RODO – ABC dla MŚP

Opublikowano przez

Masz nadzieję, że może RODO nie dotyczy Twojej firmy, szukasz informacji, która pozwoli Ci na uniknięcie działań?

Nie łudź się, RODO obejmuje praktycznie wszystkich, którzy prowadzą jakąkolwiek działalność. I wcale nie musisz być aktywny w Internecie, wystarczy, że: masz wizytówki albo kontakty w telefonie, korzystasz z księgowości, zatrudniasz choć jednego pracownika, masz choć jednego kontrahenta, itp. I dotyczy to również firm, do których nie dotarł jeszcze nawet jeden komputer, obejmuje dane w jakiejkolwiek formie! I pamiętaj, że brak takich procedur oraz zabezpieczeń, traktowany będzie jako narażanie z premedytacją posiadanych informacji na ich ujawnienie. Natomiast w przypadku pojawienia się incydentu, zagrożone będzie wysokimi, ustawowymi karami. Może myślisz sobie teraz „Dużo szumu, a skończy się jak z GIODO”? 😉 Ok, Twoje prawo, jednak weź pod uwagę dwie rzeczy, bo tym razem:

  • kary będą źródłem finansowania instytucji nadzorczej,
  • kontrolę może wywołać np. niezadowolony klient.

Więcej na ten temat w artykułach:

GDPR/RODO – Czy czeka Cię biznesowy Armagedon?

7 nowych praw użytkowników sieci, które zwiększą bezpieczeństwo ich danych osobowych.

oraz opracowaniach dla Klientów Servizza:

Czy jesteś gotowy na RODO?

Przewodnik po RODO dla małych i średnich przedsiębiorców

 

Mamy dla Ciebie też dobrą wiadomość. Otóż, wdrożenie RODO nie musi być aż takie trudne, szczególnie dla większości MŚP. Oczywiście, gdy wiesz jak to zrobić. Niniejszym, otrzymujesz od nas w prezencie poradnik, który poprowadzi Cię krok po kroku przez całą procedurę. Uwaga – wskazówki są dedykowane wyłącznie tym przedsięwzięciom, które nie są zobligowane do podjęcia szerszych działań. Natomiast samo opracowanie ma wyłącznie charakter poradnika i nie należy go traktować bezkrytycznie. W każdym przypadku należy informacje uzupełnić o własną wiedzę lub wsparcie eksperta.

 

Generalnie, w RODO chodzi o to, aby wprowadzić procedury (techniczne i organizacyjne), dzięki którym zapewnisz bezpieczeństwo wszelkich danych w Twojej firmie. Dalsze punkty, to zestaw minimalnych informacji i działań, jakie masz obowiązek podjąć jako właściciel/zarząd firmy.

 

Więc, po kolei:

 

Hosting z szablonami RODO

 

 

1. Gromadzenie danych może odbywać się wyłącznie w oparciu o podstawę (prawną, zgodę, umowną, itp.). W wielu przypadkach będzie wymagana zgoda, jednak nie zawsze. Zasady legalności przetwarzania danych określa art. 6, 9 i 10 RODO. Do legalnego zbierania i wykorzystywania danych wystarczy np. zawarta umowa z osobą, której te dane dotyczą (np. sprzedaży, zlecenie) bądź podstawa prawna (np. przepisy kodeksu pracy). Natomiast, np. zawarcie umowy pomiędzy firmami, nie daje automatycznie podstawy do udostępnienia danych.

Gromadzenie danych osobowych do celów marketingowych (formularz kontaktowy, biuletyn, konkursy, zamieszczanie zdjęć na stronie) wymaga uzyskania zgody od właściciela danych na przetwarzanie. Zgodę taką musisz uzyskać w taki sposób, abyś był w stanie udowodnić, że ta konkretna osoba rzeczywiście jej udzieliła, w dodatku świadomie. Np. niedopuszczalne są zgody domniemane lub ukryte w regulaminie usługi. Zgoda musi być wyrażona w sposób jednoznaczny i musi potwierdzać, że w tej konkretnej sytuacji dana osoba dobrowolnie i świadomie zgodziła się na przetwarzanie jej danych osobowych. Ponadto, zgoda musi mieć formę oświadczenia – pisemnego (w tym elektronicznego) lub ustnego (choć tutaj może powstać problem ew. dowodu). Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień danego oprogramowania, czy też na innym oświadczeniu bądź zachowaniu. Ważne, aby właściciel danych jasno zaakceptował ich przetwarzanie w danym kontekście.
Zgoda pozwalająca np. na przetwarzanie danych w zakresie newslettera, nie obowiązuje w innych zakresach. Powinna dotyczyć wszystkich czynności przetwarzania, dokonywanych w tym samym celu, ale nic ponadto. W sytuacji, gdy przetwarzanie służy różnym celom, potrzebne są odrębne zgody.

Więcej na ten temat znajdziesz tutaj: Zgody-marketingowe-wg-RODO

Przykład zgody znajdziesz tutaj: Zgody-na-przetwarzanie-danych-osobowych

 

2. Każda osoba, której dane są przetwarzane (gromadzenie to też przetwarzanie) musi zostać poinformowana o swoich prawach wynikających z przepisów RODO. Niezależnie, czy pozyskałeś te dane bezpośrednio, czy np. od innej firmy. Obowiązek informacyjny wynika z art. 13 RODO i możesz go spełnić poprzez umieszczenie niezbędnych informacji w umowie, regulaminie usługi, treści wysłanego maila, itp. Musisz rzetelnie poinformować właściciela danych o zasadach ich przetwarzania, a więc opisać co z nimi robisz. Informację tę przekazujesz w momencie zbierania danych lub zaraz po ich pozyskaniu w sposób pośredni. Obowiązek informacyjny jest dość obszerny, więc najłatwiej wypełnisz go, dodając odpowiednie zapisy np. w regulaminie usługi. Musisz też podać odpowiednie informacje, jeśli przekazujesz dane do państwa trzeciego lub organizacji międzynarodowej. To wcale nie taka rzadka sytuacja, często ma miejsce, jeżeli używasz np. usług marketingowych firm typu Facebook, Google, Twitter.
Przykłady dopełnienia obowiązku informacyjnego: Obowiązek-informacyjny-przyklady

 

3. W celu wykazania należytej dbałości o bezpieczeństwo danych, powinieneś regularnie przeprowadzać (na start, a później co najmniej raz w roku) weryfikację zgodności z przepisami. Dotyczy to zarówno formalnej strony (aktualne umowy, zgody, itd.), jak również analizy ryzyka. Są to tzw. analizy/audyty wewnętrzne (przeglądy), z których należy sporządzić pisemny raport (np. w formie notatki służbowej). Działania te mają umożliwić wykrycie tzw. słabych punktów (ryzyko ujawnienia danych) oraz zaplanowanie działań, aby je usunąć. Możesz to zrobić w formie tabeli, w której wpisujesz przykładowe (możliwe w Twoim przypadku) sytuacje, jak np.: kradzież wydruków zawierających dane, podglądnięcie danych przez osoby z zewnątrz (np. monitor widoczny przez okno), kradzież nośnika elektronicznego, awaria komputera, włamanie do sieci, pojawienie się wirusa, itp. Do każdej pozycji dopisujesz (w osobnej kolumnie) prawdopodobieństwo wystąpienia zdarzenia. Możesz je opisać słownie (‘duże / średnie / małe’) lub nadać skalę (np.: 0-5). W kolejnej kolumnie, jeżeli ryzyko jest istotne, zapisujesz plan działania, które ma doprowadzić do zniwelowania/zmniejszenia ryzyka. Oczywiście opracowane plany należy następnie wdrożyć, aby móc udowodnić, że zadbałeś o każdy aspekt.
W przypadku stwierdzenia w jakimś obszarze wysokiego ryzyka naruszenia poufności danych, musisz przeprowadzić ocenę skutków przetwarzania, a następnie scenariusz działań minimalizujących ryzyko. W sytuacji, w której nie będziesz w stanie zminimalizować ryzyka, będziesz zobowiązany do konsultacji z organem nadzorczym ochrony danych osobowych (PUODO).

Przykład analizy w formie tabeli znajdziesz tutaj: Przyklad-analizy-ryzyka

 

4. Jako szef firmy, masz obowiązek nadzorować uprawnienia do systemów informatycznych oraz jesteś odpowiedzialny za ich bezpieczeństwo. W szczególności, gdy ze sprzętu korzystają inni użytkownicy (współpracownicy, domownicy). Każda osoba musi mieć niezależne konto w systemie, zabezpieczone silnym hasłem i/lub podwójną autentyfikacją (podwójnym logowaniem). Powinieneś też zadbać o wszelkie inne aspekty swojej działalności operacyjnej, mając na uwadze przede wszystkim działania prewencyjne.

Przykład spisu środków znajdziesz tutaj: Zasady-i-srodki-bezpieczenstwa

 

5. Każdy Twój współ/pracownik, który ma (może mieć) dostęp do danych osobowych w Twojej firmie, może to robić wyłącznie, gdy spełnione zostaną przynajmniej dwa warunki:

  • zostanie zapoznany z obowiązującą polityką bezpieczeństwa informacji oraz przeszkolony w zakresie jej stosowania,
  • otrzyma od Ciebie udokumentowane (na piśmie) polecenie, zawierające zakres dostępu do danych.

Pod żadnym pozorem nie możesz dawać dostępu do danych osobom postronnym.

 

6. W przypadku, gdy korzystasz z usług zewnętrznych, a Twój kontrahent otrzyma w ten sposób dostęp do danych osobowych (księgowość, kadry, usługi IT, nagrania z kamer, wysyłka maili, itp.), musisz podpisać z nim umowę powierzenia przetwarzania danych.
Przykład takiej umowy znajdziesz tutaj: Umowa Powierzenia Danych

 

7. Dla niektórych firm obowiązkowe jest prowadzenie rejestru czynności przetwarzania danych, a określa to art. 30 RODO. Powinieneś prowadzić taki rejestr, jeżeli np. przetwarzasz dane na szeroką skalę, prowadzisz e-sklep, wysyłasz newslettery.
Ponadto, jeżeli Twoja firma jest dla innego ADO (administratora) Procesorem (np. prowadzisz usługi księgowe, udostępniasz własny sprzęt do przetwarzania, prowadzisz callcenter), powinieneś prowadzić jeszcze jeden rejestr: kategorii przetwarzania. Obowiązek ten obejmuje również firmy zatrudniające pow. 250 pracowników, przetwarzające dane wrażliwe, itp.

Przykłady rejestrów: RejestrCzynnosciPrzetwarzania-szablon

RejestrKategoriiCzynnosciPrzetwarzania-szablon

 

8. Musisz być przygotowany do spełnienia obowiązku udostępnienia danych na życzenie, nie tylko uprawnionych organów (jak do tej pory), ale również właściciela konkretnych danych. Dane możesz (i musisz) udostępnić tylko wówczas, gdy wnioskujący skutecznie wykaże faktyczny interes prawny. Żądanie udostępnienia danych powinno mieć formę pisemną, a każde udostępnienie musisz odnotować w odpowiednim rejestrze. W przypadku żądań udostępnienia złożonych w nieodpowiedni sposób, możesz przekazać swój wzór wniosku.
Przykład wniosku znajdziesz tutaj: Wniosek-o-udostepnienie-danych

Przykład rejestru znajdziesz tutaj: Rejestr-udostepnien-danych

 

9. Danych nie możesz przechowywać w nieskończoność, a jedynie w takim terminie, jaki wynika z prawa (np. przepisy podatkowe), wymaga tego Twój uzasadniony interes (np. umowa), bądź wynika z udzielonej zgody (np. na czas konkursu). Po tym okresie dane powinieneś zniszczyć w sposób trwały, pamiętając również, aby je usunąć z wszystkich możliwych nośników. W przypadku niszczenia dokumentów (np. CV kandydatów do pracy) lub nośników elektronicznych (np. dysk starego komputera), należy to zrobić przy użyciu niszczarki lub przy wsparciu profesjonalnej firmy (tylko pamiętaj o podpisaniu z nią umowy powierzenia).

 

10. W przypadku stwierdzenia, a nawet samego podejrzenia naruszenia bezpieczeństwa danych, jesteś zobowiązany jak najszybciej podjąć określone działania. Przede wszystkim musisz wyjaśnić przyczynę, zminimalizować skutki, a następnie wdrożyć zmiany, dzięki którym w przyszłości unikniesz podobnej sytuacji. Jednak to nie wszystko, ale wcześniej zwróć uwagę, że mogą wystąpić dwa rodzaje naruszenia. Naruszenie ochrony (bezpieczeństwa) danych oznacza każdą sytuację, która prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Danych, które są w jakikolwiek sposób przez Ciebie przetwarzane (przesyłane, analizowane, przechowywane). Jest jeszcze coś takiego, jak naruszenie praw lub wolności, a oznacza taki skutek (efekt) przetwarzania danych, który może  prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. Jest tutaj więcej kategorii, ale w przypadku MŚP w szczególności: jeżeli przetwarzanie może poskutkować kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, dyskryminacją, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową. Jeżeli osoba może zostać pozbawiona przysługujących jej praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi, jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci. Jeżeli przetwarzanie dotyczy dużej ilości danych osobowych lub wpływa na dużą liczbę osób.
W zależności od rodzaju naruszenia, nieco inaczej przebiega dalsza procedura, a wszystko musisz dokumentować

Przykłady dokumentacji i schematów postępowania:

Procedury-postepowania-i-zarzadzania-incydentami

Zgloszenie-do-organu-nadzorczego

Zawiadomienie-osob-o-naruszeniu-poufnosci-danych

 

Inne, przydatne opracowania/przewodniki dot. RODO:

 

I kilka dobrych rad na koniec:

 

  1. Przede wszystkim, nie poddawaj się panice. Mimo, że miałeś na wdrożenie 2 lata ;> (głośno zrobiło się ostatnio, ale rozporządzenie weszło w 2016r.), być może na 25-go maja już nie zdążysz. Ale też, nie odkładaj tego ‘na jutro’ – licho nie śpi. Tak więc, na początek skup się na tych elementach, które są widoczne na zewnątrz (np. zgody) oraz tych, które jesteś w stanie wdrożyć najszybciej. Następnie zaplanuj pracę tak, aby uruchomić pozostałe elementy w realnym, ale możliwie jak najkrótszym czasie.

 

  1. Nie popadaj też w skrajności. Na rynku pojawiło się wielu ‘ekspertów’, żerujących na niewiedzy i strachu. Nie musisz zatrudniać drogich specjalistów i wydawać wszystkich, ciężko zarobionych pieniędzy, jeśli tylko rzeczywiście prowadzisz stosunkowo niewielki biznes lub, jeśli nie przetwarzasz danych na dużą skalę, danych wrażliwych, itp. Z drugiej strony, nie ignoruj RODO, bo tym razem będzie inaczej, niż w przypadku GIODO (vide: wstęp do niniejszego poradnika).

 

  1. Zrewiduj umowy z kontrahentami i wybieraj tylko takich partnerów, którzy nie będą dziurą w Twoim systemie zabezpieczeń. Pamiętaj, że na końcu to Ty będziesz odpowiadał za powierzone komuś dane.

 

  1. Nie wierz w oferty w rodzaju „Wybierz nasz system do XYZ – będziesz miał problem RODO z głowy”. Pamiętaj, że np. system CRM (księgowy, mailingowy, hostingowy, itd.) online musi być dostosowany do RODO, i owszem, jednak to tylko jeden z wielu elementów TWOJEGO biznesu. Jedna umowa nie załatwi wszystkiego!

 

 

A, jeśli chodzi o dostawcę hostingu, wybierz takiego, który zapewni Ci nie tylko zgodność z RODO, czy też wsparcie w postaci np. niniejszego poradnika i przywołanych w nim szablonów 😉

Wybierz takiego, który da Ci również, bez dodatkowych kosztów:

 

  • Certyfikat SSL, Antywirus & Antyspam Deluxe oraz skany bezpieczeństwa
  • Prawdziwą gwarancję wydajności i dedykowanych zasobów
  • LiteSpeed Enterprise & Cache – do 90x szybszy WordPress, Joomla!, PretaShop, itp.
  • Łącza 10 Gbit+ oraz infrastrukturę 2 Tbit+ i 100% sprzętu Enterprise
  • cPanel – intuicyjny i bezpieczny panel zarządzania
  • Pełny serwer poczty (webmail/POP/IMAP/SMTP)
  • Autoinstalator wszystkich popularnych aplikacji
  • Kilka miłych prezentów (kreacje wideo, rabaty znanych partnerów, itp.)
  • Dokładną cenę przedłużenia hostingu (z góry znasz całościowy koszt)
  • Możliwość rezygnacji z umowy bez dodatkowych kosztów
  • Dokładną informację co jest wliczone w cenę usługi
  • Możliwość skorzystania ze wsparcia lub adminów w trybie 24/7, w rozliczeniu godzinowym
  • Możliwość płynnego zwiększania/zmniejszana pakietów
  • Przejrzyste i jasne zasady na każdym etapie, bez ściem w rodzaju „Bez limitów”

 

 

Servizza Team, przy wsparciu Stefana stefan-servinski-servizza