Jak zadbać o zgodność z RODO Twojego biznesu?
Wszyscy martwią się o swoje biznesy, wielu przenosi je do Internetu. Musisz jednak pamiętać, że tym bardziej w sieci widać czy masz RODO czy nie.
Już pierwszy rzut oka na stronę pozwala ocenić zastosowanie się do Rozporządzenia RODO. Jeżeli nie ma polityki prywatności, klauzul informacyjnych dotyczących zgód pod okienkami zapisów do newslettera lub formularzem kontaktu, to firma od razu rodzi podejrzenie braku RODO.
Nieważne jaką działalność prowadzisz, ważne, że posiadasz kontakt do swoich klientów, choćby imię i nazwisko, numer telefonu email czy adres zamieszkania/dostawy. Nawet tak proste dane już obligują Cię do stosowania RODO. Pamiętaj, że dane osobowe to taki zestaw informacji o osobie, który pozwoli ją jednoznacznie zidentyfikować. Czyli imię i nazwisko „Jan Nowak” nie będzie daną osobową, ponieważ mamy „Janów Nowaków” w Polsce pewnie kilkanaście tysięcy, ale mail jan.nowak@firmaABC.pl już będzie daną osobową, bo w ten sposób łatwo Pana Janka znajdziemy i zidentyfikujemy.
Jakie dokumenty musisz posiadać? Praktyczny przewodnik po RODO.
Po pierwsze powinnaś posiadać politykę prywatności na stronie www. Co ciekawe, większość przedsiębiorców uważa, że polityka prywatności napisana jest do strony. Nic bardziej mylnego, polityka prywatności to dokument zawierający wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych klientów i kontrahentów, zbieranych przez Ciebie podczas realizacji Twojego biznesu. Zamiast mieć kilka pojedynczych obowiązków informacyjnych rozsianych po całej stronie internetowej, można umieścić wszystko w jednym miejscu czyli w polityce prywatności, a do niej poprowadzić odnośniki z klauzul informacyjnych, które znajdują się pod formularzami kontaktu, rejestracji i newsletterze na Twojej stronie. Wygląda to estetycznie i profesjonalnie.
Ciasteczka
Po drugie, nie zapomnij o ciasteczkach. Jeżeli na stronie internetowej są zbierane pliki cookies, to powinnaś poinformować o tym użytkowników. To samo dotyczy podpiętego Pixela Facebook lub google analitics. Należy te informacje podać w polityce cookies lub dopisać do polityki prywatności. Jeżeli prowadzisz grupę na fb, to taka informacja z nazwą grupy powinna się w polityce znaleźć, ponieważ jest to kanał informacji i interakcji z Twoimi klientami.
Klauzule informacyjne i zgody
Po trzecie, potrzebujesz tzw. klauzul informacyjnych i wymaganych zgód klientów. Przykładowe sytuacje, w których zbierasz dane osobowe:
- zapisy na newsletter;
- sprzedaż produktów w sklepie online lub prowadzisz sprzedaż wysyłkową;
- prowadzenie zapisów klientów na Twoje usługi;
- formularze kontaktowe;
- komentowanie artykułów czy wpisów na blogu;
- Używanie zdjęć klientów (wizerunku) do promowania swojego biznesu, czyli np. wrzucasz je na FB czy IG;
- Jakikolwiek proces w Twoim biznesie wymagający od klienta podania jego danych osobowych.
Polityka prywatności powinna zawierać odpowiednie klauzule informacyjne, a pod okienkami zapisu muszą być zgody na pobranie tych danych, najlepiej w formie checkboxów, żeby zapewnić rozliczalność takiej zgody. Nie powinnaś pozostawiać zgody w tzw. domyśle, bo w razie roszczenia ze strony klienta ciężko Ci się będzie z tego wytłumaczyć.
Dokumenty dla pracownika
Po czwarte, jeżeli zatrudniasz pracowników to do umowy z pracownikiem musisz:
- Wstawić klauzulę informacyjną dla pracownika,
- Wystawić pracownikowi upoważnienie do przetwarzania danych osobowych, jeżeli ma do nich dostęp,
- Pamiętać, że pracownik powinien podpisać oświadczenie o zachowaniu poufności,
- Prowadzić Rejestr osób upoważnionych.
Dane osobowe Twoich klientów
Po piąte – umowy powierzenia jest to zapis reguł i zakresu w jakim podajesz dane osobowe Twoich klientów lub pracowników/ kontrahentów innej firmie. Czy chcesz czy nie, wymieniasz się danymi klientów ze swoimi usługodawcami, takimi jak firma hostingowa obsługująca twoją pocztę, stronę, sklep, biuro rachunkowe, księgowość, firma marketingowa, oprogramowanie do rezerwacji wizyt, firmą kurierską i innymi usługodawcami.
Podam Ci przykład: podajesz dane Twoich klientów firmie marketingowej X, a ona wysyła reklamę do tych osób, ale od innego zleceniodawcy. Klienci wściekli dzwonią do Ciebie o co chodzi, grożą zgłoszeniem do UODO, bo to Tobie podpisali zgodę marketingową. Jeżeli podpisałaś z firma X umowę powierzenia, to jest w niej zakres i cel dla jakiego dostali dane Twoich klientów, ale również to co mają zrobić z danymi po rozwiązaniu umowy – np. skasować lub oddać Tobie. Wtedy masz podstawę do roszczeń oraz w razie skargi – masz winnego – firma X nie zastosowała się do umowy powierzenia danych osobowych.
A piąte i pół mówi o tym, że musisz stworzyć rejestr podmiotów przetwarzających, żeby wiedzieć co komu i do kiedy przekazujesz.
Naruszenie ochrony danych osobowych
Po szóste, musisz posiadać procedurę postępowania w przypadku naruszenia ochrony danych osobowych, aby wiedzieć co się stanie jak wyciekną dane Twoich klientów, na przykład ktoś ukradnie Ci telefon lub laptopa. Musisz wiedzieć co jest incydentem, jak postępować w takiej sytuacji. Co to są te “Incydenty” w RODO – są to wszystkie te zdarzenia, które mogą spowodować wyciek danych, zniszczenie lub kradzież danych osobowych, to przed czym powinniśmy się chronić.
Jako przedsiębiorca, a zwłaszcza jako administrator danych osobowych Twoich klientów, musisz wiedzieć co zrobić jak już się wydarzy INCYDENT i jak należy go opracować zgodnie z RODO, czyli jakie formularze i papiery wypełnić jak się cokolwiek z powyższego wydarzy, kogo powiadomić i w jakim czasie.
Użytkowanie komputera i telefonu
Po siódme, powinnaś wiedzieć jak używać komputera i telefonu firmowego. W RODO nazywamy to zasadą czystego biurka i czystego ekranu. W przypadku kontroli z Urzędu Ochrony Danych Osobowych jest mile widziane jak zestaw poniższych zasad spisany jest w formie polityki. Jak używać komputera firmowego?
- Zmieniaj hasła co 90-120 dni,
- Blokuj hasła na 10 minut po kilku nieudanych próbach,
- Stosuj różne hasła do różnych systemów,
- Hasła prywatne powinny być różne niż hasła służbowe,
- NIE zapisuj hasła w oczywistych miejscach,
- Zasada czystego ekranu,
- Stosuj wygaszacz ekranu,
- Stosuj Blokadę ekranu (WIN+L),
- Nie zostawiaj wolnego dostępu do systemów w komputerze jak nie Cię przy nim nie ma.
Prawa osób, których danych dotyczą
Po ósme, RODO wprowadziło prawa dotyczące danych osobowych, które przedsiębiorca, czyli administrator danych osobowych, musi bezwzględnie zrealizować na życzenie osoby, która się o to zwraca. Polecam sformalizować ten proces, żeby nie dać się zaskoczyć klientce, która poprosi o „zapomnienie” lub „przeniesienie” jej danych do innego administratora. Warto zadbać o politykę realizacji praw osób, których dane dotyczą. Celem takiej Polityki jest określenie jednolitych zasad i procedur w zakresie realizacji praw osób, których dane osobowe przetwarzasz jako administrator danych osobowych. Powinnaś posiadać gotowy formularz-wniosek o realizację praw oraz odpowiedź na taki wniosek i rejestr wniosków na wypadek późniejszych roszczeń.
Nowoczesna Firma musi posiadać wszystkie niezbędne dokumenty i treści klauzul RODO, aby spełniać wymagania prawne, uniknąć kar i niedogodności! Zbierając dane osobowe użytkowników, musisz prowadzić rejestry, dotyczące tego jakie informacje masz prawo przechowywać, a jakie musisz usunąć po upływie okresu przechowywania. Jak przetwarzać dane osobowe klientów i pracowników? RODO reguluje te wszystkie kwestie, chroniąc również nas, jako konsumentów i obywateli, bo przecież nie zawsze występujemy w roli przedsiębiorcy. Spójrz na RODO od strony klienta. Zapewne chciałabyś, aby Twoje dane pozostawiane w sklepie online czy urzędzie były bezpieczne. Właśnie w taki sposób powinnaś zapewnić bezpieczeństwo danych osobowych Twoich klientów.
Klaudia Olszak
Inspektor Ochrony Danych Osobowych
T: 48 516 605 505
https://www.facebook.com/uslugirodo
Temat Cię zainteresował? Sprawdź również:
- Konkurs w social media. Jak go legalnie przeprowadzić?
- Jak wybrać bezpieczne narzędzia do komunikacji w sieci?
- Sukcesja biznesu, czyli jak zadbać o bezpieczeństwo przedsiębiorstwa
- Własny biznes – jak zacząć? Jaką formę działalności wybrać? Z czego możesz skorzystać na start? Sprawdź!