Niektórzy z naszych Klientów dla których tworzymy strony internetowe zwracają się do nas z prośbą o uregulowanie – w ramach ich serwisów internetowych czy sklepów – spraw związanych z RODO (Rozporządzenie o Ochronie Danych Osobowych). W tym wpisie dzielimy się praktycznymi pomysłami jak dostosować się do RODO w małej firmie.
Po uporządkowaniu tematu, opublikowaniu zaktualizowanej polityki ochrony danych osobowych i cookie pojawia się często pytanie: – Czy wdrożyłem RODO? A jeśli nie, to co dalej?
W tym wpisie chcielibyśmy w sposób zrozumiały odpowiedzieć na to pytanie, zaznaczając, że nie należy go traktować jako porady prawnej.
Wdrożenie w firmie procesów ochrony danych osobowych wynikających z ustawy RODO nie polega tylko na opublikowaniu polityki prywatności, cookie, zmianach w formularzach i wydrukowaniu kilku dokumentów polityk, przechowywanych w segregatorze. To jest tylko “opakowanie” i spełnienie obowiązku informacyjnego. Istotne jest to, czy w naszej firmie stosujemy się do tego, co napisaliśmy i faktycznie chronimy dane osobowe.
Rodo w praktyce
Co w takim razie powinniśmy zrobić? Aby przełożyć obowiązek ustawowy na konkretne działania w małej firmie, zalecamy:
- Poinformować pracowników, współpracowników o naszej polityce ochrony danych osobowych. Poprosić ich o zapoznanie się z tym dokumentem, potwierdzenie zrozumienia i przestrzeganie zapisów w nim zawartych. Jeśli w naszej firmie pracuje kilka osób, dobrze jest wyznaczyć jedną, która będzie co najmniej zorientowana w temacie ochrony danych osobowych (często będzie to właściciel);
- Właściciel firmy (administrator danych osobowych) powinien upoważnić przynajmniej ustnie (choć lepiej pisemnie, z uwagi na możliwość przechowania i w razie potrzeby posłużenia się takim dokumentem) pracowników, współpracowników, którzy w celu wykonania swoich obowiązków otrzymują lub wprowadzają jakiekolwiek dane osobowe (np.: pracownik magazynu dokonujący wysyłki towarów, osoba wystawiająca FV, handlowcy pracujący w systemie CRM, osoby przygotowujące i wysyłające oferty do klientów);
- Przygotować się na wypadek, kiedy ktoś zgłosi się do nas z prośbą o informacje lub będzie żądał swoich ustawowych praw. Po weryfikacji czy ta osoba jest osobą, której dane dotyczą zdecydowanie należy zająć się sprawą. Najczęściej będzie to usunięcie danych (o ile oczywiście ma do tego prawo) lub udzielenie tej osobie informacji. W razie wątpliwości należy skontaktować się z prawnikiem lub osobą zajmującą się w firmie ochroną danych osobowych. Zgodnie z RODO należy udzielić odpowiedzi w ciągu 30 dni. Można ten termin wydłużyć o kolejne 60 dni, w przypadku gdy sprawa / wniosek jest skomplikowana – z zastrzeżeniem, że trzeba o tym poinformować wnioskodawcę w ciągu pierwszych 30 dni.
- Stworzyć rejestr czynności przetwarzania (RCP) i na bieżąco go aktualizować. Takim rejestrem może być prosta tabelka w Excelu, w której wpiszemy wszystkie czynności w naszej firmie, gdzie dochodzi do przetwarzania danych osobowych i dla każdej z nich w kolejnych kolumnach wpiszemy: jaki jest cel przetwarzania tych danych, jaką mamy podstawę prawną lub zgodę na ich przetwarzanie, jakie kategorie danych osobowych przetwarzamy, jak długo te dane przechowujemy, gdzie je przechowujemy, kto ma do nich dostęp, jakie środki ochrony wprowadziliśmy. Już samo wypełnianie tej tabelki daje wiele do myślenia;
- Zebrać wszystkie umowy powierzenia przetwarzania danych osobowych z firmami zewnętrznymi (procesorzy), którym powierzamy dane do przetwarzania (np.: firma hostingowa, księgowa, firma opiekująca się stroną www). Zadbać o podpisanie umowy z tymi firmami z którymi nie podpisaliśmy jeszcze umów – wiele wzorów jest dostępnych do pobrania w Internecie;
- Przejrzeć wszystkie zbiory z danymi osobowymi i usunąć te rekordy lub akta papierowe, których nie mamy prawa posiadać lub nie mamy stosownych zgód (klauzule zgód). Ten proces należy powtarzać np.: na początku każdego roku. W tym działaniu należy uwzględnić również wszystkie kopie bezpieczeństwa (backupy). Zgodnie z RODO nie możemy przechowywać danych osobowych w nieskończoność, nawet jeżeli mamy odpowiednie zgody i podstawy prawne. Informacje o okresie przechowywania danych osobowych zawarte są najczęściej w wymienionym powyżej rejestrze RCP. Nie zawsze musimy kasować rekordy – możemy dane osobowe zanonimizować. Zdecydowanie jest to jeden z trudniejszych obszarów zarządzania ochroną danych osobowych w firmach;
- Edukować siebie, pracowników i współpracowników z zakresu RODO;
- Nie wysyłać mailem ofert handlowych do osób, które nie wyraziły na to zgody. Nie dzwonić do tych osób. Jeśli mamy bazę potencjalnych klientów ale nie mamy ich zgód to najpierw należy pozyskać odpowiednie zgody.
- Pamiętać o uruchomieniu podstawowych zasad bezpieczeństwa na komputerach firmowych takich jak: aktualny antywirus i inne zabezpieczenia, regularne aktualizacje systemu operacyjnego i programów, szyfrowanie danych, blokowanie dostępu do komputera hasłem, regularne zmiany haseł, regularne kopie bezpieczeństwa. W obecnych czasach nasze smartfony to również komputery, więc należy tu stosować podobne mechanizmy;
- Zabezpieczyć firmową sieć WiFi hasłem, włączyć szyfrowanie połączeń i zabezpieczenia firewall. Starać się aktualizować router na bieżąco.
- Wdrożyć certyfikat SSL na stronie WWW i w miarę możliwości korzystać ze stron internetowych za pomocą transmisji szyfrowanej https.
- Regularnie, co kilka miesięcy należy dokonywać weryfikacji i aktualizacji naszej polityki prywatności i innych wdrożonych polityk, procedur bezpieczeństwa. Nasza firma i otoczenie biznesowe cały czas się zmienia, więc należy aktualizować również wdrożone polityki.
Poniżej przedstawiamy listę sytuacji w małej firmie, kiedy najprawdopodobniej należy dokonać aktualizacji naszych polityk.
- Zmiana dostawcy serwera internetowego, poczty elektronicznej, usługodawcy świadczącego usługi chmurowe;
- Uruchomienie nowej strony internetowej;
- Nawiązanie współpracy z nowych partnerem, współpracownikiem, gdzie konieczne jest przekazywanie danych osobowych;
- Dodanie nowej funkcjonalności do serwisu internetowego, która wykorzystuje pliki cookie lub gromadzi dane osobowe;
- Zmiana systemu do wystawiania FV, CRMa, email marketingu, analizy danych i innych systemów IT, w których przetwarzamy dane osobowe;
- Dodanie nowego profilu sieci społecznościowych;
- Zmiana firmy informatycznej, firmy księgowej;
- Zawsze, kiedy uruchamiamy nowy projekt należy przeanalizować czy przy okazji takiego uruchomienia, nie pojawia się w nim zagadnienie danych osobowych, a jeśli tak, to jak będziemy te dane chronić (privacy by design).
Jeśli nasze systemy zostaną zhackowane, dane osobowe zostaną wykradzione lub przez nieuwagę przekazane przypadkowym osobom, należy jak najszybciej zadbać o minimalizację skutków wycieku tych danych osobowych, udokumentować wewnętrznie sytuację i być może (to zależy o sytuacji) poinformować osoby, których dane osobowe wyciekły – tutaj należy to skonsultować z prawnikiem. Najlepiej zawczasu przygotować sobie odpowiednią procedurę i uruchomić ją na wypadek takiej okoliczności. (W skrajnych przypadkach, kiedy mówimy o dużych zbiorach konieczne będzie powiadomienie zainteresowanych osób, że ich dane wyciekły oraz zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych);
Mamy nadzieję, że tym wpisem pomogliśmy przełożyć skomplikowane tematy RODO na konkretne działania RODO w praktyce w małej firmie.