5 absurdów RODO, z którymi stykają się przedsiębiorcy

Rozporządzenie o Ochronie Danych Osobowych obowiązuje już od maja tego roku. Od tamtego czasu przedsiębiorcy stykali się z wieloma absurdalnymi sytuacjami związanych z ochroną danych osobowych. Jednak większość wynika z nieznajomości obowiązujących przepisów, dlatego postanowiliśmy przeanalizować krążące po internecie absurdy.

Foto: YAY Foto

„Pani nie pozwala zostawić danych firmy do faktury bo RODO”

Pewna kobieta prowadząca działalność gospodarczą, chcąc zrobić zakupy w jednym z lokalnych sklepów w Niepołomicach, chciała uzyskać fakturę. Ku jej zdziwieniu dowiedziała się, że jest to obecnie niemożliwe ze względu na nowo obowiązujące przepisy dotyczące ochrony danych osobowych. Jak poinformowała na swoim koncie na Twitterze: „Trzeba przyjść w godz. 10-14 bo wtedy jest „fakturowiec” i wystawia faktury. Dane nie mają prawa być dla niego zostawione u ekspedientki”.

Paula Markiewicz, prawnik / Lion’s Care:

Opisana sytuacja jest tak naprawdę wewnętrzną kwestią działania sklepu. Może się zdarzyć, że ekspedientka nie jest upoważniona do przetwarzania danych klientów i w takiej sytuacji nie może również takich danych odebrać. Za przetwarzanie danych uznawana jest bowiem każda przeprowadzana na nich operacja, jak chociażby ich zbieranie czy przeglądanie. Powyższy przykład, gdzie dane klientów może przetwarzać wyłącznie fakturowiec jest wyrazem zbyt rygorystycznego przestrzegania przepisów z zakresu ochrony danych, ale sytuację taką bardzo łatwo można rozwiązać. Administrator Danych w tym sklepie powinien nadać ekspedientce odpowiednie upoważnienia, aby mogła odbierać dane osobowe klientów, które następnie przekazywałaby osobie odpowiedzialnej za fakturowanie i w ten prosty sposób sytuacja byłaby rozwiązana.

Ochrona danych na paczkach

Tworząc placówki pocztowe w sklepach pojawiło się ryzyko związane ze złamaniem prawa dot. danych osobowych. Na jednym z forów, pewny obaw przedsiębiorca o swój biznes postanowił zapytać się: „Sprzedaje w kiosku karty prepaid i wydaje okazyjnie paczki kurierskie klientom (około 5 szt tygodniowo)? Jak wdrożyć RODO? Na paczkach kurierskich są dane osobowe. Czy mam kupić sejf?”

Paula Markiewicz, prawnik / Lion’s Care:

Tak naprawdę każda firma powinna być przygotowana do obowiązujących już przepisów RODO, bez względu na to w jakiej ilości dane osobowe są przetwarzane i niezależnie od tego na jakiej podstawie przetwarzamy dane osobowe tzn. czy decydujemy o tym w jaki sposób dane są przetwarzane jako ich administratorzy, czy tylko przetwarzamy dane w czyimś imieniu jako podmiot przetwarzający. Zawsze jesteśmy obowiązani do zabezpieczenia danych przed ich przypadkową utratą lub kradzieżą. Zatrudniamy pracownika, wystawiamy lub odbieramy faktury, mamy zainstalowany  monitoring – każda z wymienionych sytuacji zobowiązuje nas, jako przedsiębiorców, do wdrożenia przepisów RODO. Wiąże się to z przygotowaniem odpowiedniej dokumentacji, a przede wszystkim z zastosowaniem pewnych rozwiązań w praktyce. Tak naprawdę, im więcej zabezpieczeń przed nieuprawnionym dostępem do danych osobowych, tym lepiej. Nie można jednak popadać w paranoje. W opisanym wyżej przykładzie to przechowywania paczek zamiast sejfu wystarczy odpowiednia zamykana na klucz szafa lub osobne zamykane na klucz pomieszczenie, zwłaszcza jeśli budynek/pomieszczenie posiada dodatkową ochronę jak alarm, monitoring czy atestowane zamki. Każda firma funkcjonuje inaczej, dlatego aby odpowiednio ocenić jak w danym przypadku wdrożyć RODO, jakie dokumenty przygotować i jakie rozwiązania praktyczne zastosować, potrzebne jest znacznie głębsze wdrożenie się w jej funkcjonowanie i strukturę.

Laptop został stacjonarnym komputerem

W ostatnim czasie praca zdalna stawała się coraz bardziej popularna. Jednak od czasu wejścia RODO w życie, wielu przedsiębiorców obawia się, czy nie nałożona zostanie na nich kara. Jak alarmują właściciele firm, na komputerach służbowych często znajdują się wrażliwe dane. W przypadku kradzieży takiego laptopa z łatwością wszystkie informacje mogły by wypłynąć, przyczyniając się do złamania przepisów o ochronie danych osobowych.

Paula Markiewicz, prawnik / Lion’s Care:

Nie zawsze kradzież laptopa oznacza wyciek danych osobowych. Należy pamiętać o tym, aby dostęp do danych osobowych znajdujących się na komputerze maksymalnie zabezpieczyć, zaczynając od zwykłego wymagania hasła przy uruchamianiu komputera, a dane znajdujące się na komputerze zaszyfrować. W wielu firmach Administrator Danych, informatyk lub inna upoważniona do tego osoba w razie kradzieży komputera może zablokować dostęp konkretnego użytkownika do wszelkich danych osobowych, które przetwarzane są w firmie i o takich rozwiązaniach trzeba pomyśleć. Jeśli chodzi o pracę przy wykorzystaniu komputera służbowego poza ogólnie przyjętym obszarem przetwarzania danych to warto wspomnieć, że może się ona odbywać tylko za zgodą Administratora Danych. To firma, nie konkretny pracownik, poniesie odpowiedzialność w razie naruszenia przepisów RODO, co wiąże się z wysokimi karami, ale jeśli pracownik nie zastosuje się do przyjętej polityki bezpieczeństwa danych osobowych, obowiązującej w firmie, pracodawca może wyciągnąć konsekwencje z powodu niewykonania lub nienależytego wykonania obowiązków pracowniczych.

Strona internetowe

Wiele stron internetowych przyzwyczaiło już nas, że aby cokolwiek przeczytać, koniecznie trzeba najpierw wyrazić kilka zgód dot. przetwarzania danych osobowych. Jednak co ma zrobić mały przedsiębiorca, który na swojej stronie internetowej ma stałą ofertę? Jeden z internautów zapytał o to: „Czy kiedy klient wchodzi na naszą stronę internetową i tam jest napisane że „zapraszamy do zapoznania się z ofertą ofertą”, to czy wcześniej nie powinien wyrazić pisemnej zgody na wyświetlanie takiej oferty? Jaka kara mi grozi?”.

Paula Markiewicz, prawnik / Lion’s Care:

Po wejściu na stronę internetową klient powinien być z pewnością poinformowany o wykorzystywaniu na stronie plików cookie, które zbierają dane o naszej aktywności na stronie. Można również rozważyć pojawienie się tzw. klauzuli informacyjnej, o której mowa w art. 13 RODO. Wydaje się jednak, że nie jest to konieczne, dopóki klient nie zostawi na stronie swoich danych osobowych (np. poprzez formularz kontaktowy). Wtedy musimy poinformować o kwestiach z art. 13, a więc między innymi o tym, kto jest Administratorem Danych i w jakim celu zostawiane przez klienta dane będą przetwarzane, a także uzyskać zgodę na przetwarzanie danych osobowych. Samo przeglądanie oferty na stronie nie wiąże się z koniecznością odebrania zgody, ale gdybyśmy chcieli wysyłać ją bezpośrednio do klienta (np. mailowo), musimy uzyskać na to zgodę.

Książka telefoniczna zastrzeżona

O tym, że wszystkie dane osobowe podlegają ochronie wiadomo nie od dziś. Jednak co zrobić z listą kontaktów do kontrahentów firm? Jest to pytanie o tyle zasadne, że wielu przedsiębiorców zastanawia się co zrobić z ich książką telefoniczną? Jedną z propozycji, którą zaoferował internauta było ograniczenie dostępności listy kontaktów do kontrahentów do wybranej grupy osób, a wszystkie numery powinny zostać zaszyfrowane.

Paula Markiewicz, prawnik / Lion’s Care:

Z pewnością wszyscy pamiętamy zasypywanie naszych skrzynek mailowych przed 25 maja wiadomościami o przybliżonej treści przez firmy, z których aplikacji korzystaliśmy, czy na których stronach mieliśmy założone konta. To co wtedy w takich ilościach otrzymywaliśmy to klasyczna klauzula informacyjna, o której mowa w art. 13 RODO i którą, w miarę możliwości, powinniśmy wysłać do naszych kontrahentów.

Nie ma potrzeby szyfrowania numerów telefonów, o ile urządzenia i dokumenty, na których przetrzymujemy dane, są odpowiednio chronione. Takie działanie wydaje się zbyt daleko idące. RODO wymaga nadania przez Administratora Danych upoważnień do przetwarzania danych w firmie. Upoważnienia mogą być ograniczone to przetwarzania niektórych tylko kategorii danych osobowych. Dla przykładu, jeśli mamy do czynienia z handlowcem, możemy nadać mu upoważnienia do przetwarzania danych kontrahentów, w przypadku osoby pracującej w kadrach, upoważnienia takie będzie się ograniczać do danych pracowników, a jeśli mamy do czynienia z pracownikiem fizycznym, który nie potrzebuje w swojej pracy dostępu do bazy klientów, takiego upoważnienia nie nadajemy mu wcale. Ważnym jest, żeby dostępu do danych nie miały osoby, którym nie jest to potrzebne i aby ten dostęp ograniczyć powinniśmy użyć właśnie dokumentu, którym jest upoważnienie do przetwarzania danych osobowych.

Przeczytaj także na MamBiznes.pl 

Bartłomiej Godziszewski

Komentarze

Furgas

5 października 2018 Odpowiedz

Stosowanie zwrotu „Wydaje się jednak” w odpowiedzi prawnika nie świadczy zbyt dobrze albo o prawniku albo o prawie…

Luk

5 października 2018 Odpowiedz

Odnosząc się do stron internetowych jest więcej przesłanek niż tylko pozostawienie danych przez formularz kontaktowy, więc jest to błędnie interpretowane w artykule. Jeżeli jakakolwiek strona lub hosting, na którym ona stoi zbiera informacje o adresach IP odwiedzających jest konieczne poinformowanie przed wejściem na stronę. Adres IP może być daną osobową, więc należy go tak traktować. Wystarczy spojrzeć na najpopularniejszy google analytics.

Gość

7 października 2018 Odpowiedz

To nie są absurdy rodo tylko nadinterpretacja przepisów, która występuje u nas na każdym kroku, każdegi innego przepisu też.

Komentarze

Dodaj komentarz

*
*