utworzone przez Anna Zamojcin | kwi 20, 2023
5 kroków do stworzenia skutecznej Polityki Prywatności na Twojej stronie
Polityka prywatności to dokument, który powinien znaleźć się na stronie każdego e-sklepu lub strony internetowej, która zbiera i przetwarza dane osobowe użytkowników. Głównym celem polityki prywatności jest ochrona prywatności danych osobowych klientów, dostarczenie informacji na temat sposobu i zakresu przetwarzania danych i zapewnienie im bezpieczeństwa podczas korzystania z witryny. Polityka prywatności jest bardzo ważnym dokumentem, który wprowadza klientów w zasady przetwarzania ich danych osobowych. Jest to także ważny element budowania zaufania i wiarygodności e-sklepu lub strony internetowej w oczach klientów.
Krok 1. Czy musisz posiadać na swojej stronie politykę prywatności?
W związku z ogólnym rozporządzeniem o ochronie danych (RODO), każdy podmiot przetwarzający dane osobowe jest zobowiązany do posiadania polityki prywatności. Oznacza to, że zarówno firmy, jak i osoby fizyczne, które zbierają i przetwarzają dane osobowe muszą posiadać politykę prywatności, niezależnie od ich wielkości i branży. Przykładami takich podmiotów mogą być sklepy internetowe, serwisy społecznościowe, agencje reklamowe, firmy szkoleniowe, blogerzy czy kancelarie prawne.
Krok 2. Zdecyduj, czy stworzysz politykę prywatności samodzielnie czy ją kupisz
Politykę prywatności można stworzyć samodzielnie, korzystając z dostępnych w internecie wzorów i poradników, bądź skorzystać z usług specjalistów w zakresie ochrony danych osobowych, którzy zajmują się tworzeniem dedykowanych polityk prywatności. Istnieją także narzędzia online, które umożliwiają automatyczne generowanie polityki prywatności na podstawie udzielonych odpowiedzi na określone pytania. W każdym przypadku ważne jest jednak dokładne przemyślenie i dopasowanie treści polityki do konkretnych potrzeb i działalności firmy.
Krok 3. Ustal co powinna zawierać polityka prywatności
Nie ma jednej uniwersalnej polityki prywatności, gdyż każda strona posiada inne moduły i budowę. Przede wszystkim spisz wszystkie elementy na Twojej stronie www które zbierają informacje o użytkownikach witryny. To jest punkt wyjściowy do treści Twojej polityki. W polityce prywatności powinny być zawarte informacje dotyczące celu i sposobu przetwarzania danych osobowych, a także informacje o prawach klientów w odniesieniu do ich danych osobowych. Polityka prywatności powinna być jasna i zrozumiała dla użytkowników, nie może pozostawiać wątpliwości co do sposobu przetwarzania danych.
Przykłady informacji, które powinny znaleźć się w polityce prywatności, to m.in.:
- Informacje o administratorze danych – to osoba lub firma, która odpowiada za przetwarzanie danych osobowych użytkowników, tu znajda się Twoje dane jako właściciela witryny.
- Cele przetwarzania danych osobowych – należy określić, w jaki sposób i w jakim celu będą przetwarzane dane osobowe użytkowników np. celem będzie dostarczanie treści marketingowych poprzez newsletter, odpowiedz na wiadomość przesłaną w formularzu kontaktowym, czy realizacja zamówienia.
- Rodzaje przetwarzanych danych – polityka prywatności powinna zawierać informacje o rodzajach danych osobowych, które są zbierane i przetwarzane przez e-sklep lub stronę internetową.
- Sposób przetwarzania danych – powinno się określić, w jaki sposób będą przetwarzane dane osobowe, np. czy będą przetwarzane automatycznie czy też ręcznie.
- Czas przechowywania danych – polityka prywatności powinna zawierać informacje o okresie przechowywania danych osobowych.
- Prawa użytkowników – polityka prywatności powinna informować użytkowników o ich prawach związanych z przetwarzaniem ich danych osobowych, np. prawie do dostępu do swoich danych, ich poprawiania, usunięcia, przenoszenia, czy sprzeciwu wobec przetwarzania danych.
- Polityka cookies – w polityce prywatności należy również zawrzeć informacje dotyczące cookies i innych podobnych technologii, które są wykorzystywane na stronie.
Krok 4. Zdecyduj gdzie umieścić politykę prywatności
Polityka prywatności powinna być umieszczona w widocznym i łatwo dostępnym miejscu na stronie internetowej. Zwykle umieszcza się ją w stopce strony lub w menu nawigacyjnym. Linki do tego dokumentu powinny znaleźć się też w skróconych klauzulach informacyjnych przy formularzach, które zbierają dane osobowe użytkowników czy klientów sklepu np. przy formularzu kontaktowych, przy zapisie na newsletter czy podczas założenia konta użytkownika. Ważne jest, aby użytkownicy mogli łatwo odnaleźć i zapoznać się z nią przed korzystaniem z serwisu.
Krok 5. Aktualizuj politykę prywatności
Politykę prywatności należy aktualizować regularnie, szczególnie w przypadku gdy:
- Wprowadzane są zmiany w przepisach dotyczących ochrony danych osobowych
- Zmienia się zakres przetwarzania danych osobowych np. doszedł kolejny moduł przetwarzający dane osobowe np. moduł komentarzy
- Wdrażane są nowe technologie lub narzędzia na stronie, które mają wpływ na przetwarzanie danych osobowych
- Pojawiają się nowe zagrożenia dla bezpieczeństwa danych osobowych
- W przypadku zmiany celów przetwarzania danych osobowych lub sposobu ich przetwarzania
- W przypadku fuzji, przejęć lub innych zmian w strukturze organizacji, które wpływają na przetwarzanie danych osobowych
- Klientom lub użytkownikom są udostępniane nowe usługi lub produkty, co wymaga wprowadzenia zmian w polityce prywatności.
Podsumowanie
Polityka prywatności to dokument, którego celem jest chronienie prywatności danych osobowych klientów oraz dostarczanie im informacji na temat sposobu i zakresu przetwarzania danych. Posiadanie polityki prywatności jest obowiązkowe dla każdego podmiotu przetwarzającego dane osobowe, bez względu na wielkość i branżę. Dlatego warto zwrócić uwagę na to, jak stworzyć właściwą politykę prywatności, tak aby spełniała wymogi RODO i dostarczała klientom klarownych informacji na temat przetwarzania ich danych. Dzięki temu można zbudować zaufanie klientów do swojego e-sklepu lub strony internetowej oraz zapewnić im bezpieczeństwo podczas korzystania z witryny.
Jeśli szukasz gotowych dokumentów stworzonych przez ekspertów, które pomogą Ci w prowadzeniu biznesu, to koniecznie zajrzyj na stronę sklepu Rodozgodny.pl! Znajdziesz tam szeroki wybór gotowych dokumentów, takich jak polityka prywatności czy regulaminy, które są przygotowane zgodnie z aktualnymi przepisami. Skorzystanie z gotowych dokumentów to nie tylko oszczędność czasu, ale również gwarancja ich zgodności z obowiązującymi przepisami. Sprawdź: https://rodozgodny.pl/polityka-prywatnosci/
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | mar 14, 2021
Jak usunąć dane osobowe w poprawny sposób. Takie pytanie zadasz sobie w momencie, kiedy nie będziesz mógł już przetwarzać zebranych danych osobowych, które zapisałeś w chmurze, na dyskach komputerów czy na kartkach zgromadzonych w segregatorze. Gdy wygaśnie podstawa do ich przetwarzania, nie wystarczy po prostu je ignorować. RODO nakłada na Ciebie konkretne obowiązki. Jeżeli to możliwe warto zaplanować, co zrobisz z danymi, najlepiej już na etapie projektowania procesu ich przetwarzania. Pamiętaj, że przechowywanie danych samo w sobie jest czynnością przetwarzania. Usunięcie ich to minimum tego, co musisz zrobić. Czasem jednak będzie to niewystarczające. Z tego artykułu dowiesz się jak usunąć dane osobowe w poprawny sposób.
Kiedy wygasa prawo do przetwarzania danych
Danych osobowych nie można przetwarzać w nieskończoność. Istnieje kilka powodów, gdy wygasa Twoje prawo do przetwarzania danych osobowych, najczęściej spotykane to:
- Wycofana zostanie zgoda na przetwarzanie. O ile zgoda nie wynika z innych przepisów wycofanie jej przez osobę, która powierzyła Ci dane osobowe, wymaga od Ciebie zaprzestania ich przetwarzania.
- Osoba złoży żądanie usunięcia danych. Oczywiście tak jak w przypadku wycofania zgody przetwarzanie nie może być wymagane innymi przepisami.
- Nie są już niezbędne do celów, w których zostały zebrane.
- Upłynął okres, który został wyznaczony na przetwarzanie danych.
- Dane są przetwarzane niezgodnie z prawem. Obecnie taka sytuacja powinna mieć jedynie miejsce, gdy nastąpi zmiana prawa. Jeżeli przetwarzasz dane zebrane niezgodnie z RODO, to od ponad roku przetwarzasz je nielegalnie
Usunięcie, a niszczenie danych osobowych
Jeżeli ustało Twoje prawo do przetwarzania danych osobowych, to w jakiś sposób musisz się ich pozbyć. Inaczej będziesz miał trupa w szafie, który może sprowadzić na Ciebie kłopoty. Dane możesz usunąć albo zniszczyć.
Jak usunąć dane osobowe.
Jest to operacja polegająca na ich trwałym skasowaniu z nośnika, na którym są one przechowywane. W przypadku danych cyfrowych mówimy o takich operacjach jak skasowanie odpowiednich plików z dysku twardego, czy usunięciu rekordów z bazy danych. W dokumentach papierowych odpowiednikiem tej operacji będzie anonimizacja polegająca na zamazaniu danych, których przetwarzać już nie wolno. Pamiętaj, że samo przechowywanie danych osobowych jest czynnością przetwarzania.
Niszczenie danych to proces, w którym destrukcji ulega nośnik, na którym dane są zapisane, oczywiście wraz z tymi danymi.
Procedurę niszczenia i usuwania danych osobowych znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.
Polityka niszczenia danych osobowych powinna być ujednolicona. Dobra praktyką jest sporządzanie protokołów zniszczenia z procesu niszczenia danych osobowych zwłaszcza jeśli robimy to zbiorczo. Wtedy zabezpieczymy się przed ewentualnymi roszczeniami i zarzutami.
Kiedy niszczyć dane osobowe, a kiedy usunięcie danych osobowych wystarczy?
W zależności od sytuacji i potrzeb należy wybrać jeden z tych dwóch sposobów. W większości przypadków trwałe usunięcie danych osobowych będzie wystarczające. Jest jednak kilka sytuacji, w których zniszczenie jest rekomendowaną, lub jedyną metodą:
- Sprzęt komputerowy lub sam nośnik danych w Twojej firmie zostanie przeznaczony do likwidacji z powodu jego uszkodzenia lub gdy stanie się on zbędny.
- Zaistnieje konieczność zniszczenia dokumentacji papierowej, w przypadku gdy wszystkie dane na niej zapisane nie są już przetwarzane
- Nośnik jednorazowego zapisu z kopią zapasową zawierać będzie dane, których firma nie ma podstaw już do przetwarzania (na przykład płyta CD/DVD)
- Uszkodzeniu ulegnie nośnik wielokrotnego zapisu z kopią zapasową lub stanie się on dla firmy nieprzydatny z innych powodów (na przykład nośniki oparte o taśmę magnetyczną)
- Urządzenia pamięci przenośnej przestaną być potrzebne na skutek ich uszkodzenia lub zużycia (na przykład pendrive)
Zatem jak usunąć dane osobowe? Podjęcie decyzji czy dane zostaną usunięte czy powinien zniszczony cały nośnik zawsze musi być podyktowane ochroną informacji, które zostały na nim zapisane. Jeżeli istnieją uzasadnione obawy, że zapisane na nim dane mogą zostać po skasowaniu odzyskane, należy nośnik odpowiednio zniszczyć inaczej usunięcie danych z nośnika będzie w takich sytuacjach nieskuteczne.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | sty 25, 2021
Hosting zgodny z RODO
Czasy własnych serwerów pod biurkiem w domu czy biurze to już historia. Obecnie usługi utrzymania strony internetowej, niezależnie czy jest to strona statyczna czy cały system CMS taki jak WordPress, stanowią marginalny koszt dla większości przedsiębiorców. Ale co to takiego ten Hosting zgodny z RODO?
Z firmą, która świadczy na naszą rzecz tego typu usługę dzielimy się zarówno zadaniami jak i odpowiedzialnością. Powierzamy jej obszerny zbiór danych osobowych, często bardzo cennych dla naszej działalności gospodarczej. Gdy wybieramy hosting odpowiedni do potrzeb naszej firmy musimy wybrać firmę, która oferuje odpowiednie podejście do przetwarzania danych osobowych – zarówno to techniczne, jak i poprzez odpowiednie umowy.
Nie powinno być to dla nikogo zaskoczeniem, że hosting naszego serwisu wiąże się z przetwarzaniem danych osobowych. A jednak wielu przedsiębiorców, z którymi rozmawiam, nie widzi od razy tego związku. Powiązanie takie niewątpliwie istnieje i to na dwóch obszarach.
Do jakich danych ma dostęp hostingodawca
Po pierwsze hostingodawca posiada dostęp do treść samej strony internetowej. Informacje, które zamieszczamy na naszej witrynie mogą zawierać przeróżne dane osobowe. Najczęściej będą to dane kontaktowe do wybranych pracowników, często także ich zdjęcia. Fotografii może tam być o wiele więcej. Popularne jest umieszczanie zdjęć z organizowanych przez firmę wydarzeń. Dane osobowe możemy nie tylko udostępniać za pomocą strony internetowej, ale też i pozyskiwać. Wykorzystuje się do tego systemy komentarzy wbudowane w silnik WordPress-a, ankiety, czy formularze kontaktowe. Wiele z nich zapisuje zebrane dane w bazie lub plikach, które przechowywane są na serwerze dostawcy.
Ale nawet jeżeli dopilnujemy by na naszej stronie nie znalazły się wspomniane powyżej treści, to prawie na pewno w samym silniku CMS będziemy przechowywali dane osobowe osób zarządzających treściami na stronie. Wystarczy, że będzie to służbowy imienny adres e-mail powiązany z lokalnym kontem administratora czy moderatora.
Drugi obszar przetwarzania danych osobowych przez dostawcę hostingu jest nieco mniej oczywisty dla osób, które nie znają technicznych aspektów świadczenia usługi. Obowiązkiem dostawcy tego typu usługi jest zapewnienie najwyższej jakości jej działania. Równie ważne są jego zobowiązania w zakresie bezpieczeństwa świadczonej usługi i przechowywanych w niej danych. Jego obowiązkiem jest stosowana reakcja na incydenty związane z bezpieczeństwem, w tym także w zakresie współpracy choćby z uprawnionymi organami ścigania.
Aby wypełnić te zobowiązania operator hostingu między innymi zbiera informacje na temat połączeń z utrzymywanymi serwisami. Takie logi zawierają adres IP urządzenia, z którego nastąpiła próba połączenia. W świetle RODO adres IP jest daną osobową, gdyż na jego podstawie można ustalić konkretnego użytkownika, mimo że niekoniecznie jest to proste.
Zadbaj o Hosting zgodny z RODO
Niewątpliwie firma oferująca hosting dla naszego serwisu będzie przetwarzać dane osobowe. Najczęściej występować będzie ona w roli podmiotu przetwarzającego, czyli firmy, która przetwarza powierzone nam dane osobowe. Wykonywane jest ono na nasze żądanie i jest związane z realizowaniem przez nas wskazanego celu przetwarzania. Takim celem jest choćby marketing naszych usług lub produktów poprzez stronę WWW, czy kontakt z potencjalnymi klientami poprzez formularz na stronie. W przypadku takiej relacji wymagane jest abyśmy podpisali umowę powierzenia, która ureguluje zakres przekazywanych danych i cel ich przetwarzania. Muszą znaleźć się w niej także zapisy o odpowiedzialności każdej ze stron.
Firma hostingowa jest także administratorem danych na przykład w odniesieniu do danych kontaktowych związanych z realizacją usługi hostingowej. Mogą to być na przykład dane kontaktowe do osoby odpowiedzialnej za utrzymanie strony WWW w naszej firmie. W przypadku jednoosobowych działalności gospodarczych będą to dane samej firmy. W tym wypadku odpowiednie formalności najlepiej dopełnić poprzez uważne przeczytanie i zaakceptowanie regulaminu usługi. Jeżeli firma hostingowa zbiera dane o adresach IP jedynie na własny użytek zazwyczaj będzie też w odniesieniu do nich administratorem danych osobowych.
Nieco inaczej sytuacja wygląda, gdy do informacji od adresach IP masz także dostęp ty jako klient. Możesz wtedy wykorzystywać tą informację także na swoje potrzeby na przykład do prowadzenia własnych statystyk. W takiej sytuacji do wskazanych czynności zarówno Twoja firma jak i firma hostingowa jesteście współadministratorami. Wymaga ona podpisania specjalnej umowy, która w szczegółach będzie opisywać relację pomiędzy firmami, cele przetwarzania czy obowiązki każdej ze stron. Więcej o tej formie współpracy przeczytasz w moim artykule „Współadministrator to brzmi odpowiedzialnie„.
Polityka prywatności
Nie zapomnij o umieszczeniu odpowiednich informacji o tym komu udostępniasz dane w swojej polityce prywatności. Nie zalecam odsłaniania swojego warsztatu pracy i ujawniania szczegółowych informacji o firmach, które realizują na twoją rzecz usługi. Najlepiej gdy w polityce prywatności opiszemy jakiego typu usługi podwykonawcy dla nas realizują. Możemy też wymienić jakie kategorie danych osobowych im przekazujemy. Bardziej szczegółowego opisania wymagać będzie sytuacja, w której jesteście wspólnie współadministratorami.
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. umowę powierzenia przetwarzania danych osobowych to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | gru 16, 2020
Regulamin sklepu internetowego 2021
Jest to dokument który powinieneś stworzyć lub zaktualizować jeśli jesteś właścicielem e-sklepu. Zobacz jakie zmiany przyniósł 2021 roku w obszarze dokumentacji sklepu online i jakie korekty powinien przejść twój regulamin sklepu internetowego, aby dostosować go do nowych przepisów:
Zmiana w definicjach regulaminu sklepu internetowego
Przejrzyj definicje użyte w pierwszej części regulaminu i sprawdź, czy wszystkie hasła którymi aktualnie posługujesz się w dokumencie będą poprawne w kontekście nowych przepisów. Być może konieczna okaże się zmiana opisów zwłaszcza w obszarze osób dokonujących zakupów w Twoim sklepie. Jeśli aktualnie posiadasz dwie grupy kupujących: konsumenci oraz przedsiębiorcy to musisz wiedzieć, że konieczne będzie wprowadzenie kolejnej kategorii, która będzie połączeniem tych dwóch grup, czyli powstanie nam konsument-przedsiębiorca.
Dołożenie kolejnej kategorii kupującego
Konsument-przedsiębiorca to taki rodzaj kupującego który prowadzi działalność gospodarczą, jest wpisany do CEiDG i dokonał zakupu w naszym sklepie na fakturę. Jednakże, aby otrzymać taki status musi spełnić dodatkowy warunek: kupujący nie użyje zakupionego towaru w celach związanych bezpośrednio z jego działalnością gospodarczą lub zawodową np. kosmetyczka zakupiła drukarkę do drukowania ofert i faktur co nie jest bezpośrednio związane z jej głównym przedmiotem działalności.
Odstąpienie od umowy teraz także dostępne dla przedsiębiorców
Do tej pory z prawa do odstąpienia od umowy zawartej na odległość mógł skorzystać jedynie konsument, czyli osoba która dokonała zakupu jako osoba fizyczna nieprowadząca działalności gospodarczej. Natomiast osoba, która poprosiła o fakturę na firmę traciła to prawo niezależnie od tego w jakim celu zakupiła towar. Jednak od 2021 roku takie prawo przysługuje także konsumentowi-przedsiębiorcy który dokonał zakupu na firmę, otrzymał fakturę i kupił towar w celach niezwiązanych bezpośrednio z działalnością gospodarczą.
Sposób weryfikacji kupującego
Sprzedawcy dochodzi kolejny obowiązek podczas weryfikacji statusu kupującego. Do tej pory sprawa była prosta, był konsument, który nie otrzymywał faktury na firmę i był przedsiębiorca, który kupował towar na fakturę. Teraz dochodzi nam trzecia kategoria kupujących jakim są konsumenci-przedsiębiorcy, których będziemy musieli poprawnie zidentyfikować np. w procesie odstąpienia od umowy. Podstawowym źródłem informacji będzie dla nas baza CEiDG i wykaz kodów PKD przypisanych do przedsiębiorcy. Baza o przedsiębiorcach jest narzędziem bezpłatnym i ogólnodostępnym, tym samym ułatwiona będzie weryfikacja tego, czy dana czynność wchodzi w zakres czynności zawodowo podejmowanych w ramach rzeczywiście wykonywanej przez przedsiębiorcę działalności gospodarczej.
Reklamacje
W związku z rozszerzeniem praw na dodatkową grupę odbiorców będziemy musieli dokonać zmian także w obszarze opisującym sposób składania i rozpatrywania reklamacji. Bądźmy uważni dokonując korekty zapisów, bo pomimo że konsument-przedsiębiorca będzie miał prawo do złożenia reklamacji z tytułu rękojmi przez taki sam okres jak konsument to jednak nie chronią go takie same przepisy. W przypadku przedsiębiorców zapisy pozostają bez zmian.
Regulaminu sklepu internetowego – załączniki
Pamiętajmy, że podczas realizacji praw konsumentów-przedsiębiorców będziemy musieli dokonać ich poprawnej weryfikacji. Warto więc tak przygotować i zmodyfikować formularze zwrotu, reklamacji czy odstąpienia od umowy, aby łatwo można było zidentyfikować kupującego i przyporządkować go do odpowiedniej grupy.
Elementy które wskazałam powyżej dotyczą obszarów regulaminu, które powinny zostać przez Was skontrolowane i dostosowane do najnowszych przepisów. Jednakże warto dokonać weryfikacji wszystkich zapisów w dokumencie zwłaszcza pod kątem klauzul niedozwolonych, które mogą narazić was na niepotrzebne koszty i nieprzyjemności i nie prowadziły do niekorzystnych postanowień umownych.
Jeśli nie chcecie sobie zaprzątać głowy zmianami przepisów i chcecie skorzystać z gotowych dokumentów przystosowanych do wszystkich aktów prawnych to zapraszam do sklepu. Gotowy pakiet dla sklepu internetowego dostępny poniżej:
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. instrukcje i dokumenty związane z procesem rekrutacji, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | sie 30, 2020
5 mitów o RODO
Prowadzisz lub może zamierzasz prowadzić swoją własną jednoosobową działalność gospodarczą lub spółkę prawa handlowego? A może świadczysz tylko usługi na podstawie umowy-zlecenia czy umowy o dzieło? Zatem na pewno wiesz, że ciąży na Tobie nowy obowiązek zwany powszechnie „RODO”. Jednak, aby zweryfikować informacje na temat ochrony danych osobowych i racjonalnie ocenić sytuację koniecznie i poznać wymogi RODO dla małych firm zapoznaj sie z artykułem „5 mitów o RODO”.
Zaraz, moment… czy aby na pewno nowy?
Wydawać by się mogło, że po kilku latach szum komunikacyjny powinien być już jasnym przekazem a popłoch przedsiębiorców opanowany, tymczasem nadal wiele osób boi się zagadnień związanych z danymi osobowymi, powierza ich obsługę zewnętrznym firmom czy kancelariom prawnym, lub po prostu ignoruje temat, uważając, że ich on nie dotyczy. Nie da się zacząć pisać o sposobach na wdrożenie RODO w firmie bez rozprawienia się z kilkoma mitami. Oto te moim zdaniem najważniejsze.
Mit pierwszy — RODO to kosztowna rewolucja
Ochrona danych osobowych nie jest czymś nowym. Przecież do 25 maja 2018 roku, kiedy to zaczęto stosować bezpośrednio zapisy ogólnego rozporządzenia o ochronie danych osobowych (tak zwyczajowo nazywa się interesujący Cię akt prawny Unii Europejskiej, potocznie też zwany RODO lub GDPR) nie istniała luka prawna – dane osobowe przez cały czas podlegały ochronie. W Polsce obowiązywała Ustawa o Ochronie Danych Osobowych z 1997 roku, regulacje sektorowe zawarte choćby w prawie telekomunikacyjnym czy aktach regulujących handel elektroniczny. Regulacje we wszystkich państwach europejskich były implementacją Dyrektywy Parlamentu Europejskiego kryjącej się pod numerem 95/46/EC.
Zatem skąd ten cały hałas, że RODO wywraca do góry nogami prowadzenie firmy? Nastąpiła spora zmiana prawna dająca obywatelom lepsze narzędzia ochrony ich danych osobowych. Prawa przysłowiowego Kowalskiego są spójne na obszarze całej Unii Europejskiej, tak samo obowiązki samych przedsiębiorców, organizacji pozarządowych czy organów administracji państwowej. Czy dla przedsiębiorcy nastąpiła rewolucja? Z prawnego punktu widzenia nie! Rewolucja nastąpiła w głowach i świadomości konsumentów, dzięki czemu nowe regulacje nie są martwe jak wiele paragrafów Ustawy z 1997 roku.
Pierwszy rok pokazał, że obywatele Unii Europejskiej chętnie korzystają ze swoich uprawnień, a organizacje pozarządowe aktywnie wykorzystują dane im narzędzia. Szum medialny sprawił też, że są oni bardziej świadomi swoich praw. A przedsiębiorcy? Jeżeli dotychczas ignorowali zarówno stare, jak i nowe regulacje prawne to dostosowanie firmy do wymagań RODO może być rewolucją, a zmiany kosztowne.
Jeszcze bardziej po kieszeni boleć będzie zaniechanie.
RODO jest jedną z regulacji prawnych, do których przedsiębiorcy muszą się stosować. Jedną spośród wielu. Jeżeli potrafisz dostosować swój biznes do wymogów Prawa Pracy, do Ustawy o Podatku Dochodowym od Osób Prawnych, skomplikowanej Ustawy o Podatku od Towaru i Usług, czyli popularnie zwanej ustawy VAT-owskiej, to dlaczego o wiele prostsze RODO miałoby być dla Ciebie problemem? A gdybym Ci powiedział, że wdrożenie RODO pomoże usprawnić działanie Twojej firmy?
Ochrona danych osobowych dotyczy każdego przedsiębiorcy. Takie same obowiązki ma prowadzący osiedlowy sklep z warzywami, jak i agencja marketingowa czy software house. Zmienia się jedynie to jakie dane podlegają przetwarzaniu (ochronie) oraz narzędzia, które będą do tego wykorzystywane.
W warzywniaku będą to zarówno dane dostawców, jak i chowany w szufladzie zeszyt z indywidualnymi zamówieniami klientów wraz z danymi kontaktowymi. Jeżeli prowadzisz biznes, którego elementy a może i całość oparte są o platformy internetowe to także przetwarzasz dane swoich klientów, lecz zapewne w strukturyzowanej formie bazy danych lub arkusza kalkulacyjnego.
W obu przypadkach, aby chronić te dane przedsiębiorca musi między innymi uzyskać zgodę na przetwarzanie danych, zabezpieczyć przetwarzane dane, stworzyć jasne zasady obiegu i przeszkolić pracowników. Teraz, proszę, spójrz na swoją firmę w szerszym aspekcie. Na pewno znajdziesz bez trudu kilka innych grup danych, które wymagają podobnej ochrony. Na przykład dane finansowe spółki, których upublicznienia nie chcesz, lub wręcz nie możesz udostępniać osobom nieuprawnionym.
Może największą wartością dla Twojej firmy stanowi dokumentacja skomplikowanego sprzętu, którego serwisowaniem się zajmujesz i zrobisz wszystko, by tylko uprawnione osoby miały do niej dostęp i tylko we wskazanym czasie. A może jest to kod aplikacji, którą tworzą zatrudnieni programiści czy konspekt oraz slajdy prezentacji, którą za kilka dni wygłosisz komercyjnie? Standardy służące usystematyzowaniu, zabezpieczeniu i monitorowaniu przetwarzania danych osobowych, zarówno od strony procedur, jak i wdrożenia odpowiednich rozwiązań teleinformatycznych, pomogą Ci chronić wszystkie cenne zbiory danych niezbędne do działania i rozwijania Twojej firmy.
Mit trzeci — „zrobię” to RODO i mam spokój (na zawsze)
Ochrona danych osobowych jest procesem, trwać będzie nieustannie tak długo, jak działa prowadzona przez nas firma, a nawet dłużej! Będzie się on zmieniał wraz z tym, jak zmieniać będzie się rozwijać się Twoje przedsiębiorstwo.
Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
Istotą RODO jest ochrona danych osobowych. Za każdym razem, gdy następuje zmiana w strukturze Twojej firmy, składzie osobowym, formach sprzedaży, marketingu, pozyskiwania danych itp. trzeba przyjrzeć się czy dokumentacja, procesy, jak i wiedza pracowników nie wymagają aktualizacji czy dodatkowej analizy ryzyka. RODO będziesz zajmował się cały czas, lecz dzięki odpowiedniemu podejściu i narzędziom nie będzie to dla Ciebie uciążliwość. Pamiętaj, że za wszelkie uchybienia odpowiadasz Ty jako właściciel.
Mit czwarty — aby spełniać wymogi RODO potrzebuję zatrudnić prawnika
Gdyby była to prawda to w całej Unii Europejskiej rzeczywistość prawnicza wyglądałaby tak:
- Większość prawników zajmowałoby się RODO bo każda firma przecież musi skorzystać z usług prawnych by spełnić wymogi RODO – czysty zysk!
- Niewielu prawników zajmowałoby się sprawami patentowymi, cywilnymi, rodzinno-opiekuńczymi bo wszyscy siedzieliby z nosem w RODO – problemy społeczne gwarantowane.
Dobrze wiesz, że tak się nie stało. Prawnicy zajmują się RODO, ale zajmują się też wszystkimi innymi aspektami prawa w biznesie i życiu prywatnym, gdzie ich pomoc jest niezbędna. A przedsiębiorcy są w stanie podołać spełnieniu wymogów prawnych związanych z ochroną danych osobowych.
Mali przedsiębiorcy muszą być trochę omnibusami – znać się na kodeksie cywilnym, znać się na prawie pracy, księgowości, informatyce, zarządzaniu, marketingu.. uff… lista może być długa. Muszą też znać się na RODO, nawet jeżeli nie są prawnikami. Na szczęście są w stanie sobie poradzić sami lub z niewielką pomocą prawną i informatyczną. Są jednak specyficzne obszary, w których pomoc prawnika jest przydatna, czasem niezbędna, na przykład w sytuacji, gdy przetwarzamy dane osobowe objęte szczególną ochroną (na przykład dane medyczne).
Większość przedsiębiorców jest w stanie sama spełnić obowiązki wynikające z RODO. Lecz nawet korzystając z usług prawnika wdrożyć odpowiednie zalecenia i wypełniać zobowiązania będą musieli samodzielnie.
Mit piąty — kupię „gotowca” i mam spokój
Z punktu widzenia konsumenta wydawać by się mogło, że RODO to przede wszystkim rozbudowane polityki prywatności i masa checkbox-ów ze zgodami przy każdym formularzu. Tak naprawdę to tylko wierzchołek góry lodowej. Ważny jest sposób, w jaki zasady przetwarzania wynikające z RODO zostaną wdrożone w przedsiębiorstwie. To nie regulaminy a ocena ryzyka i wdrożenie odpowiednich procedur czy mechanizmów bezpieczeństwa jest wypełnieniem RODO. Identyfikacja jakie dane są przetwarzane, w jakim celu oraz oszacowanie ryzyka dostępu do nich osób niepowołanych są pierwszymi krokami, które każdy przedsiębiorca musi zrobić, aby działać zgodnie z prawem.
Często właściciele firm wykonując tą pracę są zdziwieni, ile danych o osobach prywatnych zbierają czy na jak wielu urządzeniach trzymają ich kopię. Taka świadomość to dobry punkt wyjścia do przemyślenia, czy wszystkie te dane są potrzebne do zrealizowania zamówienia albo usługi oraz ograniczenia zbieranych danych czy ustalenia czasu, przez które te dane będą przetwarzane. Dopiero mając taką wiedzę możemy umieścić w regulaminach czy polityce prywatności odpowiednie zapisy spełniając obowiązek informacyjny. Ułatwi to też za projektowanie procesu realizacji żądań klienta na przykład dotyczących udostępnienia kopii przetwarzanych danych osobowych.
Polityka prywatności, choćby najlepiej napisana, jeżeli nie jest zaimplementowana w procesach biznesowych i systemach informatycznych firmy jest tylko zbiorem słów i nie uchroni Cię od kar w przypadku stwierdzenia naruszeń i wycieku danych. I zabierze Ci dużo czasu i nerwów gdy pojawi się konsument znający swoje prawa i z nich korzystający.
Co robić? Jak żyć?
Odpowiedź jest prosta – jako właściciel przejmij kontrolę nad wdrożeniem RODO we własne ręce. Jeżeli prawo nie nakłada na Ciebie powołania Inspektora Danych Osobowych to pełnia odpowiedzialności, jak i potencjalnych konsekwencji i tak spoczywa na Tobie. Niezależnie czy wdrożysz RODO samodzielnie, czy oddelegujesz zadania swoim pracownikom lub firmie zewnętrznej musisz zachować kontrolę nad całym procesem, tak by dostosowywać go wraz ze zmianami zachodzącymi w Twojej firmie (patrz mit trzeci). Na łamach RodoZgodny.pl wyjaśnię jak się do tego zabrać, na co zwracać uwagę i w jaki sposób może usprawnić to Twoją firmę. Znajdziesz tu ważne lub ciekawe nowinkach związane z RODO, o których przedsiębiorca powinien wiedzieć.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
Dołącz do mnie na 
Dołącz do mnie na 
Dołącz do mnie na 
Dołącz do mnie na 
