Prawo prywatności jest wąską dziedziną wiedzy, bardzo specjalistyczną, zahacza o sprawy techniczne związane z informatyką i cyberbezpieczeństwem, a w tym nie każdy prawnik się odnajduje.

Co znaczy działać proaktywnie? Wyjaśnimy to po prawniczemu: działać proaktywnie, to znaczy działać w sposób uwzględniający zmianę warunków prawnych i faktycznych przetwarzania danych osobowych…

Tylko co to oznacza? Faktycznie działań proaktywne oznacza stałe monitorowanie sposobów przetwarzania danych osobowych, analizowanie wszelkich zmian dotyczących wykorzystywanych systemów teleinformatycznych, zmian w regulaminach wewnętrznych, ocenianie dostawców różnego rodzaju usług, wyszukiwanie zagrożeń dla bezpiecznego i zgodnego z prawem przetwarzania danych osobowych i wdrażanie dla nich odpowiednich zabezpieczeń.

Prawnik najczęściej działa post factum. Rozwiązuje problemy, opiniuje dokumenty i doradza sposób postępowania przy konkretnej sprawie. Nie jest jednak jego rolą monitorowanie na bieżąco czy firma działa zgodnie z zasadami RODO, nie audytuje regularnie organizacji w zakresie ochrony danych,  nie monitoruje zgodności nowowdrażanych systemów z RODO.,

Przeczytaj dlaczego warto wyznaczyć IOD.

Tak, jeśli prowadzisz sklep internetowy, który gromadzi i przetwarza dane osobowe klientów, musisz być zgodny z RODO.

Kiedy prowadzisz sklep internetowy, z pewnością gromadzisz dane klientów, które są ci potrzebne do założenia konta i realizacji zamówień lub też monitorowania poziomu zadowolenia. Dane, które uzyskasz w ramach zamówienia możesz chcieć wykorzystywać do wysyłki newslettera lub informowania swoich klientów o nowościach. Być może na swojej stronie internetowej też gromadzisz dane osobowe użytkowników, np. adres IP,  lokalizację – to też są dane osobowe.Oprócz danych klientów jesteś w posiadaniu danych osób innych firm, z którymi współpracujesz: dostawców, firm kurierskich lub biura księgowego.

To wszystko sprawia, że administrujesz (inaczej zarządzasz) danymi osobowymi swoich klientów i kontrahentów i musisz to robić zgodnie z RODO.

Jeśli nie sprzedajesz nic w Internecie, a jedynie dzielisz się wiedzą na swojej stronie, blogu oraz w mediach społecznościowych, powinieneś  przygotować pakiet niezbędnych dokumentów, które zabezpieczą twoją działalność. W zależności od tego, czym się zajmujesz, dokumenty trzeba dostosować do Twojej konkretnej sytuacji.

Przykładowe dokumenty, które powinieneś rozważyć to:

• Polityka prywatności: Dokument ten informuje użytkowników o tym jak funkcjonuje twoja strona internetowa, jakie wykorzystujesz pliki cookie i jak nimi zarządzasz, czasem też jakie dane osobowe zbierasz i jak są one wykorzystywane na Twojej stronie, blogu oraz na kontach społecznościowych.
• Regulamin korzystania z serwisu: Jeśli masz funkcję komentarzy lub inny sposób interakcji użytkowników na swojej stronie, blogu lub w mediach społecznościowych, regulamin korzystania z serwisu określa zasady, których użytkownicy muszą przestrzegać, aby używać Twoich usług.
• Umowa licencyjna: Jeśli udostępniasz pytania, kursy online lub inne materiały edukacyjne na swojej stronie lub blogu, warto rozważyć sporządzenie umowy licencyjnej, która reguluje warunki korzystania z tych materiałów.
• Informacja o przetwarzaniu danych osobowych i dokumentacja RODO: Jeśli gromadzisz dane osobowe, z pewnością obowiązują Cię przepisy RODO. Dane osobowe to też adresy email, numery telefonu, dane kont bankowych, adresy, komentarze i wiadomości pozostawione wymieniane z klientami przez komunikatory.

Polityka prywatności na stronę internetową i klauzula RODO nie są dokładnie tym samym, choć mają ze sobą pewne związki.

Polityka prywatności dotyczy głównie strony internetowej. Jest deklaracją, który określa w jaki sposób i jakimi mechanizmami przeglądana strona internetowa przetwarza dane. Nie wszystkie strony internetowe przetwarzają dane osobowe, jednakże Polityka prywatności nawet w tych przypadkach jest dokumentem obowiązkowym właśnie po to, żeby pozwolić użytkownikowi ocenić czy faktycznie jego prywatność jest chroniona. Jeżeli przeglądana strona internetowa przetwarza dane osobowe to w Polityce prywatności znajdą się na ten temat konkretne informacje.

Klauzula RODO, a właściwie informacja o przetwarzaniu danych osobowych, to oświadczenie administratora danych (zarządzającego danymi) mające na celu informowanie osób fizycznych o tym, jak będą przetwarzane ich dane osobowe podczas interakcji z nim, np. podczas wymiany wiadomości z klientem, nagrywania rozmów, zakładania konta w serwisie lub korzystania z usług świadczonych przez firmę.

Przekazanie takiej infomracji jest obowiązkowe, a elementy, jakie powinna zawierać informacja oraz zasady jej tworzenia uregulowane są w przepisach RODO.

Określa ona również prawa i obowiązki użytkowników w kontekście ochrony prywatności. Polityka prywatności jest obecnie niezbędna na większości stron internetowych, aby zapewnić przejrzystość i świadome zgody użytkowników na przetwarzanie ich danych osobowych.

Podsumowując, polityka prywatności jest bardziej ogólnym dokumentem, który obejmuje zasady ochrony prywatności na stronie internetowej, podczas gdy klauzula RODO (informacja o przetwarzaniu danych osobowych) jest szczegółowym oświadczeniem zgodnym z wymogami RODO, które ma na celu informowanie użytkowników o przetwarzaniu ich danych osobowych i ich prawach zgodnie z przepisami RODO.

Celem wdrożenia RODO jest ustalenie w firmie konkretnych zasad postępowania z danymi osobowymi i sposobów ich zabezpieczania.

Wdrożenie RODO rozpoczyna się od poznania potrzeb firmy i specyfiki jej działalności. Na tym etapie ustalamy jakie firma ma oczekiwania i potrzeby oraz jak je pogodzić z wymaganiami prawnymi. Następnie określamy zasoby, które są wykorzystywane do przetwarzania danych osobowych, czyli wykorzystywane programy i aplikacje, systemy służące do zarządzania bazami danymi, miejsca, w których przetwarzane są dane, pracowników, którzy wykonują czynności na danych itp.

W oparciu o naszą wiedzę i doświadczenie pomagamy określić zagrożenia, które mogą spowodować naruszenia bezpieczeństwa danych, np. przetwarzanie niezgodnie z obowiązującymi przepisami lub niewłaściwie dobrane zabezpieczenia mogące prowadzić do wycieku lub zaszyfrowania danych.

Kiedy już poznamy sposób funkcjonowania firmy, dowiemy się z jakich narzędzi korzysta ona do przetwarzania danych osobowych, a także zidentyfikujemy zagrożenia, przechodzimy do ustalenia zasad postępowania, dzięki którym realizacja obowiązków wynikających z przepisów o ochronie danych osobowych będzie płynna, prosta i nie będzie ingerowała w realizację codziennych zadań. Procedury te najczęściej ujęte są jako polityki i/lub instrukcje.

Po zakończeniu wdrożenia zawsze szkolimy pracowników – pracownicy i osoby zarządzające powinni być świadomi swoich obowiązków w zakresie ochrony danych osobowych.

Pamiętaj, że stosowanie RODO jest procesem ciągłym, który wymaga systematycznej oceny bezpieczeństwa danych i aktualizacji procedur i polityk. Dajemy firmie wiedzę i narzędzia, aby samodzielnie mogła dalej stosować RODO.

Celem wdrożenia RODO jest ustalenie w firmie konkretnych zasad postępowania z danymi osobowymi i sposobów ich zabezpieczania.

Cały proces odbywa się pod naszym okiem i zgodnie z naszymi wskazówkami. Nie musisz specjalnie przygotowywać się do takiego wdrożenia. Przeprowadzimy cię przez tą czynność krok po kroku, udzielając porad, instrukcji i ewentualnie prosząc o dokumenty które określają zasady funkcjonowania twoich firmy. Podczas wdrożenia przyjrzymy się regulacjom wewnętrznym, wykorzystywanym wzorom dokumentów, stronom internetowym, treścią umieszczanym w mediach społecznościowych i innym elementom, które będą miały wpływ na przetwarzanie danych osobowych.

Zazwyczaj, przed wizytą wdrożeniową prosimy o udostępnienie regulaminów i stosowanych formularzy z zakresu organizacji firmy, kadr, płac, kontaktów z klientem itp. Pozwala to na zbadanie i zrozumienie, jakie dane osobowe firma przetwarza, w jaki sposób są one gromadzone, przechowywane i usuwane. Czynności te można nazwać audytem przedwdrożeniowym.

We wdrożeniu najczęściej bierze udział kadra kierownicza, dział IT i wytypowani przez firmę pracownicy, jeśli jest taka konieczność. Dla państwa wygody ustalamy wcześniej harmonogram spotkań, aby zapewnić ciągłość pracy w firmie. Zazwyczaj prosimy też, aby firma wskazała osobę do koordynowania naszych prac i była naszym przewodnikiem po firmie. 

Po wdrożeniu otrzymasz Politykę Ochrony Danych, instrukcje i dokumenty zawierające:

• Procedurę nadawania upoważnień,
• Wypełnione upoważnienia do przetwarzania danych i ich ewidencję (art. 29 RODO),
• Procedury IT,
• Procedurę kontroli podmiotów przetwarzających,
• Opis podstawowych środków bezpieczeństwa,
• Procedurę i metodologię przeprowadzania analizy ryzyka,
• Instrukcję spełnienia podstawowych zasad przetwarzania danych osobowych (art. 5 RODO),
• Instrukcję spełnienia obowiązku informacyjnego wraz z treścią klauzul informacyjnych (art. 13, art. 14 RODO),
• Instrukcję obsługi żądań właścicieli danych osobowych (art. 15-22 RODO),
• Instrukcję zgłaszania i obsługi naruszeń ochrony danych osobowych (art. 33-34 RODO),
• Wypełniony Rejestr czynności przetwarzania i Rejestr kategorii przetwarzania (art. 30 RODO),
• Certyfikaty z przeprowadzonego szkolenia,
• Dokument oceny obowiązku powołania IOD
• Wzory dokumentów i ewidencji niezbędnych w celu spełnienia wymagań ogólnego rozporządzenia o ochronie danych (art. 24 RODO), w zależności od specyfiki Twojej firmy.
• Wzory dokumentów i ewidencji niezbędnych w celu spełnienia wymagań RODO (art. 24 RODO), w zależności od specyfiki Twojej firmy.

W ramach dodatkowych usług możesz otrzymać:

• wykonaną analizę ryzyka wraz ze wskazaniem zaleceń i osób odpowiedzialnych za ich wykonanie,
• dostosowane do przepisów o ochronie danych osobowych obowiązujące w firmie dokumenty, np. związane z:
  • rekrutacją,
  • procesem zatrudniania i sprawami pracowniczymi,
  • benefitami dla pracowników,
  • monitoringiem wizyjnym,
  • zawieraniem umów cywilnoprawnych,
  • kontaktów z klientami i kontrahentami.

To zależy od wielkości firmy, ilości i stopnia skomplikowania procesów, w których przetwarzane są dane osobowe oraz liczby i rodzaju przetwarzanych danych osobowych. W niektórych organizacjach wystarczające jest przygotowanie kilku prostych instrukcji, które będą w zupełności wystarczające. Istnieją jednak organizacje, w których procesy przetwarzania danych osobowych są skomplikowane i w tych przypadkach konieczne jest wdrożenie polityki ochrony danych stanowiącej ogólny zarys przyjętej metodologii postepowania z danymi oraz szeregu instrukcji, które szczegółowo opisują sposób przetwarzania danych w poszczególnych procesach.

Tak. Nie zostawiamy klientów bez opieki. Dajemy Ci wiedzę i narzędzia, abyś samodzielnie mógł dalej stosować RODO, ale służymy radą i pomocą, bo wiemy, że na początku nic nie jest proste.

Koszt naszych usług ustalamy na podstawie harmonogramów godzinowych. Każdy element naszej pracy jest dokładnie opisany i wyliczony godzinowo. Godzina pracy naszych specjalistów kosztuje 200,00 zł, jednakże zastrzegamy sobie możliwość obniżenia tej stawki w zależności od ustalonych zasad współpracy.

Każde rozliczenie odbywa się na podstawie godzinowego harmonogramu prac zaakceptowanego przez klienta.

Audyt RODO polega na przeprowadzeniu szczegółowej oceny i analizy procedur związanych z przetwarzaniem danych osobowych w organizacji. Celem audytu jest ocena zgodności pracy organizacji z wymogami RODO oraz identyfikacja potencjalnych ryzyk i luk związanych z bezpieczeństwem danych osobowych oraz zgodności z prawem ich przetwarzania.

Podczas audytu RODO przeprowadzamy analizę dokumentacji, procedur i polityk pod kątem wypełniania przepisów, weryfikujemy realne działania firmy pod kątem zgodności z RODO,  a także oceniamy skuteczność zastosowanych środków technicznych i organizacyjnych w celu ochrony danych osobowych.

Po przeprowadzeniu audytu RODO, przekazywany jest raport z wynikami, który zawiera rekomendacje dotyczące poprawy stanu zgodności z RODO oraz zwiększenia ochrony danych osobowych.

Raport daje kierownictwu informację jaki jest stan bezpieczeństwa danych w firmie, jakie są potencjalne zagrożenia dla zgodnego z prawem przetwarzania danych osobowych lub ich utraty, ujawnienia nieuprawnionym osobom albo nieuprawnionej zmiany treści tych danych. Raport stanowi istotną informację zarządczą w zakresie bezpieczeństwa danych osobowych i jednocześnie jest planem działania dla poprawy dotychczas wdrożonych procesów.

Przepisy prawa nie regulują konkretnie jak często powinien być wykonywany audyt RODO. Wszystko zależy od wielkości organizacji oraz od ilości procesów w których przetwarzane są dane osobowe. Warto zadbać o to, aby wykonywane audyty pozwoliły na ocenę wszystkich procesów przetwarzania danych osobowych co najmniej raz na 2 lata. W bardzo dużej organizacji będzie to wymagało na przykład wykonywania audytów raz na kwartał w różnych obszarach działalności, natomiast w niewielkiej organizacji audyt będzie trwał od 1 do 3 dni raz na 2 lata.

Jak wspominaliśmy, RODO nie jest zerojedynkowe, dlatego nie jesteśmy w stanie podać jednej ceny. To zależy od ilości danych i specyfiki procesów przetwarzania danych, które dzieją się w firmie. Ofertę przedstawiamy indywidualnie pod klienta. Zazwyczaj oferta jest poprzedzana bezpłatnym spotkaniem (w tym on-linowym), na którym ustalamy zakres prac i zbieramy i przekazujemy potrzebne informacje. Wycena jest darmowa, nic nie stoi na przeszkodzie, aby zapytać.

Sprawdź jak wyceniamy nasze usługi.

Audyt RODO odniesie najlepsze efekty właśnie wtedy kiedy do się niego zupełnie nie przygotujesz. Tylko wtedy audytorzy będą mogli zobaczyć jak faktycznie funkcjonuje twoja organizacja, jak przetwarza dane osobowe w warunkach realnej pracy, a nie w warunkach idealnego i świadomego odgrywania ról przed audytorem. Pamiętaj, że audyt RODO, ma nieść ze sobą element rozwoju i poprawy dotychczasowych mechanizmów. Naszą misją jest pomaganie, w czasie audytów zawsze jesteśmy po waszej stronie. Każde niedociągnięcie, każdy wadliwy mechanizm, który zobaczymy pomożemy zmienić tak, aby nie był dla was ciężarem i żeby był zgodny z przepisami prawa.

Jeżeli chcesz przygotować się do audytu, to zalecamy przygotowanie się do szczerej rozmowy i wskazanie wszystkich trudności z jakimi spotkała się twoja firma.  

Z naszej strony zapewniamy, że przez audyt przeprowadzimy was krok po kroku, wskażemy dokumenty, które należy przygotować i ustalimy harmonogram spotkań z pracownikami.

Dokumentami które podlegają audytowi najczęściej są przyjęte zasady ochrony danych osobowych, procedury i regulaminy, które określają sposób realizacji zadań przez twoją firmę, wykorzystywane przez twoich pracowników dokumenty, formularze, listy oraz wszelkie mechanizmy przetwarzania danych osobowych wykorzystywane w systemach informatycznych i na stronach internetowych.

W audycie RODO bierze udział kadra kierownicza, dział IT i wytypowani przez firmę pracownicy, jeśli jest taka konieczność. Dla państwa wygody ustalamy wcześniej harmonogram spotkań, aby zapewnić ciągłość pracy w firmie. Zazwyczaj prosimy też, aby firma wskazała osobę do koordynowania naszych prac i była naszym przewodnikiem po firmie.

DPIA to ocena skutków dla ochrony danych, to proces analizy ryzyka związany z przetwarzaniem danych osobowych.

DPIA to inaczej ocena, czy przetwarzanie danych przez Twoją firmę może z dużym prawdopodobieństwem powodować wysokie ryzyko  naruszenia prywatności osób, których dane dotyczą (klientów, kontrahentów, pracowników) i jakie skutki niesie ewentualne naruszenie.

DPIA jest obowiązkowe zawsze, gdy dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele, może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych,  szczególności:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych,
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Dodatkowo wykaz czynności przetwarzania danych, które podlegają DPIA obowiązkowo jest ustalany przez  Prezesa Urzędu Ochrony Danych Osobowych).

Zatrudnienie, czy raczej wyznaczenie IOD jest obowiązkowe tylko w przypadku, gdy administrator spełnia warunki określone w RODO, czyli:

1. jest podmiotem publicznym (zgodnie z definicją z ustawy o finansach publicznych) lub
2. jest przedsiębiorcą, którego główna działalność polega na regularnym i systematycznym monitorowaniu danych osobowychm. in.: firmy świadczące usługi monitoringu, banki i firmy ubezpieczeniowe, dostawcy usług telefonicznych lub internetowych, lub
3. jest przedsiębiorcą, którego główna działalność polega na przetwarzaniu danych szczególnie chronionych na dużą skalę m.in. informacje o stanie zdrowia – np. firmy świadczące usługi medyczne.

Jeśli nie spełniasz powyższych warunków nie masz obowiązku wyznaczania IOD.

Jednak naszym zdaniem, warto zapewnić sobie do współpracy specjalistę zajmującego się ochroną danych osobowych, nawet jeśli nie masz takiego obowiązku. Dlaczego? W czasach Internetu i wszechobecnych wycieków danych i bardzo często zmieniających się wymogów prawnych warto zadbać o wizerunek swojej firmy jako tej, która stawia na ochronę prywatności Klientów.

Zatrudnienie IOD zapewnia, że firma działa zgodnie z wymogami prawnymi i minimalizuje ryzyko naruszeń, a co za tym idzie kar finansowych, utraty reputacji i zaufania klientów.

IOD zapewnia szkolenia personelu i wskazuje prawidłowy sposób postępowania z danymi osobowymi. Dzięki niemu, każdy pracownik jest świadomy odpowiedzialności związanych z przetwarzaniem danych, co minimalizuje ryzyko błędów i naruszeń.

IOD ma także za zadanie śledzenie i monitorowanie zmian w przepisach dotyczących ochrony danych, dbania o to, żeby wszystkie wdrażane zadania i mechanizmy przetwarzania danych osobowych były zgodne z wymogami prawa, co zapewnia płynność w działaniu firmy i minimalizację obciążenia pracowników zadaniami związanymi z RODO.

Same plusy.

Wszyscy w organizacji powinni mieć odpowiednie szkolenie z RODO, aby zrozumieć swoje obowiązki, wiedzieć jak postępować z danymi osobowymi i unikać ryzyk, a także jak zapewnić odpowiedni poziom ochrony danych. Chronienie danych to obowiązek nie tylko jednej osoby w firmie, tylko wszystkich, każdego z osobna.

Szkolenie odpowiednio dopasowane do potrzeb i wykonywanych zadań jest potrzebne w szczególności zarządowi, kadrze zarządzającej, pracownikom poszczególnych działów: HR (kadry), IT, marketing, itp. i wszystkim przetwarzającym dane osobowe pracownikom.

CRM-EDPO to system, który ma wesprzeć firmę w wypełnianiu obowiązków związanych z ochroną danych osobowych. Obowiązków jest cała masa, ale system je usystematyzuje i zautomatyzuje. Będzie Twoim przewodnikiem w dżungli RODO.

Stworzysz klauzule informacyjne do odpowiednich czynności lub skorzystasz z gotowych wzorów dokumentów. Zrobisz to raz na (prawie) zawsze.  Wykonasz analizę ryzyka i będziesz na bieżąco monitorował postępy wdrażanych działań zaradczych. Obsłużysz naruszenia i żądania właścicieli danych. System sam podpowie, co masz robić.

W CRM-EDPO poprowadzisz wszystkie rejestry, np. rejestr czynności przetwarzania, rejestr kategorii przetwarzania, rejestr pracowników i każdy inny jaki wymyślisz. Pracownikom wydasz upoważnienia w systemie, zorganizujesz proces nadawania i odbierania uprawnień i przypiszesz im odpowiednie czynności przetwarzania.

Przygotujesz samodzielnie szkolenia, lub skorzystasz z naszych gotowców. A co najważniejsze, zapewnisz firmie rozliczalność wykonywania obowiązków wynikających z RODO, czyli udowodnisz na podstawie tego, co robisz w systemie, że wywiązujesz ze swoich zadań. CRM-EDPO zapisuje wszystkie Twoje działania i układa je w zbiorczy raport.

Więcej o systemie przeczytasz tu: https://crm-edpo.pl/crm-edpo-rodo-funkcjonalnosci.html lub skontaktuj się z nami.