Masz wątpliwości dotyczące ochrony danych osobowych - przeczytaj koniecznie. 

🕒  Czas na przeczytanie poniższego tekstu to ok. 2 minuty.

Czasem słyszę "my mamy RODO". Ale co konkretnie (pytam, szczerze zaciekawiony)? "No wszystko. Informację do stopki wiadomości e-mail i inne klauzule RODO. Cały pakiet, kompleksowo."

Czy jednak naprawdę formułka w stopce wiadomości e-mail + kilka "klauzul informacyjnych" zapewnia bezpieczeństwo danych osobowych w naszej firmie? 

Warto sprawdzić. Proponuję prosty test. Pozytywny wynik testu nie daje oczywiście pewności, że nasze procedury są adekwatne do obiegu danych osobowych w naszej firmie itd. ale już wynik negatywny to wysokie prawdopodobieństwo poważnych (i to nie tylko finansowych) problemów.

Co należy wiedzieć (absolutne minimum i to bez względu na to, czy kupiliśmy RODO "kompleksowo")? 

Czym są dane osobowe, jakie dane osobowe przetwarzamy, w jaki sposób otrzymujemy dane osobowe, jak przetwarzamy dane, kto ma prawo je przetwarzać i czy w ogóle mamy nad tym jakąkolwiek kontrolę? Czy musimy zawierać umowy dotyczące danych osobowych i jaka powinna być treść tych umów. Czy trzeba okresowo szkolić personel (i dlaczego)? Czy monitoring wizyjny (kamery) ma związek z "RODO"? Czym jest EROD i czy w ogóle muszę się tym przejmować?

Bo konsekwencje za uchybienie treści przepisów mogą być poważne i dzielą się na trzy grupy - sankcje niepieniężne, pozornie najmniej dotkliwe, ale w praktyce mogą np. spowodować, że firma będzie musiała zawiesić działalność, kary finansowe, i nawet odpowiedzialność karna.

https://www.infor.pl/prawo/praca/pracodawca/3045795,Kary-za-naruszenie-przepisow-RODO.html (12.11.2021)

Szczególnie powinno nas zainteresować - jak bezpiecznie przetwarzać dane osobowe. Mamy więc dwa pojęcia - "dane osobowe" i "przetwarzanie" tych danych. Legalnych definicji danych trzeba szukać w aktach prawnych. Na początek, czy też dla celów auto-kontroli - wystarczy Wikipedia https://pl.wikipedia.org/wiki/Dane_osobowe albo europa.eu https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_pl.htm#shortcut-7

Gdy już wiemy, co konkretnie stanowi dane osobowe (wbrew pozorom nie jest to aż tak proste) musimy zastanowić się (przynajmniej) - jak te dane do nas (przedsiębiorstwo) trafiają (pocztą, pocztą elektroniczną, SMS, formularz kontaktowy itd.), co z nimi robimy, jak i jak długo powinniśmy je przechowywać, jakie są prawa osób, które dane dotyczą i związane z tym nasze obowiązki itd.

Ww. kwestie (dot. przetwarzania danych osobowych) powinny oczywiście regulować stosowne procedury. Nie jest to może stricte tematyka danych osobowych ale wiąże się z nią, dlatego warto opracować (i co ważniejsze stosować) "politykę obiegu (w tym archiwizacja i digitalizacja) informacji i dokumentów".

Z tym wiąże się również temat rejestrów. Mam tu na myśli konkretnie dwa rejestry - rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania. W internecie jest dużo wzorów (może warto coś zaktualizować).

Polityki, procedury, rejestry itp. warto mieć i stosować (czasem prawo ich wymaga), bo (wbrew pozorom) tak jest łatwiej pracować, no i mając ww. (i przestrzegając ich) łatwiej przejść przez możliwe kontrole itd.

Masz wątpliwości czy potrzebujesz kontroli lub zmian w zakresie dotyczącym przetwarzania i ochrony danych osobowych? Napisz do mnie, wspólnie znajdziemy optymalne rozwiązanie.