Marta (psychoterapeutka): „Rodo mnie nie dotyczy. Prowadzę jednoosobową działalność. Przyjmuję pacjentów, ale jakie ja dane przetwarzam?”
Kasia (trenerka, copywriterka): „Przecież i tak najpierw skontrolują duże firmy, instytucje państwowe. Kto dotrze do takich malutkich firm jak moja?”
£ukasz (neurolog): „Pytałem znajomych, co robią w związku z RODO. Większość kolegów po fachu nic nie zmieniła w swoich praktykach. Więc dlaczego ja miałbym coś robić?”
A Ty? Co czujesz, myśląc o RODO? Boisz się? Ukrywasz swoją niewiedzę jak najpilniej strzeżoną tajemnicę? Udajesz, że RODO cię nie dotyczy? Ignorujesz je i dalej prowadzisz swój biznes? Czy na ostatnią chwilę znalazłeś rozwiązania, które można wdrożyć ad hoc i zapomnieć?
RODO jest jak Yeti
Nie o to w RODO chodzi… To nie jest przykry obowiązek, martwy przepis, którym musisz wypełnić segregatory. RODO to proces, zmiana świadomości. Hasło RODO pojawia się niemal w każdym przekazie informacyjnym, publikacjach, rozmowach przy kasie. Wielu o RODO mówi, co wie, ale niewielu wie, co mówi. RODO jest jak Yeti – każdy o nim słyszał, wszyscy się go boją, ale zaręczam, że większość nie spotkała się z nim twarzą w twarz. O czytaniu czy analizie przepisów nie wspomnę.
Zastanawiasz się zapewne, czy jest się czego obawiać? Dlaczego wciąż straszą nas karami? Umówmy się: ludzie po prostu boją się kar. Kar finansowych zwłaszcza. Stąd wdrażanie RODO bez podstawowej wiedzy o ochronie danych. Stąd zakup pakietu RODO za kilkaset złotych, zakup szafki zgodnej z RODO czy niszczarki – także zgodnej z RODO. Myślisz, że to działa? Otóż nie. Okazuje się, że złoty środek nie istnieje. Każdy podmiot jest inny, na różne sposoby i na inną skalę przetwarza dane.
Innych dokumentów potrzebujesz, jeśli tak jak Marta, prowadzisz gabinet terapeutyczny, innych, kiedy, podobnie jak Kasia – trenerka i copywriterka – wysyłasz newsletter. Wdrożysz znacznie więcej procedur, jeśli tak jak £ukasz, jesteś właścicielem gabinetu lekarskiego niż właściciel warsztatu samochodowego. Dlaczego? Ponieważ pracujesz na innych danych, z różną częstotliwością, prowadzisz inne procesy, masz inne cele przetwarzania danych.
Zacznijmy od początku. RODO to nie rozporządzenie o ochronie danych osobowych, lecz rozporządzenie o ochronie osób fizycznych w związku z przetwarzaniem danych. Nie chodzi zatem o to, by chronić i zamykać segregatory, teczki, dyski, lecz chronić osoby przed skutkami utraty danych, udostępnienia, wycieku lub kradzieży.
W drogę
Przede wszystkim zastanów się, jakie dane przetwarzasz (definicję danych znajdziesz w rozporządzeniu RODO art. 4 pkt. 1). Pogrupuj kategorie osób, których dane przetwarzasz (czym jest przetwarzanie danych – RODO art. 4 pkt. 2) i przemyśl, czy i komu je udostępniasz.
Mówiąc po ludzku: odpowiedz sobie na pytanie, co Ci jest potrzebne aby prowadzić swój biznes? Wysyłasz newsletter (jak Kasia) – zapewne zbierasz imię i adres e-mail. Jesteś terapeutką (jak Marta) – prosisz klientów o podanie imienia i numeru telefonu. Prowadzisz sprzedaż w Internecie – na pewno potrzebujesz danych do wystawienia faktury lub rachunku. Zatrudniasz pracowników – Rozporządzenie MPiPS z 1996r. oraz Kodeks Pracy (art. 298) określa, jakie dane zbierasz i jak prowadzisz akta osobowe pracownika (dane pracowników przekazujesz np. do ZUS, Urzędu Skarbowego).
Pomyśl teraz, jak przetwarzasz dane. Przetwarzanie to inaczej czynności, jakie wykonujesz na danych. Każdy, kto dane gromadzi, przetwarza je. Samo posiadanie danych, gromadzenie, przeglądanie, a nawet archiwizacja czy usuwanie to jest już przetwarzanie.
Podsumowanie: Określ, jakie dane pobierasz, do jakich czynności są Ci potrzebne, gdzie je przekazujesz.
Zapnij pasy
Gdy już posiadasz informacje o tym, jakie dane przetwarzasz, czas na kolejny krok – zastanów się, jak dbasz o bezpieczeństwo danych i osób, których dane dotyczą. I znów, dla różnych danych konsekwencje będą bardziej lub mniej dotkliwe. Ma to związek z wrażliwością danych (dane wrażliwe to np. dane o stanie zdrowia, seksualności, pochodzeniu rasowym), jak i możliwością późniejszego wykorzystania. Twoje zabezpieczenia – zarówno fizyczne (np. szafa zamykana na klucz) jak i informatyczne (np. przesyłanie zaszyfrowanych plików), mają chronić osoby, których dane przetwarzasz.
Rozważ różne hipotetyczne sytuacje. Na przykład, co się stanie, jeśli nie wykorzystasz pola UDW w wiadomościach mailowych i poprzez przesyłanie udostępnisz dane (e-mail, imię i nazwisko) innych odbiorców? Co grozi tobie – osobie, która ujawniła (nieumyślnie) dane, a co osobom, których dane ujawniłeś? Szkodliwość takiego działania jest raczej znikoma, co nie znaczy, że nie pociąga za sobą konsekwencji. Mogę przytoczyć przynajmniej kilka podobnych incydentów, które skutkowały obciążeniem finansowym w ramach rekompensaty czy zadośćuczynienia.
Inaczej sytuacja wygląda w gabinecie lekarskim. Jeśli (tak jak £ukasz) prowadzisz elektroniczne karty leczenia, ale nie wykonywałeś kopii zapasowych, a twój komputer ulegnie zniszczeniu lub kradzieży, jakie konsekwencje poniesiesz?
I jakie konsekwencje dotkną twoich pacjentów? Ja widzę przynajmniej dwa poważne zagrożenia. Pierwsze to zagrożenie dla zdrowia i kontynuacji leczenia twoich pacjentów. Drugie to podważenie twojej reputacji, wiarygodności i zaufania, którym obdarzyli cię pacjenci. Pytanie, jak w tej sytuacji odbudujesz swój wizerunek? I czy nie stracisz pacjentów?
Pobaw się w nieprawdopodobne scenariusze, aby uświadomić sobie skutki swoich (często nieświadomych) działań, aby znaleźć możliwie najlepszy system zabezpieczeń dla danych. W jednym przypadku będzie to szuflada zamykana na malutki kluczyk, w innym cały szereg informatycznych zabezpieczeń, szyfrowane pliki, hasła z określoną ilością znaków itd.
Podsumowanie: Znajdź optymalne zabezpieczenie dla danych, które przetwarzasz.
Patrz na znaki
Potrafisz wskazać, jakie dane przetwarzasz, znasz cele, konsekwencje i ewentualne zabezpieczenia. Rozważ teraz, jakie kroki musisz podjąć, aby przetwarzanie danych w twojej firmie było zgodne z Rozporządzeniem RODO (art. 6 ust. 1 lit a-f RODO). Zazwyczaj będzie to klauzula informacyjna, zgoda na przetwarzanie danych, polityka prywatności, regulamin, umowa. Oczywiście formy te będą zależały od tego, jaką działalność prowadzisz, jakie dane przetwarzasz i na podstawie jakiej przesłanki.
Marta i £ukasz powinni umieścić klauzulę informacyjną dla swoich pacjentów. Kasia powinna pobrać zgody na przetwarzanie adresu e-mail w celu wysłania newslettera i zamieścić klauzulę informacyjną na stronie internetowej (dla sprzedaży produktów online). Wzór klauzuli znajdziesz w Internecie, dopasuj ją dla swojego biznesu, biorąc pod uwagę podstawę i cele przetwarzania danych. Dla £ukasza celem będzie udzielanie świadczeń opieki zdrowotnej, dla Kasi może to być wykonanie umowy, sprzedaż produktów, dla Marty celem jest udzielanie porad terapeutycznych.
Podsumowanie: przetwarzasz dane zgodnie z prawem, jeśli jest spełniony przynajmniej jeden z warunków wskazanych w art. 6 ust. 1 lit a-f RODO.
Stwórz własną mapę
Zbierz te informacje i spróbuj sporządzić dokumentację RODO dla Twojej firmy. Mówiąc wprost – opracuj dokument, instrukcję o tym, jakie dane zbierasz, jakim procesom podlegają dane, jak je zabezpieczasz i jak spełniasz obowiązek informacyjny. W tym dokumencie muszą znaleźć się takie elementy jak: polityka bezpieczeństwa (ogólne informacje), wzory klauzul informacyjnych, wykaz pomieszczeń wraz z zabezpieczeniami, gdzie przetwarzasz dane, informacja o nadawaniu uprawnień (np. upoważnienia dla pracowników). Twoja dokumentacja nie musi być specjalnie rozbudowana, najważniejsze, żebyś opisał powyższe kroki w kilku zdaniach i był świadomy tego, co faktycznie przedsięwziąłeś w związku z RODO.
Wspólnie prześledziliśmy biznes Kasi, Marty i £ukasza. Nadal uważasz, że jest się czego obawiać? A może stwierdzasz, że nie taki diabeł straszny i… podejmiesz próbę?
Autorka jest praktykującym inspektorem ochrony danych w jednostkach publicznych, trenerem, doradcą w zakresie wdrożenia RODO. Wspiera przedsiębiorców, organizacje pozarządowe i instytucje publiczne w dostosowaniu działalności do wymogów ochrony danych.
Przekonuje, że nie trzeba bać się RODO
 |
 |
