RODO – ABC dla e-biznesu.
Zastanawiałeś się, czy może RODO nie dotyczy Twojego biznesu? A może zakładasz, że wystarczy zamieścić na stronie regulamin, politykę prywatności & cookies, kilka formułek i ‘ptaszków’? Niestety, to o wiele, wiele bardziej zawiłe wyzwanie. Wymagające odpowiedniej świadomości, wiedzy i zaangażowania. Oczywiście, jak wielu na rynku Kamika(d)ze, możesz pójść na żywioł i liczyć, że jakoś to będzie. Miej jednak świadomość, że to nie tylko instytucje kontrolujące (zresztą coraz sprawniejsze) mogą wyłapać Twoje błędy. I nie tylko ‘zawistni sąsiedzi’ mogą im pomóc. W tym przypadku dosłownie każdy użytkownik, klient, kontrahent, a nawet zupełnie obca osoba może spowodować, że zostaniesz poddany kontroli. A kary bywają okrutne.
RODO obejmuje praktycznie wszystkich, którzy prowadzą jakąkolwiek działalność, więc nie łudź się, że Twoja firma może liczyć na wyjątek. I wcale nie musisz być aktywny w Internecie, wystarczy, że: masz wizytówki albo kontakty w telefonie, korzystasz z księgowości, zatrudniasz choć jednego pracownika, masz choć jednego kontrahenta, itp. Uwaga, dotyczy to również firm, do których nie dotarł jeszcze nawet jeden komputer, obejmuje dane w jakiejkolwiek formie! I pamiętaj, że brak takich procedur oraz zabezpieczeń, traktowany jest jako narażanie z premedytacją posiadanych informacji na ich ujawnienie. Natomiast w przypadku pojawienia się incydentu, zagrożone jest wysokimi, ustawowymi karami. Może myślisz sobie teraz „Dużo szumu, a skończy się jedynie straszeniem i konsekwencjami dla dużych, tam jest kasa”? Ok, Twoje prawo, jednak weź pod uwagę dwie rzeczy:
- kary są źródłem finansowania instytucji nadzorczej,
- kontrolę może wywołać np. niezadowolony klient.
Mam dla Ciebie też dobrą wiadomość.
Otóż, wdrożenie RODO nie musi być aż takie trudne. Oczywiście, gdy wiesz jak to zrobić. Ten poradnik poprowadzi Cię krok po kroku przez całą procedurę. Przy czym, pamiętaj proszę, że niniejsze wskazówki są dedykowane wyłącznie tym przedsięwzięciom, które nie są zobligowane do podjęcia szerszych działań od standardowych.
Natomiast samo opracowanie ma wyłącznie charakter poradnika i nie należy go traktować bezkrytycznie.
W każdym przypadku należy informacje uzupełnić o własną wiedzę lub wsparcie eksperta.
Mam nadzieję, że dzięki temu opracowaniu oraz dołączonym w gratisie szablonom zadanie to już będzie dla Ciebie osiągalne do realizacji. A przynajmniej spełnisz część najważniejszych obowiązków. Wówczas ew. konsekwencje będą o wiele mniej dotkliwe.
Generalnie, w RODO chodzi o to, aby wprowadzić procedury (techniczne i organizacyjne), dzięki którym zapewnisz bezpieczeństwo wszelkich danych w Twojej firmie.
Dalsze punkty, to zestaw minimalnych informacji i działań, jakie masz obowiązek podjąć jako właściciel/zarząd firmy.
Ok, więc po kolei:
Gromadzenie danych może odbywać się wyłącznie
w oparciu o podstawę (prawną, zgodę, umowną, itp.). W wielu przypadkach będzie wymagana zgoda, jednak nie zawsze. Zasady legalności przetwarzania danych określa art. 6, 9 i 10 RODO. Do legalnego zbierania i wykorzystywania danych wystarczy np. zawarta umowa z osobą, której te dane dotyczą (np. sprzedaży, zlecenie) bądź podstawa prawna (np. przepisy kodeksu pracy). Natomiast, np. zawarcie umowy pomiędzy firmami, nie daje automatycznie podstawy do udostępnienia danych.
Gromadzenie danych osobowych do celów marketingowych (formularz kontaktowy, biuletyn, konkursy, zamieszczanie zdjęć na stronie) wymaga uzyskania zgody od właściciela danych na przetwarzanie. Zgodę taką musisz uzyskać w taki sposób, abyś był w stanie udowodnić, że ta konkretna osoba rzeczywiście jej udzieliła, w dodatku świadomie. Np. niedopuszczalne są zgody domniemane lub ukryte w regulaminie usługi. Zgoda musi być wyrażona w sposób jednoznaczny i musi potwierdzać, że w tej konkretnej sytuacji dana osoba dobrowolnie i świadomie zgodziła się na przetwarzanie jej danych osobowych. Ponadto, zgoda musi mieć formę oświadczenia – pisemnego (w tym elektronicznego) lub ustnego (choć tutaj może powstać problem ew. dowodu). Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień danego oprogramowania, czy też na innym oświadczeniu bądź zachowaniu. Ważne, aby właściciel danych jasno zaakceptował ich przetwarzanie w danym kontekście.
Zgoda pozwalająca np. na przetwarzanie danych w zakresie newslettera, nie obowiązuje w innych zakresach. Powinna dotyczyć wszystkich czynności przetwarzania, dokonywanych w tym samym celu, ale nic ponadto. W sytuacji, gdy przetwarzanie służy różnym celom, potrzebne są odrębne zgody.
Szablon takiej zgody znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Każda osoba, której dane są przetwarzane (gromadzenie to też przetwarzanie) musi
zostać poinformowana o swoich prawach wynikających z przepisów RODO. Niezależnie, czy pozyskałeś
te dane bezpośrednio, czy np. od innej firmy. Obowiązek informacyjny wynika z art. 13 RODO i możesz go spełnić poprzez umieszczenie niezbędnych informacji w umowie, regulaminie usługi, treści wysłanego maila, itp. Musisz rzetelnie poinformować właściciela danych o zasadach ich przetwarzania, a więc opisać co z nimi robisz. Informację tę przekazujesz w momencie zbierania danych lub zaraz po ich pozyskaniu w sposób pośredni. Obowiązek informacyjny jest dość obszerny, więc najłatwiej wypełnisz go, dodając odpowiednie zapisy np. w regulaminie usługi. Musisz też podać odpowiednie informacje, jeśli przekazujesz dane do państwa trzeciego lub organizacji międzynarodowej. To wcale nie taka rzadka sytuacja, często ma miejsce, jeżeli używasz np. usług marketingowych firm typu Facebook, Google, Twitter.
Przykłady dopełnienia obowiązku informacyjnego znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
W celu wykazania należytej dbałości o bezpieczeństwo danych,
powinieneś regularnie przeprowadzać (na start, a później co najmniej raz w roku) weryfikację zgodności z przepisami. Dotyczy to zarówno formalnej strony (aktualne umowy, zgody, itd.), jak również analizy ryzyka.
Są to tzw. analizy/audyty wewnętrzne (przeglądy), z których należy sporządzić pisemny raport (np. w formie notatki służbowej). Działania te mają umożliwić wykrycie tzw. słabych punktów (ryzyko ujawnienia danych) oraz zaplanowanie działań, aby je usunąć. Możesz to zrobić w formie tabeli, w której wpisujesz przykładowe (możliwe w Twoim przypadku) sytuacje, jak np.: kradzież wydruków zawierających dane, podglądnięcie danych przez osoby z zewnątrz (np. monitor widoczny przez okno), kradzież nośnika elektronicznego, awaria komputera, włamanie do sieci, pojawienie się wirusa, itp. Do każdej pozycji dopisujesz (w osobnej kolumnie) prawdopodobieństwo wystąpienia zdarzenia. Możesz je opisać słownie (‘duże / średnie / małe’) lub nadać skalę (np.: 0-5). W kolejnej kolumnie, jeżeli ryzyko jest istotne, zapisujesz plan działania, które ma doprowadzić do zniwelowania/zmniejszenia ryzyka. Oczywiście opracowane plany należy następnie wdrożyć, aby móc udowodnić, że zadbałeś o każdy aspekt.
W przypadku stwierdzenia w jakimś obszarze wysokiego ryzyka naruszenia poufności danych, musisz przeprowadzić ocenę skutków przetwarzania, a następnie scenariusz działań minimalizujących ryzyko. W sytuacji, w której nie będziesz w stanie zminimalizować ryzyka, będziesz zobowiązany do konsultacji z organem nadzorczym ochrony danych osobowych (PUODO).
Przykład analizy w formie tabeli znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Jako szef firmy, masz obowiązek nadzorować uprawnienia
do systemów informatycznych oraz jesteś odpowiedzialny za ich bezpieczeństwo. W szczególności, gdy ze sprzętu korzystają inni użytkownicy (współpracownicy, domownicy). Każda osoba musi mieć niezależne konto w systemie, zabezpieczone silnym hasłem i/lub podwójną autentyfikacją (podwójnym logowaniem). Powinieneś też zadbać o wszelkie inne aspekty swojej działalności operacyjnej, mając na uwadze przede wszystkim działania prewencyjne.
Przykład spisu środków znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Każdy Twój współ/pracownik, który ma (może mieć) dostęp do danych osobowych
w Twojej firmie, może to robić wyłącznie, gdy spełnione zostaną przynajmniej dwa warunki:
- zostanie zapoznany z obowiązującą polityką bezpieczeństwa informacji oraz przeszkolony
w zakresie jej stosowania, - otrzyma od Ciebie udokumentowane (na piśmie) polecenie, zawierające zakres dostępu
do danych.
Pod żadnym pozorem nie możesz dawać dostępu do danych osobom postronnym.
W przypadku, gdy korzystasz z usług zewnętrznych,
a Twój kontrahent otrzyma w ten sposób dostęp do danych osobowych (księgowość, kadry, usługi IT, nagrania z kamer, wysyłka maili, itp.), musisz podpisać z nim umowę powierzenia przetwarzania danych.
Przykład takiej umowy znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Dla niektórych firm obowiązkowe jest prowadzenie
rejestru czynności przetwarzania danych, a określa to art. 30 RODO. Powinieneś prowadzić taki rejestr, jeżeli np. przetwarzasz dane na szeroką skalę, prowadzisz e-sklep, wysyłasz newslettery.
Ponadto, jeżeli Twoja firma jest dla innego ADO (administratora) Procesorem (np. prowadzisz usługi księgowe, udostępniasz własny sprzęt do przetwarzania, prowadzisz callcenter), powinieneś prowadzić jeszcze jeden rejestr: kategorii przetwarzania. Obowiązek ten obejmuje również firmy zatrudniające pow. 250 pracowników, przetwarzające dane wrażliwe, itp.
Przykłady rejestrów znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Musisz być przygotowany do spełnienia obowiązku
udostępnienia danych na życzenie, nie tylko uprawnionych organów, ale również właściciela konkretnych danych. Dane możesz (i musisz) udostępnić tylko wówczas, gdy wnioskujący skutecznie wykaże faktyczny interes prawny. Żądanie udostępnienia danych powinno mieć formę pisemną, a każde udostępnienie musisz odnotować w odpowiednim rejestrze. W przypadku żądań udostępnienia złożonych w nieodpowiedni sposób, możesz przekazać swój wzór wniosku.
Przykład wniosku i rejestru znajdziesz pod linkiem zamieszczonym na końcu tego artykułu.
Danych nie możesz przechowywać w nieskończoność,
a jedynie w takim terminie, jaki wynika z prawa (np. przepisy podatkowe), wymaga tego Twój uzasadniony interes (np. umowa), bądź wynika z udzielonej zgody (np. na czas konkursu). Po tym okresie dane powinieneś zniszczyć w sposób trwały, pamiętając również, aby je usunąć z wszystkich możliwych nośników.
W przypadku niszczenia dokumentów (np. CV kandydatów do pracy) lub nośników elektronicznych (np. dysk starego komputera), należy to zrobić przy użyciu niszczarki lub przy wsparciu profesjonalnej firmy (tylko pamiętaj o podpisaniu z nią umowy powierzenia).
W przypadku stwierdzenia, a nawet samego podejrzenia
naruszenia bezpieczeństwa danych, jesteś zobowiązany jak najszybciej podjąć określone działania. Przede wszystkim musisz wyjaśnić przyczynę, zminimalizować skutki, a następnie wdrożyć zmiany, dzięki którym w przyszłości unikniesz podobnej sytuacji. To jeszcze nie wszystko, jednak wcześniej zwróć uwagę, że mogą wystąpić dwa rodzaje naruszenia. Naruszenie ochrony (bezpieczeństwa) danych oznacza każdą sytuację, która prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Danych, które są w jakikolwiek sposób przez Ciebie przetwarzane (przesyłane, analizowane, przechowywane).
Jest jeszcze coś takiego, jak naruszenie praw lub wolności, a oznacza taki skutek (efekt) przetwarzania danych, który może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. Jest tutaj więcej kategorii, ale w przypadku MŚP w szczególności: jeżeli przetwarzanie może poskutkować kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, dyskryminacją, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową. Jeżeli osoba może zostać pozbawiona przysługujących jej praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi, jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci. Jeżeli przetwarzanie dotyczy dużej ilości danych osobowych lub wpływa na dużą liczbę osób.
W zależności od rodzaju naruszenia, nieco inaczej przebiega dalsza procedura, a wszystko musisz dokumentować.
Przykłady dokumentacji i schematów (oraz wszystkich wcześniej wspomnianych dokumentów) znajdziesz pod linkiem:
Dalsza treść jest zablokowana
Zaloguj się, aby odblokować zawartość.
Nie masz aktywnego pakietu dostępowego? Zobacz.
I na koniec kilka dobrych rad:
- Przede wszystkim, nie poddawaj się panice. Na początek skup się na tych elementach, które są widoczne na zewnątrz (np. zgody) oraz tych, które jesteś w stanie wdrożyć najszybciej. Następnie zaplanuj pracę tak, aby uruchomić pozostałe elementy w realnym, ale możliwie jak najkrótszym czasie.
- Nie popadaj też w skrajności. Na rynku pojawiło się wielu ‘ekspertów’, żerujących na niewiedzy i strachu. Nie musisz zatrudniać drogich specjalistów i wydawać wszystkich, ciężko zarobionych pieniędzy, jeśli tylko rzeczywiście prowadzisz stosunkowo niewielki biznes lub, jeśli nie przetwarzasz danych na dużą skalę, danych wrażliwych, itp. Ale nie ignoruj RODO, bo może Cię to wiele kosztować.
- Zrewiduj umowy z kontrahentami i wybieraj tylko takich partnerów, którzy nie będą dziurą w Twoim systemie zabezpieczeń. Pamiętaj, że na końcu to Ty będziesz odpowiadał za powierzone komuś dane.
- Nie wierz w oferty w rodzaju „Wybierz nasz system do XYZ – będziesz miał problem RODO z głowy”. Pamiętaj, że np. system CRM (księgowy, mailingowy, hostingowy, itd.) online musi być dostosowany do RODO, i owszem, jednak to tylko jeden z wielu elementów Twojego biznesu. Jedna umowa nie załatwi wszystkiego!
Z serdecznymi pozdrowieniami!
