Kilka słów o RODO, czyli UODO (dawne GIODO)
Czemu służy(ło) GIODO?
Do 25 maja 2018r każda firma przetwarzająca dane osobowe ma obowiązek zgłaszania przechowywanej bazy do GIODO (Generalny Inspektor Ochrony Danych Osobowych). Od tej daty ulegnie to zmianom, ponieważ Unia Europejska wprowadziła nowe rozporządzenie jakim jest RODO, tworząc (w miejsce GIODO) UODO (Urząd Ochrony Danych Osobowych).
Kogo dotyczy UODO?
Wszystkich przedsiębiorców, którzy mają choć jednego klienta. Obsługa klienta (dotyczy zarówno os. fizycznych jak i firm) to konieczność posiadania jego imienia i nazwiska, adresu email, numeru telefonu... czyli danych osobowych. A te podlegają ochronie.
Czemu ma służyć UODO?
UODO ma na celu zwiększenia bezpieczeństwa przetwarzania danych osobowych przez przedsiębiorców.
Od 25 maja 2018r. znika obowiązek zgłaszania baz danych osobowych do GIODO. Zamiast tego musimy posiadać dokumentację dot. przetwarzanych danych osobowych, które muszą być odpowiednio pozyskane, uporządkowane, przechowywane oraz zabezpieczone.
Czy będą kontrole i kary?
GIODO kontrolowało do tej pory tylko duże przedsiębiorstwa, a małe tylko w przypadku rażących naruszeń prawa. Kontrole zwykle kończyły się ostrzeżeniem/pouczeniem.
Tak było. Kiedy powstanie UODO wszystko się zmieni.
Kary finansowe nakładane na przedsiębiorców przez UODO zasilą teraz Skarb Państwa. Można więc wnioskować, że kontrole będą przeprowadzone w taki sposób, by zakończyły się znalezieniem nieprawidłowości, a tym samym karą finansową. A te RODO przewiduje do kwoty 20 mln euro.
Dlatego, o ile w przypadku GIODO niezgłoszenie bazy nie rodziło wielkich konsekwencji, o tyle brak dokumentacji i odpowiednich zabezpieczeń dla UODO skończy się w przypadku kontroli dotkliwą dla kieszeni przedsiębiorcy karą finansową.
Dla kogo przewidywane są kary?
Dla każdego przedsiębiorcy niestosującego się do nowego rozporządzenia, niezależnie od wielkości firmy.
Dotyczy to zarówno jednoosobowych działalności gospodarczych, osób prawnych (np. spółek) czy os. fizycznych oferujących usługi na podstawie umowy zlecenie/o dzieło.
Przykład: Fryzjerka prowadząca jednoosobową działalność gospodarczą, która zapisuje w notesie numery telefonów do swoich klientów musi przechowywać ten notes w zamkniętej szafce tak, by był niedostępny dla osób trzecich. Kiedy przychodzi klient, który chce zarezerwować termin usługi, nie może mieć wglądu do notesu. Nie mogą mieć do niego wglądu nieuprawnieni pracownicy (np. sprzątaczki). Podobnie zabezpieczony powinien być telefon (zawiera numery tel. klientów, które też są danymi osobowymi), faktury od kontrachentów, skrzynka email i wszystkie inne zbiory, które zawierają dane osobowe klientów, dostawców, współpracowników czy pracowników.
Dla każdej bazy musi być sporządzona odpowiednia dokumentacja, a wszyscy pracownicy zakładu fryzjerskiego powinni podpisać i znać odpowiednie dokumenty dot. ochrony danych osobowych.
Na jakie dane należy zwrócić uwagę w przypadku UODO?
Wszystkie dane osobowe, które pozyskaliśmy oraz przechowujemy. Są nimi np.:
- imię i nazwisko
- adres
- adres e-mail
- numer telefonu
- wiek
- płeć
- zawód,
- poglądy
- stan zdrowia
- preferencje zakupowe.
Co jest bazą danych osobowych, którą musimy zabezpieczyć i dla której musimy przygotować dokumentację?
Są to np.:
- notes z numerami telefonów
- skrzynka mailowa
- segregator z CV potencjalnych pracowników
- karteczki (np. z numerami telefonów, adresami email, imieniem i nazwiskiem) klientów na biurku
- telefon
- faktury dla księgowej
- formularze zamówień
- formularze reklamacji lub zwrotów
i wiele innych...
Czego wymaga od nas UODO?
Odpowiednio uporządkowane oraz uaktualniane dane osobowe klientów, wspólników oraz pracowników, które znajdują się w spójnej i uporządkowanej bazie danych. W zależności od rodzaju danych, należy je odpowiednio zabezpieczyć przed osobami, które nie są upoważnione. Na wszystkie pozyskane dane osobowe musimy mieć zgodę osoby je udostępniające (bezpośrednią lub dorozumianą). Na prośbę osoby, której dane przetwarzamy musimy te dane w łatwy sposób znaleźć, udostępnić lub usunąć.
W związku z w.w., każdy przedsiębiorca (z niewielkimi wyjątkami) powinien posiadać:
- politykę bezpieczeństwa
- instrukcję zarządzania systemem informatycznym
- rejestr czynności przetwarzania
- rejestr kategorii przetwarzania
- ocena skutków dla ochrony danych,
- odpowiednie załączniki (listy, upoważnienia, raporty etc.)
Czy jestem w stanie to ogarnąć samodzielnie?
Jeśli jesteś gotów na przeczytanie setek stron aktów prawnych, to tak. Jednak, aby czuć się bezpiecznie w przypadku kontroli warto zlecić audyt i przygotowanie odpowiedniej dokumentacji prawnikom. Mamy przygotowywanie dokumentacji UODO oraz audyt UODO w ofercie, zapytaj o szczegóły.