Nie takie RODO straszne jak je malują czyli jak wdrożyć procedury w małej firmie

Utworzono: 06-07-2018

O RODO mówią wszyscy i wszędzie. Każdy z nas dostał w ostatnich tygodniach kilkadziesiąt albo kilkaset maili z informacją od przeróżnych firm, że właśnie wdrożyły RODO. Przy okazji dowiedzieliśmy się w ilu firmach nasze dane są przetwarzane, chociaż nie mieliśmy o tym najmniejszego pojęcia. Czy takie RODO straszne jakim je malują? Czy posiadając małą firmę też musimy się wdrożyć w ten temat i wprowadzić procedury zarządzania danymi osobowymi?

CO TO JEST RODO?

RODO jest to Rozporządzenie o Ochronie Danych Osobowych wydane przez Parlament Europejski i Radę UE z 2016 roku dotyczące ochrony danych osób fizycznych odnośnie przetwarzania danych osobowych. Rozporządzenie weszło w życie 17 maja 2016 roku. W Polsce weszło ze sporym opóźnieniem, bo dopiero 25 maja tego roku.

A PO CO WESZŁO?
Na pewno nie po to by utrudnić nam życie, chociaż patrząc na ilość zapisów, maili, procedur, które fundują nam firmy, mamy wrażenie, że z tym RODO to jednak wszyscy poszaleli.

Po pierwsze RODO ma ułatwić przepływ danych osobowych pomiędzy państwami członkowskimi Unii Europejskiej. Rozporządzenie o Ochronie Danych Osobowych ma również ujednolicić zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej. Po drugie rozszerza także zakres obowiązków administratorów danych osobowych oraz podmiotów przetwarzających takie dane. Dodatkowo rozporządzenie gwarantuje osobom fizycznym i organom nadzorującym bezpieczeństwo w razie naruszenia przepisów zawartych w Rozporządzeniu.

A CO Z MOJĄ FIRMĄ?

Jeśli mając firmę, również jednoosobową, zastanawiasz się czy przetwarzasz dane osobowe, odpowiedź brzmi TAK. W dobie komunikowania się przez internet każdy z nas przetwarza dane osobowe, wystarczy że posiada skrzynkę kontaktów , ponieważ w większości przypadków e-maile to także dana osobowa. Dlatego RODO dotyczy każdego z nas i masz obowiązek wdrożyć je w swojej firmie. Jak to zrobić szybko i sprawnie?

KIEDY POZYSKUJĘ DANE OSOBOWE?

- kiedy prowadzisz sklep internetowy
- kiedy masz stronę internetową i na niej formularz kontaktowy
- jeśli prowadzisz jako firma social media: Facebook, Instagram, Snapchat etc i można tam publikować komentarze
-jeśli prowadzisz bloga lub publikujesz artykuły np. na firmowym profilu LinkedInn i są tam włączone opcje pozostawiania przez czytelników komentarzy
- gdy monitorujesz ruch na swojej witrynie używając zewnętrznych aplikacji typu Pixel Facebooka, kod śledzący HotJar czy kod remarketingowy Google
- jeśli prowadzisz newsletter lub/i subskrypcję treści swojej strony internetowej
- jeśli Twoi klienci składają u Ciebie zamówienia na produkty bądź usługi – nie tylko elektronicznie, również pisemnie wypełniając formularz papierowy

ZOSTAJESZ MISTRZEM IOD NIE MYLĄC Z MISTRZEM YODA

Pamiętaj, że to Ty jesteś Inspektorem Ochrony Danych ( IOD) jeśli prowadzisz działalność gospodarczą.  Natomiast jeśli prowadzisz małą firmę w postaci spółki z o. o. to już ta spółka jest osobowością odpowiedzialną za przetwarzanie danych.

W tych dwóch przypadkach nie musisz zatrudniać żadnej dodatkowej osoby do zajmowania się ochroną danych. Pamiętaj, że prowadząc własną działalność pełna odpowiedzialność leży po Twojej stronie, nawet jeśli powierzysz zadania w tym temacie swoim pracownikom.

JAKICH INFORMACJI MUSZĘ UDZIELIĆ OSOBOM OD KTÓRYCH POZYSKUJĘ DANE?

Kilka ich jest, nie ma co ukrywać. Jeśli jednak przygotowujesz sobie zgrabny, krótki zapis, będziesz mógł go udostępniać, niezależnie z jakiego źródła pozyskałeś akurat dane osobowe. Twoim obowiązkiem jest podanie następujących informacji:

  • kim jest Twoja firma (dane kontaktowe firmy oraz, w stosownych przypadkach, firmowego IOD),
  • dlaczego Twoja firma będzie korzystać z ich danych osobowych (cele),
  • jakie kategorie danych osobowych będą zbierane,
  • jakie jest uzasadnienie prawne dla przetwarzania ich danych,
  • jak długo będą przechowywane ich dane,
  • kto jeszcze może je otrzymać,
  • że mają prawo do otrzymania kopii danych (prawo dostępu do danych osobowych) oraz inne prawa podstawowe w zakresie ochrony danych
  • że mają prawo wniesienia skargi do organu ochrony danych (OOD),
  • że mają prawo do wycofania zgody w dowolnym momencie,
  • że ewentualnie ma miejsce zautomatyzowane podejmowanie decyzji, na jakich zasadach się opiera oraz jakie ma konsekwencje.

Możesz to zrobić pisemnie lub elektronicznie w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formiejasnym i prostym językiem oraz nieodpłatnie.

WAŻNE! Są to informacje podstawowe, które administrator jest zobowiązany podać zawsze, każdej osobie, której dane przetwarza!

TWÓJ KLIENT MA PRAWO DO BYCIA ZAPOMNIANYM

Pamiętaj, iż każdy obywatel po podaniu stosownego powodu może zażądać usunięcia swoich danych z baz firm czy instytucji, które je posiadają, również z Twojej. Dotychczas decyzja ta, po złożeniu pisemnego wniosku, była wynikiem wyroku sądowego, ale od maja 2018 roku będzie stanowić przepis przysługujący każdej osobie, której dane będą przetwarzane. Pozwala to między innymi na zażądanie usunięcia konkretnego wyniku pojawiającego się w  wyszukiwarce internetowej. Wyjątek stanowią materiały statystyczne niepozwalające na identyfikację osoby: jako jedyne mogą zostać zachowane.

JAKIE PROCEDURY POWINIENEM OPRACOWAĆ W SWOJEJ FIRMIE?

Nie podamy Ci gotowych rozwiązań i jedynej słusznej listy. To Ty znasz najlepiej swoją działalność i wdrażanie RODO musisz rozpocząć od przeanalizowania w których obszarach swojej działalności zbierasz i przetwarzasz dane osobowe. Znając jednak specyfikę małych firm podajemy przykłady podstawowych, najpopularniejszych procedur.

- procedura przy zapisie do newslettera/subskrypcjinajlepiej skorzystaj z gotowych rozwiązań, które posiadają firmy zajmujące się newsletterami, z których usług korzystasz. GetResponse czy Freshmail udostępniają swoim klientom gotowe zapisy.
-procedura przy posiadaniu formularza kontaktowego lub otrzymania od firmy wiadomości mailowej
- procedura w wypadku podawania swoich danych przy złożeniu zamówienia na zakup czy usługę Twojej firmy
- zmiana danych osobowych – każdy klient, którego dane zbierasz ma prawo do ich zmiany czy uzupełnienia
- usunięcie danych osobowych z bazy – to też podstawowe prawo Twojego klienta i musisz mieć procedurę, jak to wykonasz
- naruszenie danych osobowych – niestety, takie rzeczy jak wyciek danych osobowych z bazy zdarzają się i to dość często. Musisz mieć procedurę na wypadek takich nieprzyjemności.

MAJĄC JAKĄKOLWIEK FIRMOWĄ STRONĘ INTERNETOWĄ MUSIZ PAMIĘTAĆ O POLITYCE PRYWATNOŚCI

Polityka prywatności to po prostu zbiór informacji mówiących o wszystkim, co dzieje się na Twojej stronie internetowej. Musisz stworzyć zwięzłą informację w jaki sposób pobierasz przez stronę dane od użytkowników i co się z nimi dalej dzieje, czyli jak i w jakim celu je przetwarzasz. Najlepiej jeśli będziesz miał te wszystkie zapisy w osobnej zakładce, na stronie głównej, tak by łatwo je było znaleźć każdemu odwiedzającemu. W internecie znajdziesz wiele uniwersalnych zapisów o polityce prywatności np. sklepu internetowego. Nie rób jednak od razu kopiuj- wklej, tylko przeanalizuj zapisy pod kątem Twojej firmy. Nie wszystko co uniwersalne pasuje do wszystkiego.

CHCESZ WIEDZIEĆ WIĘCEJ? ZAJRZYJ

Rozporządzenie o które jest cały ten szum

https://giodo.gov.pl/pl/569/9276

Najważniejsze fakty o RODO i odpowiedzialność karna

https://www.pwc.pl/pl/artykuly/2017/10-najwazniejszych-zmian-ktore-wprowadza-rodo.html

http://www.lex.pl/czytaj/-/artykul/10-rzeczy-ktore-musisz-wiedziec-o-rodo

Masz pytania, chcesz podjąć współpracę z profesjonalistami?
Zapraszam do kontaktu: Mirosław MarmajMiroArt - Plac Pokoju 9, II piętro, Lębork.
Tel. 59 862 64 50, mail: biuro@miroart.pl

Zapoznaj się z naszą ofertą lub cennikiem.

Przejdź do góry strony