoją strefę prywatności. Taka firma już nie do końca Twój podwykonawca, gdyż niejednokrotnie sama te dane na swój użytek będzie wykorzystywać.

infozglowa

 

Co wpisać w polityce prywatności

Umieszczenie odpowiednich informacji w polityce prywatności musi być odpowiednio wyważone. Z jednej strony musisz spełniać wymogi informacyjne, które narzuca na Ciebie RODO, z drugiej zaś nie jest wskazane odsłanianie swojego warsztatu pracy czy dodawanie sobie niepotrzebnej pracy. Jeżeli chcesz postępować tak jak ja, kieruj się następującymi zasadami:

  • Informuj o celach przetwarzania (wymóg RODO). Poinformuj, że do realizacji danego celu korzystasz z usług podwykonawców, którym powierzasz przetwarzanie całości lub części powierzonych Ci danych.
  • Przekazuj podwykonawcom tylko niezbędne dane do wykonania danej czynności
  • Wymieniaj współadministratorów danych osobowych. Jednym z nich w wielu czynnościach będzie Facebook.
  • Zawsze wymieniaj z nazwy firmy, którym powierzasz realizację zadań związanych z profilowaniem i marketingiem. Pilnuj, czy przypadkiem nie jesteś współadministratorem, gdy firmy te pozyskane dane będą wykorzystywały także na swój użytek.
  • Wymień firmy, za których pośrednictwem prowadzisz analitykę ruchu na swojej stronie WWW oraz wyświetlasz reklamy.

Pamiętaj także, by zawsze szczerze odpowiadać na pytania osób, które powierzyły Ci swoje dane osobowe. Nie warto ukrywać faktów, a już na pewno nie warto kłamać. Skorzystaj z gotowego wzoru Polityki prywatności.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

 

5 mitów o RODO

5 mitów o RODO

5 mitów o RODO

Prowadzisz lub może zamierzasz prowadzić swoją własną jednoosobową działalność gospodarczą lub spółkę prawa handlowego? A może świadczysz tylko usługi na podstawie umowy-zlecenia czy umowy o dzieło? Zatem na pewno wiesz, że ciąży na Tobie nowy obowiązek zwany powszechnie „RODO”. Jednak, aby zweryfikować informacje na temat ochrony danych osobowych i racjonalnie ocenić sytuację koniecznie i poznać wymogi RODO dla małych firm zapoznaj sie z artykułem „5 mitów o RODO”. 

Zaraz, moment… czy aby na pewno nowy?

Wydawać by się mogło, że po kilku latach szum komunikacyjny powinien być już jasnym przekazem a popłoch przedsiębiorców opanowany, tymczasem nadal wiele osób boi się zagadnień związanych z danymi osobowymi, powierza ich obsługę zewnętrznym firmom czy kancelariom prawnym, lub po prostu ignoruje temat, uważając, że ich on nie dotyczy. Nie da się zacząć pisać o sposobach na wdrożenie RODO w firmie bez rozprawienia się z kilkoma mitami. Oto te moim zdaniem najważniejsze.

Mit pierwszy — RODO to kosztowna rewolucja

Ochrona danych osobowych nie jest czymś nowym. Przecież do 25 maja 2018 roku, kiedy to zaczęto stosować bezpośrednio zapisy ogólnego rozporządzenia o ochronie danych osobowych (tak zwyczajowo nazywa się interesujący Cię akt prawny Unii Europejskiej, potocznie też zwany RODO lub GDPR) nie istniała luka prawna – dane osobowe przez cały czas podlegały ochronie. W Polsce obowiązywała Ustawa o Ochronie Danych Osobowych z 1997 roku, regulacje sektorowe zawarte choćby w prawie telekomunikacyjnym czy aktach regulujących handel elektroniczny. Regulacje we wszystkich państwach europejskich były implementacją Dyrektywy Parlamentu Europejskiego kryjącej się pod numerem 95/46/EC.

Zatem skąd ten cały hałas, że RODO wywraca do góry nogami prowadzenie firmy? Nastąpiła spora zmiana prawna dająca obywatelom lepsze narzędzia ochrony ich danych osobowych. Prawa przysłowiowego Kowalskiego są spójne na obszarze całej Unii Europejskiej, tak samo obowiązki samych przedsiębiorców, organizacji pozarządowych czy organów administracji państwowej. Czy dla przedsiębiorcy nastąpiła rewolucja? Z prawnego punktu widzenia nie! Rewolucja nastąpiła w głowach i świadomości konsumentów, dzięki czemu nowe regulacje nie są martwe jak wiele paragrafów Ustawy z 1997 roku.

Pierwszy rok pokazał, że obywatele Unii Europejskiej chętnie korzystają ze swoich uprawnień, a organizacje pozarządowe aktywnie wykorzystują dane im narzędzia. Szum medialny sprawił też, że są oni bardziej świadomi swoich praw. A przedsiębiorcy? Jeżeli dotychczas ignorowali zarówno stare, jak i nowe regulacje prawne to dostosowanie firmy do wymagań RODO może być rewolucją, a zmiany kosztowne.

Jeszcze bardziej po kieszeni boleć będzie zaniechanie.

Mit drugi — RODO przeszkadza w prowadzeniu biznesu

RODO jest jedną z regulacji prawnych, do których przedsiębiorcy muszą się stosować. Jedną spośród wielu. Jeżeli potrafisz dostosować swój biznes do wymogów Prawa Pracy, do Ustawy o Podatku Dochodowym od Osób Prawnych, skomplikowanej Ustawy o Podatku od Towaru i Usług, czyli popularnie zwanej ustawy VAT-owskiej, to dlaczego o wiele prostsze RODO miałoby być dla Ciebie problemem? A gdybym Ci powiedział, że wdrożenie RODO pomoże usprawnić działanie Twojej firmy?

rodo1

Ochrona danych osobowych dotyczy każdego przedsiębiorcy. Takie same obowiązki ma prowadzący osiedlowy sklep z warzywami, jak i agencja marketingowa czy software house. Zmienia się jedynie to jakie dane podlegają przetwarzaniu (ochronie) oraz narzędzia, które będą do tego wykorzystywane.

W warzywniaku będą to zarówno dane dostawców, jak i chowany w szufladzie zeszyt z indywidualnymi zamówieniami klientów wraz z danymi kontaktowymi. Jeżeli prowadzisz biznes, którego elementy a może i całość oparte są o platformy internetowe to także przetwarzasz dane swoich klientów, lecz zapewne w strukturyzowanej formie bazy danych lub arkusza kalkulacyjnego.

W obu przypadkach, aby chronić te dane przedsiębiorca musi między innymi uzyskać zgodę na przetwarzanie danych, zabezpieczyć przetwarzane dane, stworzyć jasne zasady obiegu i przeszkolić pracowników. Teraz, proszę, spójrz na swoją firmę w szerszym aspekcie. Na pewno znajdziesz bez trudu kilka innych grup danych, które wymagają podobnej ochrony. Na przykład dane finansowe spółki, których upublicznienia nie chcesz, lub wręcz nie możesz udostępniać osobom nieuprawnionym.

Może największą wartością dla Twojej firmy stanowi dokumentacja skomplikowanego sprzętu, którego serwisowaniem się zajmujesz i zrobisz wszystko, by tylko uprawnione osoby miały do niej dostęp i tylko we wskazanym czasie. A może jest to kod aplikacji, którą tworzą zatrudnieni programiści czy konspekt oraz slajdy prezentacji, którą za kilka dni wygłosisz komercyjnie? Standardy służące usystematyzowaniu, zabezpieczeniu i monitorowaniu przetwarzania danych osobowych, zarówno od strony procedur, jak i wdrożenia odpowiednich rozwiązań teleinformatycznych, pomogą Ci chronić wszystkie cenne zbiory danych niezbędne do działania i rozwijania Twojej firmy.

Mit trzeci — „zrobię” to RODO i mam spokój (na zawsze)

Ochrona danych osobowych jest procesem, trwać będzie nieustannie tak długo, jak działa prowadzona przez nas firma, a nawet dłużej! Będzie się on zmieniał wraz z tym, jak zmieniać będzie się rozwijać się Twoje przedsiębiorstwo.

Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo

Istotą RODO jest ochrona danych osobowych. Za każdym razem, gdy następuje zmiana w strukturze Twojej firmy, składzie osobowym, formach sprzedaży, marketingu, pozyskiwania danych itp. trzeba przyjrzeć się czy dokumentacja, procesy, jak i wiedza pracowników nie wymagają aktualizacji czy dodatkowej analizy ryzyka. RODO będziesz zajmował się cały czas, lecz dzięki odpowiedniemu podejściu i narzędziom nie będzie to dla Ciebie uciążliwość. Pamiętaj, że za wszelkie uchybienia odpowiadasz Ty jako właściciel.

Mit czwarty — aby spełniać wymogi RODO potrzebuję zatrudnić prawnika

Gdyby była to prawda to w całej Unii Europejskiej rzeczywistość prawnicza wyglądałaby tak:

  • Większość prawników zajmowałoby się RODO bo każda firma przecież musi skorzystać z usług prawnych by spełnić wymogi RODO – czysty zysk!
  • Niewielu prawników zajmowałoby się sprawami patentowymi, cywilnymi, rodzinno-opiekuńczymi bo wszyscy siedzieliby z nosem w RODO – problemy społeczne gwarantowane.

Dobrze wiesz, że tak się nie stało. Prawnicy zajmują się RODO, ale zajmują się też wszystkimi innymi aspektami prawa w biznesie i życiu prywatnym, gdzie ich pomoc jest niezbędna. A przedsiębiorcy są w stanie podołać spełnieniu wymogów prawnych związanych z ochroną danych osobowych.

Mali przedsiębiorcy muszą być trochę omnibusami – znać się na kodeksie cywilnym, znać się na prawie pracy, księgowości, informatyce, zarządzaniu, marketingu.. uff… lista może być długa. Muszą też znać się na RODO, nawet jeżeli nie są prawnikami. Na szczęście są w stanie sobie poradzić sami lub z niewielką pomocą prawną i informatyczną. Są jednak specyficzne obszary, w których pomoc prawnika jest przydatna, czasem niezbędna, na przykład w sytuacji, gdy przetwarzamy dane osobowe objęte szczególną ochroną (na przykład dane medyczne).

Większość przedsiębiorców jest w stanie sama spełnić obowiązki wynikające z RODO. Lecz nawet korzystając z usług prawnika wdrożyć odpowiednie zalecenia i wypełniać zobowiązania będą musieli samodzielnie.

Mit piąty — kupię „gotowca” i mam spokój

Z punktu widzenia konsumenta wydawać by się mogło, że RODO to przede wszystkim rozbudowane polityki prywatności i masa checkbox-ów ze zgodami przy każdym formularzu. Tak naprawdę to tylko wierzchołek góry lodowej. Ważny jest sposób, w jaki zasady przetwarzania wynikające z RODO zostaną wdrożone w przedsiębiorstwie. To nie regulaminy a ocena ryzyka i wdrożenie odpowiednich procedur czy mechanizmów bezpieczeństwa jest wypełnieniem RODO. Identyfikacja jakie dane są przetwarzane, w jakim celu oraz oszacowanie ryzyka dostępu do nich osób niepowołanych są pierwszymi krokami, które każdy przedsiębiorca musi zrobić, aby działać zgodnie z prawem.

Często właściciele firm wykonując tą pracę są zdziwieni, ile danych o osobach prywatnych zbierają czy na jak wielu urządzeniach trzymają ich kopię. Taka świadomość to dobry punkt wyjścia do przemyślenia, czy wszystkie te dane są potrzebne do zrealizowania zamówienia albo usługi oraz ograniczenia zbieranych danych czy ustalenia czasu, przez które te dane będą przetwarzane. Dopiero mając taką wiedzę możemy umieścić w regulaminach czy polityce prywatności odpowiednie zapisy spełniając obowiązek informacyjny. Ułatwi to też za projektowanie procesu realizacji żądań klienta na przykład dotyczących udostępnienia kopii przetwarzanych danych osobowych.

Polityka prywatności, choćby najlepiej napisana, jeżeli nie jest zaimplementowana w procesach biznesowych i systemach informatycznych firmy jest tylko zbiorem słów i nie uchroni Cię od kar w przypadku stwierdzenia naruszeń i wycieku danych. I zabierze Ci dużo czasu i nerwów gdy pojawi się konsument znający swoje prawa i z nich korzystający.

Co robić? Jak żyć?

Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.

 

Tu mnie znajdziesz:

moje konto Dołącz do mnie na Facebooku

zamówienie Nie omieszkaj wbić się na instagram

YT A tu obejrzysz porady wideo