Jeżeli masz dostęp do Internetu, radia, prasy lub telewizji – to z dużym prawdopodobieństwem obiło Ci się o uszy co nieco o RODO. RODO jest nowym rozporządzeniem dotyczącym ochrony danych osobowych, które wchodzi w życie z dniem 25 maja tego roku. Wiele głosów na jego temat przybiera nieco napięty, a czasem wręcz paniczny ton. Najczęściej jednak wynika on z niewiedzy i dotychczasowego lekceważenia kwestii ochrony danych osobowych.
Aby dowiedzieć się, co takiego zmienia się dla nas, stylistek rzęs, prowadzących działalność usługową, a także dla dla innych usługodawców kosmetycznych, postanowiliśmy zadać kilka pytań jednemu ze specjalistów od kwestii prawnych związanych z ochroną danych – Wojciechowi Wawrzakowi.
Lash: Branża usług kosmetycznych jest w Polsce dosyć mocno rozdrobniona. Większość usług świadczona jest przez małe, jedno lub kilkuosobowe firmy. Co zmienia się z wejściem RODO dla takich mikro-przedsiębiorców kosmetycznych? Załóżmy, że mówimy o punkcie, który zbiera informacje przed-zabiegowe, zanim wykona jakikolwiek zabieg, w “papierowych ankietach”, do tego dane kontaktowe na potrzeby komunikacji z klientami – zapisywane w fizycznym kalendarzu lub pliku elektronicznym.
Wojciech Wawrzak: Jeżeli pytasz, czy coś się zmienia, to przekornie odpowiem, że nie – nie zmienia się zbyt wiele. Prawda jest taka, że dane osobowe zbierane w ten sposób powinny być chronione od dawna, już na gruncie obowiązującej dotychczas ustawy o ochronie danych osobowych. Problem polega na tym, że większość przedsiębiorców nie robiła do tej pory kompletnie nic w kontekście ochrony danych osobowych. Dla takich osób RODO jest sporym wyzwaniem, bo mają do nadrobienia kawał wiedzy z zakresu ochrony danych osobowych. Twoje pytanie jest na tyle ogólne, że trudno tutaj zawrzeć jakąś konkretną odpowiedź, bo o RODO powstają opasłe tomy. Ja postarałem się przedstawić najważniejsze wyzwania w swoim artykule – LINK DO ARTYKUŁU ZNAJDZIECIE NA KOŃCU WYWIADU 🙂
Wiele słyszy się o tym, że od kiedy RODO wejdzie w życie, danych nie będzie można przechowywać w nieskończoność. Czy to oznacza, że jeżeli kontakty zbieram w sposób “analogowy” – zapisując je w notatniku – to będzie trzeba je stamtąd wykreślić, jeżeli przez dłuższy czas nie będę się z klientem komunikować?
To, o co pytasz, mądrze określa się “retencją danych”. Retencja danych polega na tym, że każdy przedsiębiorca powinien określić termin, w jakim dane będzie usuwał. Dla różnych danych mogą być to różne terminy. Teoretycznie dotyczy to również wszelkich notesów papierowych, choć nie oszukujmy się, że tutaj wdrożenie retencji danych w praktyce nie będzie tak częste jak w przypadku systemów elektronicznych. Generalnie jednak, na potrzeby prowadzenia statystyk czy wewnętrznej bazy klientów, można posiłkować się zawsze terminem końcowym w postaci zakończenia prowadzenia działalności gospodarczej, przewidując jednocześnie procedurę sprzeciwu danej osoby co do przetwarzania jej danych. Czyli możesz przetwarzać dane na potrzeby statystyczne przez cały okres prowadzenia działalności, ale np. po upływie terminu przedawnienia roszczeń z zawartych umów musisz być gotowy na to, że ktoś będzie chciał się sprzeciwić dalszemu przetwarzaniu swoich danych i poprosi Cię o ich usunięcie.
Co w przypadku, kiedy dane kontaktowe zapisuję w telefonie, i jednocześnie jest to telefon, używany jako prywatny?
Cóż mogę powiedzieć? Taka sytuacja nie powinna mieć miejsca, bo sprzęt firmowy i prywatny powinny być rozdzielane – to jedyne skuteczne zabezpieczenie. Jeżeli z jakiś względów nie chcemy tego robić, to powinniśmy zadbać o to, by dostęp do telefonu wymagał identyfikacji. Można pomyśleć również np. o dodatkowym haśle dostępu do kontaktów. Generalnie, warto zorientować się, jakie możliwości dają nam aplikację do smartfona w kontekście odseparowania i zabezpieczenia dostępu do danych firmowych.
Jeżeli korzystamy z usług jakiegoś zewnętrznego serwisu do prowadzenia kalendarza zapisów, to po czyjej stronie leży zadbanie o bezpieczeństwo danych? Naszej, czy serwisu?
Jeżeli korzystamy z jakichkolwiek usług zewnętrznych, które wiążą się z przetwarzaniem danych osobowych, to w pierwszej kolejności powinniśmy zweryfikować rzetelność podmiotu, który te usługi ma świadczyć. Warto choćby zapytać o to, w jaki sposób przygotował się do RODO, czy ma w tym zakresie jakiś dokument etc. Nie wspominam już oczywiście o umowie powierzenia, która powinna być standardem. To na nas, jako na administratorze danych osobowych, ciąży obowiązek zapewnienia, by dane były przetwarzane w sposób bezpieczny, w tym również przez podwykonawcę, którym się posługujemy.
W jaki sposób traktować dane osobowe pracowników, jeżeli kogoś zatrudniam? Czy RODO precyzuje, w jaki sposób mają być przechowywane umowy lub faktury?
RODO nie precyzuje żadnych konkretnych środków bezpieczeństwa. Sam musisz ocenić jakie są zagrożenia związane z przetwarzaniem przez Ciebie danych osobowych i dobrać takie środki, które sprawią, że dane będą bezpieczne, nie wyciekną, nie zostaną bezprawnie zmodyfikowaey, usunięte itp.
Czy muszę podpisywać specjalne umowy o przekazywaniu danych z firmami partnerskimi? Np. z biurem rachunkowym?
Tak, mówimy tutaj o umowie powierzenia przetwarzania danych osobowych. Każdy zewnętrzny podmiot, który ma choćby potencjalną możliwość dostępu do przetwarzanych przez Ciebie danych osobowych, powinien zostać związany umową powierzenia przetwarzania danych osobowych.
Już jakiś czas przed wejściem RODO, pojawiły się firmy wysyłające nieco “zastraszające” maile. W mailach jest mowa o obowiązkowych szkoleniach, często o bardzo wysokich cenach. Czy rzeczywiście każdy, kto prowadzi działalność w której przetwarza dane, jest zobowiązany przejść jakieś szkolenie?
Szkolenia nie są obowiązkowe. Nie ma nigdzie w RODO wymogu, by trzeba było legitymować się przejściem szkolenia. Szkolenia są natomiast pomocne, gdy jesteśmy całkowicie zieloni i potrzebujemy zdobyć szybko podstawową wiedzę. Warto jednak wcześniej zweryfikować ofertę szkolenia, sprawdzić osobę prowadzącą, by rzeczywiście korzyść z takiego szkolenia odpowiadała cenie.
Czy w związku z wejściem w życie RODO należy spodziewać się częstszych kontroli weryfikujących dbałość o bezpieczeństwo danych osobowych?
Kontrole na pewno będą. W jakiej skali? Tego nie wie na ten moment nikt. Jesteśmy w tej niewdzięcznej sytuacji, że RODO rozpoczyna być stosowane od 25.05.2018 r. i z czasem zobaczymy jak będzie wyglądać intensywność kontroli. Warto pamiętać, że pierwszy raz mamy do czynienia z sytuacją, gdy w wyniku kontroli może zostać od razu nałożona kara pieniężna. Nie należy tych kar bać się panicznie, ale warto mieć z tyłu głowy, że może być to dodatkowa motywacja dla większej ilości kontroli niż na gruncie dotychczas obowiązujących przepisów.
Na pytania odpowiadał prawnik, Wojciech Wawrzak, autor bloga PRAKREACJA, do którego możesz przejść klikając tutaj.
Link do artykułu wspomnianego przez Wojciecha: Kliknij tutaj
Wojtka znajdziesz również na Facebooku, gdzie na bieżąco publikuje przydatne, prawne ciekawostki: TUTAJ