Kogo dotyczy RODO
Odpowiadając krótko: wszystkich w Europie – od jednoosobowych działalności do oddziałów światowych korporacji. Proszę jednak zwrócić uwagę na to, w jaki sposób prawo to zostało napisane – np. w popularnym temacie wymiaru kar: 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu. Jaki znowu “światowy obrót?” – jest jasne, że zapis taki został stworzony przede wszystkim w celu zwalczania złych praktyk, jakich dopuszczają się wielkie korporacje. Stąd pewne nieporozumienia. Jednak oczywiście wobec prawa wszyscy jesteśmy równi i jako osoby prowadzące małe firmy w kraju UE – również musimy się dostosować.
Samemu oceń ryzyko
Dotychczasowe prawo dot. ochrony danych osobowych w firmach było bardzo szczegółowe – koniec z tym. Ustawodawcy zrozumieli, że w tak wybitnie technicznym temacie nie można tworzyć sztywnych wymogów. Zamiast tego proponują zasadę “risk based approach”, która w praktyce oznacza, że każdy musi we własnym zakresie ocenić ryzyko związane z przetwarzaniem danych osobowych i wprowadzić odpowiednie zabezpieczenia. Mówiąc inaczej: ma być bezpiecznie i to Ty decydujesz jak to zrobić. Pamiętaj tylko, że zawsze osobiście ponosisz odpowiedzialność za posiadane dane osobowe – nawet jeśli powierzysz ich przetwarzanie inne osobie lub firmie.
Dużo mniej formalności
W związku z powyższym znikają dotychczasowe obowiązki, do których należało:
- sporządzanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym,
- ewidencja osób upoważnionych do przetwarzania danych osobowych,
- wymaganie regularnego zmieniania haseł,
- zgłaszanie zbiorów danych do GIODO.
Wszystko powyższe to już historia. Musimy za to sporządzić Rejestr Czynności Przetwarzania – to może być jedna kartka papieru na której w najprostszych słowach piszemy jakie dane zbieramy (nazwy kolumn z bazy lub excela) w jakim celu (np. w celu obsługi klienta lub w celu wysyłania newslettera). Jest to dokument “wewnętrzny” – nie masz obowiązku go upubliczniać. Trzeba również wyznaczyć ABI, czyli Administratora Bezpieczeństwa Informacji. W małych firmach może to być po prostu sam przedsiębiorca i nawet nie musisz w żaden sposób, formalnie ustanawiać tego faktu.
Privacy by design, privacy by default
Dwie zasady o takich nazwach mają ułatwić przedsiębiorcom tworzenie ich baz danych osobowych. Pierwsza z nich – privacy by design – oznacza dbałość o bezpieczeństwo na etapie tworzenia usługi. W praktyce to również konieczność ochrony danych również w wersjach demonstracyjnych swoich produktów.
Druga zasada – privacy by default – znaczy tyle, że możesz pobierać te dane, które są potrzebne do Twojej działalności. Na szczęście można to szeroko rozumieć, np. możesz poprosić o dobrowolne podanie daty urodzin, bo chcesz rozdawać urodzinowe rabaty. Musisz jednak poinformować o tym klienta. W przypadku stron internetowych najwygodniej jest robić takie małe pola informacyjne pt. “Czemu o to pytamy”. Kluczowa jest transparentność – to słowo przyświeca całemu RODO.
Zakaz profilowania?
Krąży plotka, że RODO zabrania profilowania klientów. Czym jest profilowanie? To wnioskowanie o jednych danych na podstawie drugich, np. wnioskowanie, że ktoś uprawia sport po tym, że kupił rower. Taki wniosek ma spory margines błędu, ale ma wystarczająco duże znaczenie handlowe, bo może posłużyć np. do zaproponowania klientowi kolejnych produktów.
Nowe prawo nie wprowadza zakazu profilowania. Jedynie umożliwia odwołanie się od decyzji opartej na profilowaniu, np. wyliczenie przez bank droższej stawki ubezpieczenia na życie po analizie historii zakupów, z której wnioskować można niezdrowy tryb życia. Klient ma teraz możliwość sprzeciwu, jeśli profilowanie na podstawie jego danych, okazuje się dla niego niekorzystne.
Czy to dotyczy małych firm? Generalnie przy tej okazji warto zwrócić uwagę na to, że różnicowanie ceny ze względu na to, co wiemy o kliencie, to zawsze jest śliski temat! A w definicji profilowania nie występują koniecznie zaawansowane technologie. Czy w świetle tych dwóch zdań Twoja firma powinna coś poprawić?
Nowe prawa klienta
Każda osoba, której dane przetwarzasz cieszy się nowymi prawami:
- prawo do informacji – musi wiedzieć, jakie dokładnie dane posiadasz i w jakim celu je przetwarzasz (przy tej okazji najlepiej również podać kontakt do siebie),
- prawo do sprostowania – może swoje dane poprawić, a Ty musisz to uwzględnić,
- prawo do przenoszenia danych – może wskazać inną firmę (np. Twoją konkurencję, do której chce przejść), w celu przeniesienia swoich danych – musisz je wówczas przekazać,
- prawo do bycia zapomnianym – w każdej chwili może usunąć swoje dane (np. kandydat na pracownika, który przygotował nowe CV – może najpierw wycofać się ze wcześniejszego zgłoszenia…).
Powyższe prawa nie mają zastosowania, jeśli stoją w sprzeczności z innym prawem, np. gdy względem klienta jest prowadzone dochodzenie karne – nie może wówczas kazać o sobie zapomnieć!
Obowiązek informacyjny
O wszystkich powyższych prawach (i jeszcze kilku innych rzeczach) należy klienta poinformować. Niestety lista obowiązkowa jest długa. Każdemu klientowi należy wyjaśnić:
- kto jest administratorem danych osobowych (nazwa, siedziba),
- z kim należy się kontaktować w sprawie przetwarzania danych osobowych,
- w jakim celu są one przetwarzane,
- komu i na jakich zasadach dane mogą być udostępniane,
- czy dane są przekazywane poza Europejski Obszar Gospodarczy,
- jaki jest okres przechowywania danych,
- jakie klient ma prawa: dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania,
- że klient może przenieść swoje dane do innego podmiotu,
- że przysługuje mu prawo do wniesienia skargi do GIODO,
- czy będzie występowało profilowanie, a jeśli tak to w jakim zakresie oraz w jakim celu (trzeba jasno określić konsekwencje dla klienta).
Wbrew pozorom nie jest to trudne i nie trzeba do tego prawnika. Wystarczy napisać najprościej jak się da: “Administratorem danych osobowych jest firma X z siedzibą…” itd.
Dobra wiadomość jest też taka, że obowiązek informacyjny nie działa wstecz – jeśli już mamy bazę klientów, to nie musimy ich informować o nowych prawach, bo nabywają je… z mocy prawa.
Obowiązek zgłoszenia uchybień
Mówiąc krótko: gdy dojdzie do wycieku danych – tzn. znajdą się w zasięgu innych podmiotów – to w ciągu 72 godzin od zorientowania się musisz zgłosić to uchybienie do GIODO oraz poinformować o tym samych zainteresowanych, czyli osoby, których dane wyciekły.
Nie dajcie się zwariować
Podawane w mediach wysokości kar brzmią koszmarnie, ale nikt ich nie zasądzi np. lokalnemu hydraulikowi, który zgubi notatnik z numerami telefonów. Od nałożenia nieproporcjonalnej kary zawsze będzie można się też odwołać. Dużo większym zagrożeniem są naciągacze, którzy sprzedają nic nie znaczące certyfikaty, a nawet szantażują przedsiębiorców donosami do różnych instytucji. Wszystkie te maile i telefony są bezpodstawne.
Przepisy RODO są całkiem ludzkie, praktyczne (może poza obowiązkiem informacyjnym), bardzo elastyczne. Oparte są bardziej na zasadach dobrych praktyk, zamiast dokładnych, skomplikowanych wytycznych, których niedopilnowanie skutkuje automatyczną karą. Ustawa daje dużo miejsca na dostosowanie wytycznych do specyfiki Twojej działalności oraz udzielania wyjaśnień w razie potrzeby. Po prostu bądź w porządku względem swoich klientów – dbaj o ich dane: informuj co zbierasz i dlaczego, spełniaj ich prośby, pamiętaj gdzie i jak je przechowujesz, zabezpiecz dostęp do nich tak skutecznie, jak tylko możesz. W tej sposób (raczej) nie narazisz się na szczególne kłopoty.