O RODO głośno było jakiś czas temu, gdy ustawa o ochronie danych osobowych wchodziła w życie i jednocześnie nakładała na przedsiębiorstwa garść nowych obowiązków. Choć od tamtej chwili minęło już ponad 6 lat, część właścicieli firm wciąż ma wiele wątpliwości, w jaki sposób najlepiej zadbać o dane swoich pracowników i klientów. Podpowiadamy, jak zatroszczyć się o kwestie RODO w mniejszych firmach, takich jak np. warsztaty samochodowe.
RODO to polska wersja unijnego rozporządzenia GDPR, którego celem jest uporządkowanie kwestii ochrony danych. Zaczęło obowiązywać w 2018 roku i od tamtej chwili wszystkie firmy muszą przestrzegać określonych zasad przetwarzania i ochrony danych osobowych swoich pracowników i klientów. Przedsiębiorstwa, które łamią te zasady, płacą finansowe kary zależne od stopnia naruszenia. Rekord należy do firmy Google, która musiała zapłacić aż 50 mln euro kary za nieprawidłowości związane z danymi pobieranymi podczas zakładania przez użytkowników kont na smartfonach. W przypadku małej firmy kara jest proporcjonalnie niższa, ale może okazać się równie bolesna, dlatego nie warto bagatelizować tej kwestii.
Odpowiedzialność za dane
Danymi osobowymi nazywamy wszelkie informacje, na podstawie których można określić tożsamość osoby fizycznej. Należą do nich, między innymi: imię i nazwisko, adres zamieszkania i prowadzenia działalności gospodarczej, numer telefonu, adres e-mail, numer NIP i REGON, ale nie tylko. Są nimi również zdjęcia i nagrania wideo, informacje o zarobkach i wykształceniu, a nawet poglądy polityczne. Co ciekawe, tablice rejestracyjne samochodów nie są danymi osobowymi, bo nie pozwalają na łatwą i jednoznaczną identyfikację osób, które nimi jeżdżą bądź są ich właścicielami. Rozporządzenie mówi, że jeśli określenie tożsamości osoby na podstawie dostępnych informacji wymaga dużego nakładu finansowego albo wysiłku, nie są one danymi osobowymi.
Warto pamiętać, że w każdej firmie powinna zostać wybrana osoba odpowiedzialna za ochronę danych osobowych, która ma za zadanie pilnować przestrzegania reguł i przedstawiać procedury w razie kontroli UODO (Urzędu Ochrony Danych Osobowych). W przypadku mniejszych firm, takich jak warsztaty samochodowe, warto skorzystać z pomocy zewnętrznych firm, które sprawdzą, czy robimy to we właściwy i zgodny z RODO sposób.
Dbając o prywatność klienta
Dane osobowe klientów można przechowywać w dwojakiej formie: papierowej i elektronicznej. Do pierwszych należą informacje na wszelkich wydrukach: zleceniach, fakturach itp. Drugie to dane w oprogramowaniu CRM (system do zarządzania relacjami z klientami), e-maile, ale też nagrania z firmowego monitoringu wideo. Dokumenty powinny być przechowywane w zamykanych wzmocnionych szafach lub pomieszczeniu zamykanym na klucz, do którego dostęp mają tylko uprawnione osoby. To ważne w przypadku włamania do warsztatu i próby kradzieży. Papiery zawierające dane osobowe nie powinny leżeć luzem na biurku, jeśli z nich nie korzystamy. Dane elektroniczne muszą być przechowywane na dyskach i innych nośnikach, które są zabezpieczone przed niepowołanym dostępem. Jeśli są przechowywane w chmurze, taka usługa powinna być szyfrowana, zabezpieczona hasłem, a przede wszystkim realizowana przez firmę godną zaufania.
- Najważniejsze reguły ochrony danych osobowych mają bezpośredni związek z cyberbezpieczeństwem. Należy być dyskretnym i rozsądnym w kwestii haseł i blokować komputer w razie dłuższej nieobecności. Nie wolno korzystać z prywatnych skrzynek mailowych. Dane fizyczne najlepiej chroni zasada „czystego biurka”, niszczarki i zamykane szafy na dokumenty – podkreśla Danuta Michałus-Sokołowska, Marketing Manager PETRONAS w Polsce.
Pamiętając o zasadach
Naruszenie to sytuacja, kiedy dane osobowe wymykają się spod kontroli. Może być nim przypadkowe przekazanie danych osobowych lub ich utrata w wyniku kradzieży albo zgubienia nośnika. To samo dotyczy nieuprawnionego zmodyfikowania takich danych, ujawnienia ich np. przez wysłanie e-maila do niewłaściwej osoby albo nieuprawnionego dostępu do nich, kiedy otrzymamy mail przez pomyłkę. W takich przypadkach trzeba przede wszystkim poinformować osobę odpowiedzialną za ochronę danych osobowych w przedsiębiorstwie. W niedużym serwisie samochodowym jest nią często właściciel. Taka osoba zdecyduje, czy istnieje konieczność zawiadomienia o naruszeniu prezesa UODO. Należy to wtedy zrobić w ciągu 72 godzin, aby uniknąć kary finansowej.
Warto również pamiętać, że każda osoba fizyczna (czyli większość klientów) może od nas żądać wydania kopii swoich danych osobowych, ich zmiany, informacji o ich przetwarzaniu, przeniesienia albo usunięcia danych. To ostatnie nazywamy prawem do bycia zapomnianym. Ponadto nie można przechowywać danych osobowych na zapas. Kiedy przestają być potrzebne do celów biznesowych, należy pamiętać, by je usunąć.
Fot. PETRONAS
Komentarze (0)