Arkadiusz Zamarja www.ekademia.pl/ @arekzam
Dlaczego to Ty odpowiadasz za dane Twoich klientów?
RODO to taka check lista, którą musisz zrobić aby być zgodnym z ustawą. My w firmie pomagamy Przedsiębiorcom w dostosowaniu do przepisów o RODO. Rozporządzenie o RODO nakreśla tylko ramy i wytyczne według, których Twoje Przedsiębiorstwo powinno działać.
Podaję Ci podaję listę działań, rzeczy o których musisz pamiętać. Rzeczy, które zwiększą Twoją świadomość co do danych przetwarzanych w prowadzonej przez Ciebie działalności gospodarczej.
LISTA rzeczy o których powinieneś pomyśleć w kontekście ochrony danych osobowych.
Lista kontaktów w Twoim telefonie
Imiona, nazwiska, numery telefonów do firm, mailowe adresy firmowe. Pozwalają one zidentyfikować osobę.
Prowadzisz działalność gospodarczą? Masz więc zapewne na liście kontaktów swoich kontrahentów. A to już dane o posiadaniu których musisz być świadomy. Nie trzeba tej bazy już nigdzie zgłaszać, ale powinieneś wykazać się należytą dbałością o poufność tych informacji. Dane te są gromadzone przez operatorów często również w chmurze, Twój telefon to już praktycznie komputer, który łączy te dane z różnymi aplikacjami i systemami informatycznymi.
Powstają w ten sposób bazy danych osobowych, które Ty przetwarzasz, czy masz tego świadomość? Telefony komórkowe narażone są też coraz częściej na włamania i ataki wirusów. Antywirus na komórce staje się normalną sprawą.
Jesteś prawnikiem, lekarzem, coraz częściej zapewne wprowadzasz dane swoich kontrahentów i pacjentów za pomocą tabletu lub smartfona. Posiadasz dane wrażliwe i szczególnie chronione, bo dotyczące zdrowia.
A co w momencie utraty Twojego telefonu, tableta? Miałeś tam dane osobowe i dane wrażliwe w przypadku wymienionych profesji, czy powinieneś zgłaszać fakt wypłynięcia i utraty danych? Zgodnie z nowymi przepisami należy w zasadzie zgłosić fakt utraty danych przez Twoja firmę.
W takim przypadku zgubienia telefonu, brak zabezpieczania poprzez blokadę telefonu lub zbyt prostym kod blokady klawiatury np. popularne „1234” może być przyczynę poważnych problemów. Wiele przedsiębiorców zaczyna już myśleć o szyfrowaniu danych.
Odtwarzanie danych z kopii i archiwów
Co zrobić gdy usunięty kontrahent który chciał być zapomniany w kontekście rozporządzenia RODO nagle po odtworzeniu kopii z archiwum „powróci” do Twojej bazy?
Z technicznego punktu widzenia jest to bardzo trudne, a wręcz niemożliwe, aby nie powrócił. Często kopie są przechowywane na nośnikach jednokrotnego zapisu i nie ma możliwości skasowania pojedynczych danych na takim nośniku.
Jak zrobić aby kontrahent nie wracał? Rozwiązaniem problemu są jedynie procedury organizacyjne określone przy archiwizacji danych, które określają jak w momencie robienia backupów danych są wprowadzane do tej kopii listy zaistniałych do tej pory zmiany w danych. Odtwarzając kopię z archiwum, musisz następnie wykonać listę wprowadzonych zmian do odtworzonych baz i systemów, a dopiero po tych zmianach możesz dopuścić bazę do dalszych prac.
Łańcuszek odpowiedzialność
Współpracujesz z podwykonawcami, wykorzystujesz podwykonawców w umowach którzy przetwarzają Twoje dane, lub Twoich klientów? Masz więc do czynienia z nazwijmy ich „podprzetwarzającymi” dane osobowe. Odpowiedzialność w takim przypadku jest prosta. Kwestie odpowiedzialności przejmuje na siebie bezpośrednio wykonywujący usługę. Egzekującym tą odpowiedzialność jest bezpośrednio zlecający wykonanie usługi, czyli najczęściej Twój klient.
Ty odpowiadasz przed klientem, a Twój podwykonawca odpowiada przed Tobą. Stąd ten łańcuszek.
Ważne jest abyś szczegółowo opisał w umowach z podwykonawcami zasady ochrony i przetwarzania danych które, to Ty im powierzasz. Oczywiście powinieneś mieć zgodę właściciela danych czyli administratora danych na ich przekazanie firmie zewnętrznej.
Na koniec jest jeszcze jedna ciekawa baza danych osobowych w Twojej firmie.
Wizytówki
Otrzymujesz zapewne sporo wizytówek od partnerów biznesowych i nie tylko. Czy w związku z tym przetwarzasz „wizytówkowe” dane?
A czy musisz te dane z wizytówki chronić?
Odpowiedź czy musisz chronić jest w zasadzie, tak. Ktoś dał Ci wizytówkę zapewne w jakimś konkretnym celu. I nie wiesz czy życzyłby sobie abyś dzwonił do niego lub pisał w innej sprawie. Czy złamiesz wtedy cel „przetwarzania” danych z wizytówki. Czy możesz wizytówkę przekazać dalej koledze? Przecież nie masz na to zgody właściciela.
Doszliśmy w ten sposób do jednego z licznych absurdów RODO.
Arkadiusz Zamarja
Przedsiębiorca, prowadzę firmę od 1990 roku