Czy wiesz, które błędy popełniłaś? Zanim pojawią się kłopoty, sprawdź, co możesz poprawić u siebie. Zobacz 7 błędów RODO, które małe firmy popełniają najczęściej. To już prawie dwa lata, od kiedy Rodo mocno zamieszało w temacie przetwarzania danych. Internet zalała fala publikacji, tych mniej obszernych i tych bardziej kompleksowych. Niestety zdecydowana większość z nich dotyczy dużych, złożonych biznesów i organizacji. A co z małymi firmami i solobiznesami? No tu zasoby googla wyglądają ubogo. Ponoć najwięcej człowiek uczy się na błędach. I pewnie skuteczniej uczymy się na własnych, to nie czekaj na możliwość popełnienia RODObłędów na swojej skórze. Przeczytaj o tych najczęściej popełnianych przez małe biznesy i sprawdź, czy Ciebie one też dotyczą.
Błąd nr 1 – RODO tylko na stronie
RODO to nie tylko zgody i polityka prywatności na stronie czy blogu. To cały proces, który tylko częściowo widać na zewnątrz, właśnie na stronie internetowej. RODO to także szereg obowiązków do wypełnienia, a obowiązek informacyjny, spełniany np. za pomocą polityki prywatności, to tylko jeden z nich. Masz na stronie politykę prywatności i komunikat o ciasteczkach, a do tego odpowiednio przygotowane formularze np. do zapisu na newsletter lub do komentarzy? Świetnie, ale nie poprzestawaj na tym. Pamiętaj np. o polityce bezpieczeństwa ochrony danych osobowych i rejestrze czynności przetwarzania. Przyda się także choćby mini analiza danych, jakie przetwarzasz w swoim biznesie lub prowadząc bloga.
Błąd nr 2 – Poproszę o zgodę na wszelki wypadek
Zacznijmy od podstaw. Przetwarzanie danych nie może się odbywać bez podstawy prawnej. Czym jest ta podstawa prawna? To taka sytuacja, która daje Ci prawo przetwarzania danych osobowych. Jest ich kilka, a ich zamkniętą listę znajdziesz w artykule 6 Rodo. Zgoda jest jedną z nich, ale nie jedyną. Nie jest też „awaryjną” podstawą prawną. Co to znaczy? Wiele osób, gdy nie wie, jak ustalić podstawę prawną przetwarzania, na wszelki wypadek prosi o wyrażenie zgody na przetwarzanie. A w wielu sytuacjach taka zgoda nie jest konieczna, bo już istnieje inna podstawa prawna. Takim najczęstszym przykładem tego błędu jest proszenie o zgodę na przetwarzanie w celu realizacji sprzedaży. W tym przypadku podstawą przetwarzania jest sama umowa sprzedaży. A co się stanie, gdy jednak poprosisz w takiej sytuacji o zgodę? No nie najlepiej się stanie, bo jest to wprowadzenie klienta w błąd. Dlaczego? Bo dajesz mu wrażenie, że swoją wyrażoną zgodę na przetwarzanie danych może cofnąć. W przypadku sprzedaży dane muszą być przetwarzanie nie tylko podczas realizacji sprzedaży. Będziesz je przetwarzać także przez czas realizacji obowiązków podatkowo-księgowych. I jeszcze jedna wskazówka: podstawa prawna może się zmienić. W opisywanym przypadku będzie to najpierw umowa, a potem obowiązek prawny administratora.
Błąd nr 3 – Antywirus i wtyczka wystarczy
No nie wystarczy. Ale nie tylko o zabezpieczenia techniczne w RODO chodzi. RODO całkowicie zmieniło optykę, jeśli chodzi o obowiązki administratora danych w zakresie dbania o bezpieczeństwo danych. Cała odpowiedzialność… ciąży na Tobie, jako administratorce. Ale na pocieszenie dodam, że za odpowiedzialnością idzie także decyzyjność. Tak, to właśnie Ty decydujesz, jak zadbać o bezpieczeństwo danych osobowych, które przetwarzasz. Bądź jednak rozważna w tym temacie. Tutaj trzeba się przyłożyć. Zabezpieczenia danych mogą być prawne, techniczne i organizacyjne. I należałoby wyjść właśnie od tych organizacyjnych, bo to one będą się składać na politykę ochrony bezpieczeństwa danych. Chodzi tu o procedury i zasady postępowania z danymi, szczególnie, gdy mają do nich dostęp inne osoby, np. współpracownicy czy podwykonawcy. Zabezpieczenia techniczne też są bardzo ważne i powinny być dostosowane do określonej procedury. Powinny ją wspierać. Dobierając zabezpieczenia, weź pod uwagę ryzyko, jakie się wiąże z przetwarzaniem i które może prowadzić do naruszenia praw osób, których dane przetwarzasz. Zwróć też uwagę na wtyczki na Twojej stronie internetowej lub blogu. Bywa, że to właśnie one stanowią niedomknięte drzwi do Twojej strony, przez które dostęp do danych, gromadzonych przez stronę, mogą mieć niepowołane osoby.
Błąd nr 4 – Będę trzymać te dane, bo może jeszcze się przydadzą
To grzech chyba każdego przedsiębiorcy z zacięciem marketingowym. Na pewno znasz wartość danych w biznesie online. Nie ma jednak sensu trzymanie danych tylko dlatego, bo może jeszcze się przydadzą. Pamiętaj, że przetwarzanie danych bez podstawy prawnej jest naruszeniem. Sprawdź, czy dla wszystkich danych, które przetwarzasz, masz te podstawę. Podstawa prawna jest związana z celem przetwarzania. W przypadku, gdy dalsze przetwarzanie nie jest celowe, ani nie wymagają tego obowiązki prawne, wówczas takie dane należy zarchiwizować lub usunąć. Nie przetrzymuj danych, bo „mogą się jeszcze przydać”. Jeśli nie masz podstawy prawnej, to samo przechowywanie takich danych jest bezprawne, a poza tym takie dane do niczego Ci się nie przydadzą. Żadnego marketingu do osób z takiej listy niestety nie możesz zrobić. Dlatego wcześniej warto zadbać o odpowiednią podstawę prawną, jeśli ta, na podstawie której przetwarzałaś dane, już nią nie jest. I tak wracając do naszego przykładu ze sprzedażą. W chwili zrealizowania zamówienia klienta i wysłaniu mu faktury lub rachunku „kończy się” nam podstawa prawna, którą była umowa sprzedaży. Dane klienta będziesz przetwarzać w celu realizacji obowiązków podatkowo-księgowych. Jeśli jednak chciałabyś do takiej osoby wysyłać newsletter lub informacje o ofercie czy promocjach, to należy ją poprosić o wyrażenie zgody na przetwarzanie danych w tym celu.
Błąd nr 5 – Brak świadomości, jakie dane są przetwarzane w firmie
Dotyczy to także blogów, choć tam tych danych jest trochę mniej. Wiedza na temat, jakie dane, jak, gdzie i przez kogo są przetwarzane to punkt wyjścia do tego, by ogarnąć RODO w swoim biznesie. Bez tego, to jak stawianie domku z kart. Rozleci się to bardzo szybko. Poprzednia ustawa dot. ochrony danych osobowych kładła nacisk na zbiory danych (np. zbiór: klienci albo kandydaci do pracy albo subskrybenci newslettera). RODO odeszło od takiego rozumienia danych i kładzie nacisk na procesy. Ma to więcej sensu i bardziej odzwierciedla rzeczywiste przetwarzanie danych. Dlaczego? Bo jeśli spojrzysz na dane w Twoim biznesie, to zobaczysz, że dane osobowe są przetwarzane w ramach procesów np. proces realizacji sprzedaży, proces realizacji newslettera. Procesy te możesz nazwać dowolnie. Ważne byś wiedziała, jak dane przepływają w Twojej firmie. Czy wiesz, że wiadomości email, które otrzymujesz od osób zainteresowanych Twoimi usługami lub produktami, a które piszą do Ciebie na adres email, zawierają dane osobowe?
Błąd nr 6 – Brak wiedzy, kiedy to już naruszenie i czy wystarczy je zarejestrować a kiedy należy zgłosić
We współczesnym nam świecie przetwarzanych są przeogromne ilości danych. A nie od dziś wiadomo, że gdzie drwa rąbią, tam wióry lecą. I tak też jest z danymi. Zdarzają się liczne incydenty bezpieczeństwa danych, ale zależnie od sytuacji będzie to miało różne konsekwencje dla osób, których dane są przetwarzane, jak i administratorów i procesorów tych danych. Jako administratorka danych masz obowiązek uwzględnienia w swojej polityce bezpieczeństwa procedurę postępowania z takimi incydentami. Warto wiedzieć, że takie incydenty należy odnotowywać w specjalnym rejestrze naruszeń, a niektóre z nich, gdy doszło do naruszenia praw i wolności osób, których dane dotyczą, zgłosić do Urzędu Ochrony Danych Osobowych. W przypadku tych ostatnich trzeba zgłosić w ciągu określonego czasu i liczą się tu godziny a nie dni.
Błąd nr 7 – Brak wiedzy, kiedy występujesz jako administratorka a kiedy procesorka danych
RODO nakłada odpowiedzialność za przetwarzanie danych na administratorów i podmioty przetwarzająca dane (nazywa się ich procesorami). Czy widzisz różnicę? Tak, administrator może więcej z tymi danymi zrobić. To administrator określa cel przetwarzania danych, a procesor jest zawsze związany tym, co określi administrator. Relacje pomiędzy administratorem a procesorem mogą być proste, ale bywają także złożone. A sytuację dodatkowo komplikuje fakt, w niektórych sytuacjach będziesz administratorką, ale w innych możesz być procesorką. I od tej właśnie konkretnej sytuacji będą zależały Twoje obowiązki i zakres odpowiedzialności. Czy prowadzisz fanpage lub grupę na Facebooku, masz biznesowy profil na Instagramie? No właśnie. Czy wiesz, że administratorami danych osób, które dołączyły do grupy lub komentują Twoje posty jesteście: i Ty, i Faceboook? Jesteście, ale w różnym zakresie i warto rozumieć, w jakim. Z kolei, gdy np. jesteś wirtualną asystentką albo oferujesz usługę wsparcia sprzedaży albo zarządzasz kontem do reklam swojego klienta – w takich sytuacjach będziesz procesorką danych, a administratorem będzie Twoja klientka lub klient.
Na koniec moja serdeczna prośba. Wkładam dużo czasu i serca w teksty, które dla Ciebie piszę. Jeśli artykuł uznasz za ciekawy, czy możesz mi pomóc dotrzeć z nim do kolejnej osoby. Może wśród swoich znajomych znasz kogoś, komu ta treść może się przydać? Udostępnij artykuł w emailu, Messengerem lub udostępnij na swoim profilu w mediach społecznościowych. Bardzo Ci dziękuję za czas, który tu ze mną spędziłaś.
Teraz strach miesza się z nadzieja 😁 Nie byłam świadoma, jak potężna rzeczą jest RODO 🙈 ale po przeczytaniu pojawiła się nadzieja, że (z Twoja pomocą) jakoś to w końcu ogarnę.
Dziękuję Agnieszko za ten artykuł!!!! Dla mnie to temat, który najchętniej bym ominęła 😉 a dzięki Tobie chyba się z nim w końcu zmierzę!