Niedługo miną trzy lata, od kiedy RODO mocno zamieszało w temacie przetwarzania danych. Internet zalała fala publikacji, tych mniej obszernych i tych bardziej kompleksowych. Niestety zdecydowana większość z nich dotyczy dużych, złożonych biznesów i organizacji. A co z małymi firmami i mikrobiznesami? Tu zasoby Googla wyglądają już gorzej. Zobacz, jakie błędy dotyczące RODO popełniają najczęściej właściciele małych biznesów.
Ponoć najwięcej człowiek uczy się na błędach, a najskuteczniej na tych własnych. Nie czekaj więc na okazję, aby popełnić RODO-błędy. Przeczytaj o tych, które najczęściej popełniają małe biznesy. Sprawdź, czy one również dotyczą Ciebie.
Błąd nr 1 – RODO tylko na stronie
RODO to nie tylko zgody i polityka prywatności na stronie czy blogu. To cały proces, który tylko częściowo widać na zewnątrz, czyli np. na stronie internetowej. RODO to również szereg obowiązków do wypełnienia, a obowiązek informacyjny – spełniany np. za pomocą polityki prywatności – to tylko jeden z nich.
Masz na stronie politykę prywatności i komunikat o ciasteczkach? Masz odpowiednio przygotowane formularze np. do zapisu na newsletter lub do komentarzy? Świetnie, ale nie poprzestawaj na tym. Pamiętaj np. o polityce bezpieczeństwa ochrony danych osobowych i rejestrze czynności przetwarzania.
Pamiętaj, że polityka bezpieczeństwa przetwarzania danych to zupełnie inna polityka niż ta, którą masz na stronie internetowej. Tej pierwszej nigdzie na zewnątrz nie udostępniasz. To jest wewnętrzny dokument, w którym opisujesz procedury i zabezpieczenia zastosowane, by bezpiecznie zarządzać danymi osobowymi. Aby taką politykę przygotować, niezbędne będzie przeprowadzenie choćby mini – analizy danych, jakie przetwarzasz w swoim biznesie lub prowadząc bloga.
Błąd nr 2 – Poproszę o zgodę na wszelki wypadek
Zacznijmy od podstaw. Przetwarzanie danych nie może się odbywać bez podstawy prawnej. Czym jest podstawa prawna? To taka sytuacja, która daje Ci prawo przetwarzania danych osobowych. Jest ich kilka, a ich zamkniętą listę znajdziesz w Artykule 6 Rodo. „Zgoda” jest jedną z podstaw prawnych, ale nie jedyną. Nie jest też „awaryjną” podstawą prawną. Co to znaczy?
Wiele osób, gdy nie wie, jak ustalić podstawę prawną, na wszelki wypadek prosi o wyrażenie zgody na przetwarzanie danych. W wielu sytuacjach taka zgoda nie jest konieczna, bo już istnieje inna podstawa prawna. Najczęstszym przykładem popełniania tego błędu jest proszenie o zgodę na przetwarzanie w celu realizacji sprzedaży. W przypadku, gdy ktoś kupuje coś od Ciebie, podstawą przetwarzania jest sama umowa sprzedaży – nawet wtedy, gdy umowa ma formę tylko ustaleń mailowych czy telefonicznych. A co się stanie, gdy jednak poprosisz o zgodę w takiej sytuacji?
Wtedy wprowadzisz klienta w błąd. Dlaczego? Bo dajesz mu wrażenie, że klient – swoją wyrażoną zgodę na przetwarzanie danych – może cofnąć. W przypadku sprzedaży dane muszą być przetwarzanie nie tylko podczas realizacji sprzedaży. Trzeba je również przetwarzać przez czas realizacji obowiązków podatkowo-księgowych np. przechowując faktury sprzedażowe (masz obowiązek przechowywać je przez 5 lat). I jeszcze jedna wskazówka: podstawa prawna może się zmienić na różnych etapach drogi klienta. W opisywanym przypadku będzie to najpierw umowa, a potem obowiązek prawny administratora, czyli Twój.
Błąd nr 3 – Antywirus i wtyczka dot. cookies wystarczy
Nie wystarczy, bo nie tylko o zabezpieczenia techniczne w RODO chodzi. RODO całkowicie zmieniło optykę, jeśli chodzi o obowiązki administratora danych w zakresie dbania o bezpieczeństwo danych. Cała odpowiedzialność ciąży na… Tobie, jako administratorze. Ale na pocieszenie dodam, że za odpowiedzialnością idzie również decyzyjność. Tak, to właśnie Ty decydujesz, jak zadbać o bezpieczeństwo danych osobowych, które przetwarzasz. Zachowaj jednak rozwagę w tym temacie. Tutaj trzeba się przyłożyć.
Zabezpieczenia danych mogą mieć charakter prawny, techniczny i organizacyjny. I należałoby wyjść właśnie od tych organizacyjnych, bo to one głównie będą się składać na politykę ochrony bezpieczeństwa danych w niedużych biznesach. Chodzi tu o procedury i zasady postępowania z danymi, szczególnie, gdy mają do nich dostęp inne osoby, np. pracownicy, współpracownicy czy podwykonawcy.
Zabezpieczenia techniczne też są bardzo ważne. Muszą być dostosowane do określonej procedury, którą powinny wspierać. Dobierając zabezpieczenia, weź pod uwagę ryzyko związane z przetwarzaniem, mogące prowadzić do naruszenia praw osób, których dane przetwarzasz. Swoją drogą, zwróć uwagę również na wtyczki, które masz zainstalowane na Twojej stronie internetowej. Bywa, że to właśnie one są „niedomkniętymi drzwiami” do Twojej strony, przez które dostęp – do gromadzonych przez stronę danych – mogą mieć niepowołane osoby.
Błąd nr 4 – Będę trzymać te dane, bo może jeszcze się przydadzą
To grzech (chyba każdego) przedsiębiorcy mającego zacięcie marketingowe. Na pewno znasz wartość danych w biznesie online.. Pamiętaj jednak, że przetwarzanie danych bez podstawy prawnej jest naruszeniem. Sprawdź, czy dla wszystkich danych, które przetwarzasz, umiesz wskazać podstawę przetwarzania. Podstawa prawna jest związana z celem przetwarzania. W przypadku, gdy dalsze przetwarzanie nie jest celowe, ani nie wymagają tego obowiązki prawne, wówczas takie dane należy zarchiwizować lub usunąć.
Nie przetrzymuj danych, bo „mogą się jeszcze przydać”. Jeśli nie masz podstawy prawnej, to samo przechowywanie takich danych jest bezprawne, a poza tym takie dane do niczego Ci się nie przydadzą. Do osób z takiej listy nie możesz wysyłać żadnych komunikatów marketingowych czy ofert, dlatego wcześniej warto zadbać o odpowiednią podstawę prawną, jeśli ta, na podstawie której przetwarzałeś dane, już nią nie jest.
I tak wracając do naszego przykładu ze sprzedażą. W chwili zrealizowania zamówienia klienta i wysłaniu mu faktury lub rachunku „kończy się” nam podstawa prawna, którą była umowa sprzedaży. Dane klienta będziesz przetwarzać nadal, ale już w celu realizacji obowiązków podatkowo-księgowych. Jeśli jednak chciałabyś do takiej osoby wysyłać newsletter lub informacje o ofercie czy promocjach, to należy ją poprosić o wyrażenie zgody na przetwarzanie danych w tym celu.
Błąd nr 5 – Brak świadomości, jakie dane są przetwarzane w firmie
Dotyczy to również blogów, choć tam tych danych jest trochę mniej. Wiedza na temat tego, jakie dane; jak; gdzie i przez kogo są przetwarzane to punkt wyjścia do tego, by ogarnąć RODO w swoim biznesie.
Poprzednia ustawa dot. ochrony danych osobowych kładła nacisk na zbiory danych (np. zbiór klientów, zbiór kandydatów do pracy, zbiór osób zapisanych do newslettera). RODO odeszło od takiego rozumienia danych i kładzie nacisk na procesy. Jest to bardziej sensowne, ponieważ mocniej odzwierciedla rzeczywiste przetwarzanie danych. Dlaczego? W Twoim biznesie zauważysz, że te same dane osobowe są przetwarzane w ramach różnych procesów np. proces realizacji sprzedaży, proces wysyłki newslettera. Te procesy możesz nazwać dowolnie. Ważne, byś wiedział, jak oraz skąd dokąd dane przepływają w Twojej firmie.
Czy wiesz, że maile, które wysyłają do Ciebie osoby zainteresowane Twoimi usługami lub produktami, zawierają dane osobowe?
Błąd nr 6 – Brak wiedzy, kiedy naruszenie wystarczy zarejestrować a kiedy należy zgłosić do UODO
Na świecie przetwarzane są przeogromne ilości danych i nie uniknie się incydentów związanych z bezpieczeństwem danych. Zależnie od sytuacji niosą one różne konsekwencje dla osób, których dane są przetwarzane, jak i administratorów i procesorów tych danych.
Jako administrator danych masz obowiązek uwzględnić w swojej polityce bezpieczeństwa procedury postępowania z takimi incydentami. Przykładem takiego incydentu może być choćby zgubienie lub kradzież laptopa, skopiowanie danych przez pracownika i wyniesienie ich z biura, wysłanie wiadomości do wielu adresatów bez zastosowania funkcji „ukrytej kopii”, przypadkowe wykasowanie danych bez możliwości ich odtworzenia.
Warto wiedzieć, że takie incydenty należy odnotowywać w specjalnym rejestrze naruszeń. Niektóre z nich (gdy doszło lub jest duże ryzyko, że dojdzie, do naruszenia praw i wolności osób, których dane dotyczą) należy zgłosić do Urzędu Ochrony Danych Osobowych. W przypadku tych ostatnich trzeba to zrobić w ciągu określonego czasu i liczą się tu godziny, a nie dni.
Błąd nr 7 – Brak wiedzy, kiedy występujesz jako administrator, a kiedy procesor danych
RODO nakłada odpowiedzialność za przetwarzanie danych na administratorów i podmioty przetwarzająca dane. Nazywa się ich procesorami. Procesor to ten podmiot, któremu administrator, np. jako podwykonawcy, powierza dane np. w celu wykonania jakiejś usługi lub outsourcingu. Czy widzisz różnicę? Tak, administrator może z tymi danymi zrobić więcej.
To administrator określa cele przetwarzania danych, a procesor jest zawsze związany tym, co określi administrator. Relacje pomiędzy administratorem a procesorem mogą być proste lub złożone. A sytuację dodatkowo komplikuje fakt, że czasami – w stosunku do podobnych danych – będziesz administratorem, ale innym razem możesz być procesorem. I od tej właśnie konkretnej sytuacji będą zależały Twoje obowiązki i zakres odpowiedzialności. Przykład? Proszę bardzo.
Prowadzisz fanpage lub grupę na Facebooku? Masz biznesowy profil na Instagramie? Jeśli tak, to czy wiesz, że administratorami danych osób, które dołączyły do grupy lub komentują Twoje posty jesteście: i Ty, i Faceboook? Jesteście, ale w różnym zakresie i warto rozumieć, w jakim.
Inny przykład bycia procesorem danych: załóżmy, że oferujesz usługę polegającą na wspieraniu sprzedaży albo zarządzasz kontem do reklam swojego klienta. W takich sytuacjach, w stosunku do danych osobowych, do których Twój klient daje Ci dostęp (np. do listy swoich klientów) będziesz procesorem danych, a administratorem będzie Twój klient.