Co warto wiedzieć i od czego zacząć?
Jeżeli planujesz swoją działalność w jednym z krajów Unii Europejskiej lub w UK, to tak długo, jak Twój biznes przetwarza dane osobowe (a robi to praktycznie każdy), musisz dostosować swoje działania do przepisów rozporządzenia o przetwarzaniu i ochronie danych osobowych. Może myślisz, że masz tylko firmowy fanpage i Ciebie to nie dotyczy? Może jesteś blogerem i tym bardziej wydaje Ci się, że ten przepis nie jest dla Ciebie? Okazuje się, że często błędnie go interpretujemy.
Postanowiłam zatem przeprowadzić krótką rozmowę z ekspertem w dziedzinie prawa dla przedsiębiorców. Mam nadzieję, że te informacje rozwieją Twoje wątpliwości i dzięki nim poprawisz ewentualne prawne niedociągnięcia. Kinga Konopelko nie tylko pomaga w samodzielnym procesie adaptacji przepisów na potrzeby Twojej działalności, lecz także wykonuje te usługi w Twoim imieniu, jeżeli zdecydujesz, że warto oddać się w ręce fachowca.
Czy RODO i GDPR to ten sam przepis?
Tak. GDPR czy RODO to jest skrót używany w odniesieniu do rozporządzenia unijnego dotyczącego ochrony danych osobowych – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jak widać, pełna nazwa rozporządzenia jest dość długa, dlatego używanie skrótów jest standardem.
Czy jako prowadząca biznes stacjonarny mam dodatkowe lub inne obowiązki związane z RODO/GDPR, niż osoby związane z biznesem online?
Generalnie obowiązki są podobne – tzn. każdy powinien zadbać zarówno o stronę zewnętrzną biznesu (czyli to, co jest widoczne na przykład na stronie internetowej), jak i o to, co wewnętrzne (czyli wszelkiego rodzaju procedury, rejestry czynności przetwarzania, umowy powierzenia, upoważnienia do przetwarzania danych, klauzule informacyjne, w tym m.in. polityka prywatności na stronie internetowej).
Od czego zacząć wdrożenie RODO/GDPR w firmie?
Pierwszym krokiem, który należałoby podjąć to przeprowadzenie audytu. Dzięki temu dowiesz się, czyje dane zbierasz, jak je zbierasz, komu je przekazujesz, jak długo je przechowujesz i kiedy usuwasz, a także jak je zabezpieczasz. Więcej o audycie piszę na swoim blogu. Pozostałe kroki wdrożenia RODO to: analiza ryzyka, przygotowanie dokumentacji, stworzenie klauzul informacyjnych (w tym m.in. polityki prywatności na stronę internetową) i monitorowanie ryzyka.
Jakie dokumenty warto przygotować, wdrażając RODO/GDPR w firmie?
Standardowo w każdej firmie powinny znaleźć się:
-
polityka ochrony danych osobowych;
-
instrukcja dotyczÄ…ca przetwarzania danych w systemach informatycznych;
-
upoważnienia dla pracowników, którzy pracują z danymi osobowymi;
-
umowy powierzenia dla firm, którym przekazujemy dane osobowe (np. umowa powierzenia z firmą księgową, hostingową);
-
rejestr czynności przetwarzania;
-
rejestr naruszeń;
-
procedury dotyczące zgłaszania naruszeń i obsługi żądań osób dotyczące danych osobowych;
-
klauzule informacyjne przekazywane w chwili zbierania danych;
-
analiza ryzyka.
To, czy będą potrzebne także inne dokumenty, zależy od tego, jak firma działa, w jakim obszarze, z kim i na jakich zasadach współpracuje.
Jeżeli mam tylko stronę internetową lub fanpage na Facebooku, to czy muszę tam wpisać informacje o RODO/GDPR?
Zarówno w przypadku strony internetowej, jak i firmowego fanpage’a musisz zadbać o umieszczenie tam polityki prywatności. Cel jest taki, by użytkownicy wiedzieli, co się dzieje z ich danymi.
W zakresie firmowego fanpage’a obowiązek umieszczenia klauzul informacyjnych wynika nie tylko z wymogów RODO/GDPR, lecz także z regulacji Facebooka. Brak takich informacji na firmowym fanpage’u może skutkować tym, że Facebook zablokuje, a nawet usunie Twoje firmowe konto z uwagi na nieprzestrzeganie zasad. Warto o tym pamiętać.
Czy muszę regularnie aktualizować
informacje zwiÄ…zane z RODO/GDPR na mojej stronie internetowej?
To zależy. Jeśli nic się zmienia w sposobie przetwarzania danych, nie ma potrzeby robienia aktualizacji.
Warto pamiętać o tym, że co do zasady nie ma obowiązku wymieniania w polityce prywatności nazw firm, którym przekazujemy dane. Wystarczające jest wskazanie, że dane są przekazywane np. firmie zajmującej się księgowością, firmie hostingowej. Jeśli ograniczymy się do wskazania kategorii firm, to zmiana firmy księgowej z firmy A na firmę B nie będzie wymagała zmiany treści polityki prywatności. Jeśli jednak wskazujemy, że przekazujemy dane firmie ABC, to rozpoczęcie współpracy z firmą XYZ będzie wymagało wprowadzenia tych zmian.
Czy jeżeli prowadzę biznes online, to jestem w stanie samodzielnie wdrożyć RODO/GDPR w mojej firmie? Czy może warto zlecić komuś tę usługę oraz co otrzymam w zamian?
Teoretycznie wszystko można zrobić samodzielnie, choć przyznaję, że w rzeczywistości mało firm decyduje się na takie rozwiązanie. Wynika to z tego, że wdrożenie RODO wymaga podjęcia wielu różnych zadań, wprowadzenia różnych procedur, które mogą być prawidłowo wprowadzone wyłącznie wtedy, gdy firma ma wiedzę i doświadczenie w zakresie ochrony danych osobowych.
W przypadku gdy firma chciałaby wdrożyć RODO i potrzebuje wsparcia w tym zakresie, na rynku znajdzie wiele możliwości. W swojej ofercie mam pakiety dokumentów z instrukcjami wideo, dzięki którym krok po kroku firma może wprowadzić RODO do swojej działalności. Firmy, które chcą w całości przekazać wdrożenie prawnikowi, mogą skorzystać natomiast z indywidualnej oferty. Najważniejsze jest dopasowanie rozwiązania do własnych potrzeb.
Dziękuję za rozmowę.
Kinga Konopelko – radca prawny, Å‚Ä…czy prawo i biznes.
Tworzy umowy, regulaminy sprzedaży, polityki prywatności, wdraża RODO, wspiera przy rejestracji w rejestrze BDO. Dzieli się także wiedzą, tworząc płatne i bezpłatne kursy, e-booki, materiały wideo.
Zajrzyj na stronę https://kingakonopelko.pl/ jeśli szukasz pomocy przy:
-
Dropshippingu,
-
Rejestrze BDO,
-
Rodo,
-
Sprzedaży online,
-
Polityce prywatności,
-
Zabezpieczeniu swoich płatności przed nieterminowymi płatnościami.