Spotykam się z wieloma przedsiębiorcami, którzy rozpoczynają działalność gospodarczą lub istniejącą i chcą swoją firmę „dostosować do RODO”. To bardzo enigmatyczne określenie, bo czym to dostosowanie miałoby być? W czym się przejawiać? Co nieść ze sobą? Zdecydowana większość moich rozmówców myśli, że „dostosowanie firmy do RODO” sprowadza się do dwóch czynności. Co ciekawe nie są to czynności, od których przedsiębiorca powinien zaczynać! Domyślasz się, o jakie czynności chodzi?

Ten dokument magicznie nie sprawi, że firma będzie zgodna z RODO

Bardzo wielu przedsiębiorców próbuje rozpocząć swoją przygodę z RODO od napisania, bądź poprawienia polityki prywatności. W skrajnych przypadkach przedsiębiorcy uznają stworzenie tego dokumentu za jedyny obowiązek, jaki RODO na nich nakłada. Większość przedsiębiorców jednak zazwyczaj najpierw zajmuje się dokumentem zwanym polityką prywatności, a dopiero potem zastanawia się czy, coś więcej muszą zrobić. Wiele razy spotkałem się z przypadkami, gdy przedsiębiorcy brali znaleziony w sieci szablon i bezrefleksyjnie wpisywali w niego swoje dane, nawet nie czytając umieszczonych w nim zapisów. 

Kontrakt B2B

Takie postępowanie to proszenie się o kłopoty. Przede wszystkim umieszczenie na stronie polityki prywatności to nie jedyna metoda na wypełnienie obowiązku informacyjnego, jakie narzuca na Ciebie RODO. Co więcej, w wielu przypadkach będzie to metoda niewystarczająca. Jeżeli przeprowadzasz konkurs, to o sposobie przetwarzania danych osobowych musisz poinformować każdą zainteresowaną nim osobę. Informacja taka co do zasady powinna być dostępna, zanim dana osoba do niego przystąpi. Odsyłanie do zapisów ogólnej polityki prywatności opisującej typowe procesy przetwarzania danych w Twojej firmie, takie jak obsługa poczty e-mail czy faktur, na pewno nie jest wystarczające.

 W wielu przypadkach może być też dla takiego uczestnika nieczytelne, gdyż zmusisz go do wertowania stron polityki prywatności w poszukiwaniu interesujących go zapisów. Pamiętaj też, że organizacja konkursu może wiązać się z zupełnie innymi czynnościami przetwarzania niż typowe procesy w twojej firmie. Możesz także na potrzeby jego przeprowadzenia stać się współadministratorem danych osobowych wraz z drugą firmą, z którą konkurs będziesz przeprowadzać.

Jest jeszcze drugi, bardzo przyziemny i praktyczny powód, dlaczego nie należy rozpoczynać od stworzenia polityki prywatności. Dokument ten ma być informacją dla osób, które powierzą Ci swoje dane osobowe, w jaki sposób są one przetwarzane. Ma on opisywać stan faktyczny, a nie pobożne życzenia czy obietnice tego, jak to przetwarzanie mogłoby wyglądać. Zatem rozpoczynając pracę nad dostosowaniem swojej firmy do RODO od polityki prywatności rozpoczynasz od stworzenia księgi życzeń, a nie udokumentowania stanu faktycznego.

Jaki jest właściwy pierwszy krok?

Zapamiętaj, że dostosowanie firmy do RODO to nie jest jednorazowy zabieg. Jest to proces, który będzie trwał tak długo, jak długo firma będzie istniała. Polityka prywatności, podobnie jak rejestr czynności przetwarzania, to jedynie dokumenty, które powstają jako wynik szeregu innych czynności związanych z RODO. Pierwszą z nich powinno być niewątpliwie przeprowadzenie analizy, w jaki sposób obecnie są przetwarzane dane osobowe w przedsiębiorstwie. Analiza ta powinna dać odpowiedź na pytania, co się z powierzonymi danymi dzieje, kto ma dostęp czy jakie narzędzia teleinformatyczne są wykorzystywane w procesie przetwarzania. Niemniej ważne jest sprawdzenie, czy powierzasz dane podmiotom trzecim, a jeżeli tak czy masz podpisane z nimi odpowiednie umowy powierzenia. Twoi pracownicy zaś powinni mieć wystawione odpowiednie upoważnienia i być przeszkoleni z zakresu ciążących na nich obowiązków.

Następnie na podstawie zebranych informacji należy dokonać odpowiedniej analizy sytuacji oraz podjąć odpowiednie czynności naprawcze, jeżeli jakieś problemy z ochroną procesu przetwarzania zostały zidentyfikowane. Dopiero na koniec powstają odpowiednie dokumenty, które pozwolą Ci spełnić ciążący na Tobie obowiązek informacyjny.

A jeżeli zacznę od polityki prywatności?

Oczywiście nikt Ci nie może tego zabronić. Musisz jednak pamiętać, że możesz w ten sposób na siebie i swoją firmę ściągnąć problemy. Jeżeli umieścisz w polityce prywatności informacje niezgodne z prawdą to wcześniej czy później ktoś może to zauważyć i wnieść skargę do Urzędu Ochrony Danych Osobowych. Ten może stwierdzić naruszenie związane z obowiązkiem administracyjnym i nałożyć na Twoją firmę karę finansową. Jednak nie tylko ona może być dla Ciebie dotkliwa – o wiele bardziej zaboli utrata Twojej reputacji wśród obecnych i przyszłych klientów.

Nie wiesz jak przeprowadzić audyt swojej infrastruktury IT oraz procesów biznesowych pod kątem zgodności z RODO? Nie wiesz jak rozpocząć proces dostosowywania swojej firmy do RODO? Mogę Ci w tym pomóc!
Konsultacje

Informuj mnie o nowościach

Podając nam swój adres email wyrażasz zgodę na otrzymywanie od nas wiadomości o nowościach w serwisie RODOwskaz.online, usługach czy podsumowaniem ważnych zmian i interpretacji prawa związanych z przetwarzaniem danych osobowych w Twojej firmie. W każdej chwili możesz zrezygnować z otrzymywania informacji wypisując się z listy. Odpowiedni odnośnik znajdziesz w każdym mailu. Więcej informacji o przetwarzaniu danych osobowych znajdziesz w naszej polityce prywatności.

Pobierz poradnik, dzięki któremu zaczniesz dostosowywać swoją firmę do wymogów RODO