RODO zobowiązuje nas do zabezpieczenia danych i przetwarzania ich w sposób bezpieczny ale nie mówi jak mamy to robić co dla osób mniej technicznych jest niewątpliwie dużym kłopotem. Jakie my środki zastosujemy to już jest nasza sprawa. Najważniejszy aby były one skuteczne i adekwatne dla naszych baz danych.
Jeśli przykładowo prowadzimy newsletter to możemy skorzystać z oferty innych podmiotów, które świadczą tego typu usługę. W tym przypadku zewnętrzna firma może mieć dostęp do naszych danych dlatego RODO zobowiązuje nas do podpisania z tą firmą umowy powierzenia.
Wszystko ładnie i pięknie jak zwykle wygląda na papierze. A jak to się ma do rzeczywistości? Omówmy pokrótce kilka zagadnień związanych z RODO.
Ewidencjonowanie Incydentów Naruszeń Ochrony Danych Osobowych
Jest to nowość bo w porównaniu z GIODO (Generalny Inspektor Ochrony Danych Osobowych) nie mieliśmy takiego obowiązku. Na czym polega EINODO? Firma nie tylko musi wdrożyć odpowiednie środki bezpieczeństwa aby dane, które przetwarza nie zostały naruszone, ale również, w przypadku przełamania zabezpieczeń i naruszenia integralności baz danych, należy sporządzić z tego zdarzenia raport uwzględniając konkretne dane na temat samego zdarzenia. Sam raport musi być jak najdokładniejszy pod względem technicznym. Co to znaczy? Należy zbadać i opisać jak doszło do włamania i wycieku danych oraz jakie dane zostały naruszone. Czy to wszystko? Wiemy, że baza danych została naruszona. Napisałeś raport, który włożyłeś do segregatora i trzymasz pod kluczem w szafce. Na koniec, w myśl rozporządzenia, jesteś zobowiązany zgłosić taki incydent do odpowiednich organów. I masz na to tylko 72 godziny. Działa to trochę na zasadzie donosu tylko, że donosimy na siebie w nadziei na mniejsze kary, które będą o wiele wyższe jeśli tego nie zgłosimy a fakt włamania wyjdzie na jaw.
Najzabawniejsze jest to, że w przypadku gdy korzystamy z usług firmy, której powierzyliśmy nasze dane i do włamania doszło u nich, to i tak jesteśmy zobowiązani do zgłoszenia i sporządzenia raportu. RODO nakłada na nas obowiązek korzystania ze sprawdzonych usług. Z pozoru wydaje się to mało logiczne ale RODO chyba chce powiązać przedsiębiorstwa i osoby fizyczne wielką siecią bezpieczeństwa i wzajemnej zależności. Spójrz na to w ten sposób. Kiedy zlecasz firmie A budowę domu a ta firma zatrudnia szereg innych podwykonawców, to firma A jest odpowiedzialna za jakość pracy i wykonania powierzonych zadań przez podwykonawców. Nie może być tak, że jeśli coś będzie źle zrobione to firma A nie weźmie odpowiedzialności za źle wykonaną pracę.
Pamiętaj również, że po wszystkim musisz wprowadzić działania naprawcze i ewentualnie w razie potrzeby, zmodyfikować swoje systemy bezpieczeństwa.
Rejestr Czynności Przetwarzania
Jest to dokument, który uwzględnia wszystkie działania na danych osobowych jakie przetwarza twoja firma. Jeśli wysyłasz mailing to czynnością przetwarzania jest wysłanie mailingu. Tym samym przetwarzasz adresy email i być może jeszcze inne dane jak imię i nazwisko, wiek, płeć itp. (kategorie danych osobowych). Cały ten rejestr ma za zadanie pokazać w jakim celu są przetwarzane dane osobowe, jak są zabezpieczone, kto ma do nich dostęp. W przypadku sprzedaży produktu na sklepie możesz używać danych do wystawiania faktur. Co prawda używasz tych samych danych ale jest to inna czynność, którą należy uwzględnić. Banalna sprawa jaką jest komentowanie i wystawianie opinii odnośnie zakupionego produktu również podlega pod Rejestr Czynności Przetwarzania. W tym przypadku, w zależności od platformy sprzedażowej, możesz mieć wgląd do takich danych jak imię i nazwisko / nick, adres IP, adres email czy choćby adres strony WWW komentującego.
Taki rejestr nie jest obowiązkowy w każdej firmie ale dobrze jest go mieć i wykazać się jego posiadaniem w trakcie kontroli. Wystarczy wykaz w postaci prostej tabeli. Ewidencjonuj sam proces (rozsyłając Newsletter nie ewidencjonujesz każdego subskrybenta z osobna).
Powierzenie Przetwarzania Danych Osobowych
Działa to na prostej zasadzie. Ty, jako przedsiębiorca, powierzasz dane osobowe swoich klientów innej firmie (zewnętrznej) nie związanej z twoją, w celu świadczenia usługi prze tą firmę na twoją korzyść. Jako przykład mogę podać Newsletter, który często jest obsługiwany przez zewnętrzną firmę dysponującą usługą i oprogramowaniem, ułatwiającą cały proces jego przygotowania i rozesłania. Oczywiście korzystanie z usług zewnętrznego podmiotu ma sens w przypadku setek lub tysięcy subskrybentów.
Pamiętaj, żeby sprawdzić czy taka firma opisuje co w takim przypadku się dzieje z danymi twoich klientów na ich serwerach i w jaki sposób te dane będą przechowywane. Jeśli ie ma takiej informacji – zapytaj.
Analiza Ryzyka
Głównym założeniem jest to, aby dane były jak najbardziej bezpieczne. Analiza Ryzyka ma na celu przeanalizowanie konkretnych twoich działań i wyborów oraz wcześniejsze wykrycie tych, które mogą stanowić w przyszłości ryzyko i doprowadzać do wycieku danych. To trochę jak wróżenie z fusów bo nie jesteśmy w stanie przewidzieć czy wybór usługi konkretnej firmy będzie dla nas tak samo bezpieczny w kilkumiesięcznych odstępach czasu. Dlatego właśnie taką analizę trzeba wykonywać i weryfikować co jakiś czas.
Sporządzając dokument Analiza Ryzyka, opisz w nim co zdaniem administratora może pójść nie tak, jakie mogą być tego konsekwencje i jakie powinny być działania zapobiegawcze.
Inspektor Ochrony Danych Osobowych
Taka osoba ma za zadanie pomóc. Błędem jest myślenie, że po zatrudnieniu kogoś takiego cała odpowiedzialność spada na niego. Nadal pełna odpowiedzialność za zbiory danych chronionych ma ich administrator.
IODO to ktoś kto dysponuje wiedzą prawniczą na temat RODO oraz zna się na informatyce, szczególnie pod względem bezpieczeństwa. Oddelegowanie zwykłego pracownika na takie stanowisko nie jest dobrym wyjściem. Niestety w tym przypadku aspekty prawa i informatyczne niuanse wzajemnie się przeplatają co wymusza zatrudnienie kogoś z odpowiednimi kwalifikacjami.
Oczywiście Administrator Danych Osobowych musi być w ciągłym kontakcie z IODO i wspólnie muszą wymieniać informacje na temat bezpieczeństwa danych firmy. W przypadku kontroli, IODO spełnia rolę łącznika pomiędzy administratorem danych a osobą kontrolującą przedsiębiorstwo. W małych firmach bardzo często Administratorem Danych Osobowych jest sam szef lub kierownik, który powinien być wspierany prze IODO dla zapewnienia jak najwyższego poziomu bezpieczeństwa.
Informuj co, gdzie, jak i kiedy
Niewątpliwie bardzo pożądanym przez klientów, będzie wymóg informacyjny. Przedsiębiorco, musisz poinformować swojego klienta jakie dane zbierasz, po co je zbierasz, w jakim okresie je zbierasz i jakie klient ma prawa. Koniec ze stosowaniem prawniczego bełkotu, który jest niezrozumiały dla zwykłego człowiek. Musisz pisać ze zrozumieniem.
Polityka Prywatności
Na ten temat powstał już wcześniej osobny wpis więc nie ma sensu powielać tutaj tej wiedzy. Po więcej szczegółów odsyłam do wspomnianego artykułu.
Polityka prywatności na przykładzie sklepu internetowego
Tarcza prywatności
Jest to program, do którego przystępują firmy spoza Unii Europejskiej, a które działają i przetwarzają dane obywateli Unii. Firma przystępując do tego programu zaświadcza swoim klientom będącym mieszkańcami Europy, że ich dane przetwarzane są na zasadach panujących w UE i zgodnie z RODO. Należy mieć na uwadze, że jest to tylko oświadczenie konkretnej firmy i nie możemy mieć pewności jak to wygląda w praktyce. Dla własnego prawnego bezpieczeństwa, jeśli już musisz korzystać z firmy zagranicznej bo akurat nie możesz znaleźć innej firmy z bliźniaczo podobną usługą lub produktem, to postaraj się przeczytać ich Politykę Prywatności. Szukaj wzmianki, że ta firma przystąpiła do Tarczy Prywatności i otrzymała stosowny certyfikat. Będzie to twoje zabezpieczenie potwierdzone w twojej dokumentacji odnośnie RODO, że dołożyłeś wszelkich starań aby zachować jak najwyższe bezpieczeństwo przetwarzania danych twoich klientów.
Papier zwykły i elektroniczny
RODO nie wprowadza podziału na dokumenty papierowe i elektroniczne. Pod względem zabezpieczenia, firma jest obowiązana dołożyć wszelkich starań i zabezpieczyć w sposób wyczerpujący zarówno papierową i elektroniczną wersję dokumentu. W przypadku wersji papierowej mamy większą kontrolę nad dokumentem gdyż mamy go fizycznie w firmie i wiemy kto ma do niego dostęp. Dokument w postaci elektronicznej wysłany do internetu, chmury, na dysk Google lub do innej tego typu usługi, jest poza naszą kontrolą i musimy ufać zapewnieniom podmiotu, z którym współpracujemy.
Dokumenty papierowe zabezpieczysz przechowując je we wzmocnionych szafka / szafach zamykanych na klucz, sejfach, w osobnym pomieszczeniu na tego typu dokumenty itp. Sposobów jest wiele, wystarczy poszukać. Oczywiście należy prowadzić rejestr dostępu do danych i wykaz kluczy dostępu uwzględniając wszystkich, którzy mają dostęp do danych.
Czy zgłaszać bazę danych do GIODO?
Obecnie czas oczekiwania na rozpatrzenie takiego wniosku wynosi około dwóch lat. Tak więc jeśli chcesz być w zgodzie z jeszcze obowiązującymi przepisami to możesz takowy wniosek złożyć i przygotowywać się do RODO. GIODO wyłączyło możliwość składania takich wniosków drogą elektroniczną za pośrednictwem swojej strony. Po wejściu na ich stronę zobaczymy komunikat o następującej treści:
„Szanowni Państwo,
w związku z przygotowywaniem przez Biuro GIODO systemów informatycznych do nowych obowiązków nałożonych na Generalnego Inspektora Ochrony Danych Osobowych z dniem 25 maja 2018 roku przez Parlament Europejski i Rady (UE) Rozporządzeniem 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE z dniem 1 stycznia 2018 roku nie będzie możliwe rejestrowanie zbiorów danych osobowych poprzez stronę internetową www.egiodo.giodo.gov.pl Do dnia 25 maja 2018 zbiory danych osobowych będzie można rejestrować pod adresem https://www.biznes.gov.pl , zaś po 25 maja 2018 roku obowiązek rejestracji zbiorów danych osobowych zostaje zniesiony.
Za powstałe utrudnienia przepraszamy.
dr Edyta Bielak-Jomaa
Generalny Inspektor Ochrony Danych Osobowych”
Źródło: https://egiodo.giodo.gov.pl/formular_step0.dhtml
Elektroniczne wnioski są przyjmowane nas tronie BIZES.GOV.PL. Link macie poniżej:
Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
Kary finansowe za niezgodność z RODO
Za niedostosowanie się do wymagań w kwestii zabezpieczenia danych osobowych, firma, po przeprowadzonej kontroli, może zostać obciążona karą finansową i obowiązkiem wdrożenia działań naprawczych. W RODO są zdefiniowane górne granice takich kar i wynoszą one nawet 20 000 000 mln. euro. Oczywiście dla większości są to powalające sumy i sądzę, że takie kwoty zostały wprowadzone ze względu na te bogatsze firmy, które dysponują takimi pieniędzmi. Sądzę, że w przypadku wykrycia uchybień w zabezpieczeniach, audytor będzie sprawdzał kondycję finansową firmy i na tej podstawie nakładał odpowiednio wysokie kary dostosowane do obrotów firmy. Jest to najrozsądniejszy sposób postępowania choć nie zawsze taką karę możesz dostać. To będzie też zależało od skali naruszenia bezpieczeństwa. Obawy powinny mieć firmy, które przetwarzają dane na masową skalę a nie są przystosowane do RODO.
Kodeks Dobrych Praktyk
Co to takiego? Takie kodeksy już powstają i będą powstawać w trakcie życia RODO. Na dzień dzisiejszy Kodeksy Dobrych Praktyk dopiero raczkują i nie jestem w stanie przytoczyć jakichś konkretnych rozwiązań.
Oczywiście każdy dysponujący odpowiednimi umiejętnościami, wiedzą i doświadczeniem może napisać taki kodeks sam. Zalecałbym szukać kodeksu najbardziej pasującego do profilu twojego przedsiębiorstwa i odpowiednio go zmodyfikować, aby jak najbardziej pasował konkretnie dla twojej firmy. Pamiętaj, że każda firma się różni i wykorzystywane technologie mogą być diametralnie odmienne. To samo dotyczy przetwarzania danych osobowych. Dlatego właśnie można bazować na podstawach kodeksach a konkrety powinny być tworzone / modyfikowane / dopisywane przez pracownika firmy.
Artykuł 41 ust. 2 RODO zawiera wyliczenie elementów, które mogą zostać określone w kodeksie i nie jest to lista zamknięta. Kodeksy Dobrych Praktyk mają za zadanie zapewnić zgodność przetwarzania danych z RODO ale muszą zawierać więcej informacji niż zapisy w RODO. Nie powielaj informacji prawnych. Jednym słowem muszą dogłębnie wyjaśniać poszczególne punkty i wskazywać konkretne rozwiązania. Należy podejść do tematu praktycznie. Ważne również jest to, że takie kodeksy muszą być pisane prostym językiem zrozumiałym dla każdego pracownika firmy.
Pamiętaj, że z miesiąca na miesiąc, świadomość ludzi odnośnie ochrony danych osobowych będzie się zwiększać i zapewne będą oni chcieli aby przedsiębiorca respektował postanowienia prawne. Do tej pory się tego nie stosowało w praktyce (zazwyczaj). Nakaz prawny do informowania klientów oczywiście był ale firma podchodziła do tego w sposób dość powściągliwy sądząc, że jeśli na stronie będzie zbyt dużo prawnego bełkotu to wyjdzie to ze szkodą dla firmy. Często się słyszy:
„Jak wstawimy na stronę za dużo regulaminów albo różnych informacji i potwierdzenia zgody na dodatkowe usługi, to ludzie się przestraszą i mogą przejść do konkurencji.”
Takie myślenie było i w myśl RODO musi się zmienić. Ludzie będą wybierali firmę, która postępuje w sposób jawny i otwarty informując i pomagając swoim klientom. Poza tym jeśli strona internetowa (sklep itp.) nie jest prawidłowo przygotowana pod względem prawnym to radzę takowej unikać. Prawo ma za zadanie chronić firmę oraz klienta. A nie tylko jedną ze stron.