Wszyscy martwią się o swoje biznesy, wielu przenosi je do Internetu, musisz jednak pamiętać, że tym bardziej w sieci widać czy masz RODO czy nie, już pierwszy rzut oka na stronę pozwala ocenić zastosowanie się do Rozporządzenia RODO, jeżeli nie ma polityki prywatności, czy klauzul informacyjnych ze zgodą pod okienkami zapisów do newsletter lub formularzem kontaktu, to od razu firma rodzi podejrzenie braku RODO.
Wielu rękodzielników popełnia błąd, myśląc, że nie przetwarzają danych, albo RODO ich nie dotyczy, bo sprzedają na niewielką skalę. Jednak to, że sprzedajesz przez media społecznościowe – Instagram czy Facebook, nie oznacza, że nie przetwarzasz danych osobowych. Jeśli Twoje produkty są wystawiane w sklepach internetowych – wtedy też dochodzi do przetwarzania danych osobowych, dlatego też w takich przypadkach należy postępować zgodnie z RODO.
W związku z tym musisz poinformować o tym fakcie swoich klientów. Bez tej informacji naruszasz obowiązki wynikające właśnie z RODO oraz ustawy o ochronie danych osobowych. A ważne jest już, że posiadasz kontakt do swoich klientów, choćby imię i nazwisko, numer telefonu, email czy adres zamieszkania/dostawy. Nawet tak proste dane już obligują Cię do stosowania RODO.
Pamiętaj, że dane osobowe to taki zestaw informacji o osobie, który pozwoli ją jednoznacznie zidentyfikować. Czyli imię i nazwisko „Jan Nowak” nie będzie daną osobową, ponieważ mamy „Janów Nowaków” w Polsce pewnie kilkanaście tysięcy, ale mail jan.nowak@firmaABC.pl już taką daną osobową będzie, bo łatwo jest pana Janka znaleźć i zidentyfikować.
Jakie dokumenty musisz posiadać? Praktyczny przewodnik po RODO
Po pierwsze, trzeba posiadać politykę prywatności na stronie www. Co ciekawe, większość przedsiębiorców uważa, że polityka prywatności napisana jest do strony, a nic bardziej mylnego. Polityka prywatności to dokument zawierający wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych klientów i kontrahentów zbieranych przez Ciebie podczas realizacji Twojego biznesu. Zamiast mieć kilka pojedynczych obowiązków informacyjnych rozsianych po całej stronie internetowej można umieścić wszystko w jednym miejscu, czyli właśnie w polityce prywatności. Do niej poprowadzić odnośniki z klauzul informacyjnych pod formularzami kontaktu, rejestracji i newslettera na Twojej stronie. Wygląda to estetycznie i profesjonalnie.
Po drugie – nie zapomnij o ciasteczkach. Jeżeli na stronie internetowej są zbierane pliki cookies, to trzeba poinformować o tym użytkowników, to samo dotyczy podpiętego Pixela Facebook lub google analitics. Należy te informacje podać w polityce cookies lub dopisać do polityki prywatności. Jeżeli prowadzisz grupę na fb, to taka informacja z nazwą grupy powinna się w polityce znaleźć, ponieważ jest to kanał informacji i interakcji z Twoimi klientami.
Po trzecie, potrzebujesz tzw. klauzul informacyjnych i wymaganych zgód klientów, oto przykładowe sytuacje, w których zbierasz dane osobowe:
- zapis na newsletter;
- sprzedaż produktów w sklepie online lub poprzez sprzedaż wysyłkową;
- zapisy klientów na Twoje usługi;
- używanie formularzy kontaktowych;
- korzystanie z systemu komentowania artykułów czy wpisów na blogu;
- używanie zdjęć klientów (wizerunku) do promowania swojego biznesu, czyli np. wrzucasz je na FB czy IG;
- Jakikolwiek proces w Twoim biznesie, wymagający od klienta podania jego danych osobowych.
Polityka prywatności powinna zawierać odpowiednie klauzule informacyjne a pod okienkami zapisu muszą być zgody na pobranie tych danych, najlepiej w formie checkboxów, żeby zapewnić rozliczalność takiej zgody. Nie powinnaś pozostawiać zgody w tzw. domyśle, bo w razie roszczenia ze strony klienta ciężko Ci będzie się z tego wytłumaczyć.
Po czwarte, jeżeli zatrudniasz pracowników to do umowy z pracownikiem musisz:
- wstawić klauzulę informacyjną dla pracownika;
- wystawić pracownikowi upoważnienie do przetwarzania danych osobowych, jeżeli ma do nich dostęp;
- przypilnować, by pracownik podpisał oświadczenie o zachowaniu poufności.
Będziesz do tego potrzebować Rejestr osób upoważnionych.
Po piąte – umowy powierzenia są zapisem reguł i zakresu, w jakim podajesz dane osobowe Twoich klientów lub pracowników/ kontrahentów innej firmie. Czy chcesz czy nie, wymieniasz się danymi klientów ze swoimi usługodawcami, takimi jak firma hostingowa obsługująca twoją pocztę, stronę, sklep, biuro rachunkowe, księgowość, firma marketingowa, oprogramowanie do rezerwacji wizyt, firmą kurierską i innymi usługodawcami.
Podam Ci przykład: podajesz dane Twoich klientów firmie marketingowej X a ona wysyła reklamę do tych osób ale od innego zleceniodawcy. Klienci wściekli dzwonią do Ciebie o co chodzi, grożą zgłoszeniem do UODO, bo to Tobie podpisali zgodę marketingową. Jeżeli podpisałaś z firma X umowę powierzenia to jest w niej zakres i cel dla jakiego dostali dane Twoich klientów, ale również to co mają zrobić z danymi po rozwiązaniu umowy – skasować lub oddać Tobie np. Masz podstawę do roszczeń oraz w razie skargi – masz winnego – firma X nie zastosowała się do umowy powierzenia danych osobowych.
A piąte i pół mówi o tym, że musisz stworzyć Rejestr podmiotów przetwarzających, żeby wiedzieć co, komu, w jakim zakresie i do kiedy przekazujesz.
Po szóste musisz posiadać procedurę postępowania w przypadku naruszenia ochrony danych osobowych, aby wiedzieć co się stanie jak wyciekną dane Twoich klientów, na przykład ktoś ukradnie Ci telefon lub laptopa. Musisz wiedzieć co jest incydentem, jak postępować w takiej sytuacji. Co to są te „Incydenty” w RODO – są to wszystkie te zdarzenia, które mogą spowodować wyciek danych, zniszczenie lub kradzież danych osobowych a przed czym powinniśmy się chronić.
Jako sprzedawca, a zwłaszcza jako administrator danych osobowych Twoich klientów musisz też wiedzieć co zrobić, jak już się wydarzy INCYDENT. Jak należy go opracować zgodnie z RODO, czyli jakie formularze i papiery wypełnić jak się cokolwiek z powyższego wydarzy. Kogo powiadomić i w jakim czasie.
Po siódme, trzeba wiedzieć jak używać komputera i telefonu firmowego. W RODO nazywamy to Instrukcją używania nośników danych oraz zasadą czystego biurka i czystego ekranu. W przypadku kontroli z Urzędu Ochrony danych osobowych (UODO), mile widziany jest zestaw poniższych zasad, spisany jest w formie polityki. Czyli jak używać komputera firmowego:
Zmieniaj hasła co 90-120 dni;
Blokuj hasła na 10 minut po kilku nieudanych próbach;
Stosuj różne hasła do różnych systemów;
Hasła prywatne powinny być różne niż hasła służbowe;
NIE zapisuj hasła w oczywistych miejscach;
Zasada czystego ekranu;
Stosuj wygaszacz ekranu;
Stosuj Blokadę ekranu (WIN+L);
Nie zostawiaj wolnego dostępu do systemów w komputerze jak nie Cię przy nim nie ma.
Po ósme – RODO wprowadziło prawa dotyczące danych osobowych, które przedsiębiorca czyli administrator danych osobowych musi bezwzględnie zrealizować na życzenie osoby, która się o to zwraca. Polecam sformalizować ten proces, żeby nie dać się zaskoczyć klientce, która poprosi o „zapomnienie” lub „przeniesienie” jej danych do innego administratora. Warto więc zadbać o politykę realizacji praw osób, których dane dotyczą.
Celem takiej Polityki jest określenie jednolitych zasad i procedur w zakresie realizacji praw osób, których dane osobowe przetwarzasz jako administrator danych osobowych. Warto posiadać gotowy formularz-wniosek o realizację praw oraz odpowiedź na taki wniosek i rejestr wniosków na wypadek późniejszych roszczeń.
Nowoczesna firma musi posiadać wszystkie niezbędne dokumenty i treści klauzul RODO, aby spełniać wymagania prawne i uniknąć kar i niedogodności! Musisz prowadzić rejestry zbierając dane osobowe użytkowników, jakie informacje masz prawo przechowywać, a jakie musisz usunąć po upływie okresu przechowywania.
Jak przetwarzać dane osobowe klientów i pracowników? RODO reguluje te wszystkie kwestie, chroniąc również nas jako konsumentów i obywateli, bo przecież nie zawsze występujemy w roli przedsiębiorcy. Spójrz na RODO od strony klienta, zapewne dobrze byłoby, aby Twoje dane pozostawiane w sklepie online czy urzędzie były bezpieczne i w taki sposób należy zapewnić bezpieczeństwo danych osobowych Twoich klientów.
Klaudia Olszak
Inspektor Ochrony Danych Osobowych, KOFirma Klaudia Olszak ul. Dziesięciny 60D/1, 15-806 Białystok NIP 5252181179
T: 48 516 605 505
e-mail: kolszak@kofirma.pl