1. CZĘŚĆ TEORETYCZNA
General Data Protection Regulation (unijny skrótowiec GDPR), czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO – polski skrótowiec). Rozporządzenie o ochronie danych osobowych (RODO) jest nowym prawem dotyczącym ochrony prywatności w Unii Europejskiej. Skonstruowano je tak, by każda osoba miała większą kontrolę nad własnymi danymi osobowymi. Dodatkowo Rozporządzenie nakłada nowe obowiązki na organizacje zbierające, przetwarzające i analizujące te dane osobowe. RODO wchodzi w życie 25 maja 2018 r., więc już teraz należy zacząć się do niego przygotować. Dane osobowe to nie tylko imię i nazwisko, pesel, wizerunek, ale zgodnie z definicją RODO są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (w szczególności, poza imieniem i nazwiskiem, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej).
Każdy przedsiębiorca działa inaczej w związku z tym nie ma jednego szablonu dla wdrożenia RODO - każdy ma obowiązek stworzenia go sobie samemu.
NAJWAŻNIEJSZE POJĘCIA
Artykuł 4 RODO wymienia i wyjaśnia listę pojęć używanych w regulacji. Kluczowe pojęcia to:
Administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (np. właściciel salonu).
Podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (np. recepcjonistka).
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie i inne.
Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać do konkretnej osoby, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno (wyjaśnienie w części praktycznej).
DOKUMENTACJA
RODO wskazuje nowe obowiązkowe dokumenty takie jak:
rejestr czynności przetwarzania danych osobowych,
rejestr naruszeń ochrony danych osobowych,
umowy powierzenia danych.
Powyższe dokumenty każdy przedsiębiorca powinien stworzyć sam i na bieżąco uzupełniać.
Cztery kluczowe kroki potrzebne do osiągnięcia zgodności z RODO:
Inwentaryzacja – Identyfikacja posiadanych danych i miejsca ich przechowania
Zarządzanie – zarządzanie sposobem wykorzystania i uzyskiwania dostępu do danych osobowych
Ochrona – Wykorzystanie narzędzi zapewniających bezpieczeństwo w celu ochrony Twoich danych.
Raportowanie – odpowiadanie na wnioski o ujawnienie danych i wymaganej dokumentacji, udostępnianie danych na życzenie.
OPIS PROCESÓW PRZETWARZANIA
Przygotowując się do rozporządzenia warto przygotowywać krok po kroku opis istniejących procesów przetwarzania, czyli m.in.:
celów przetwarzania danych,
rodzaju przetwarzanych danych,
podstaw prawnych,
okresu przez jaki dane będą przetwarzane,
sposobu przetwarzania (komputerowo, papierowo),
lokalizacji danych,
zarządzania dostępem,
stosowanych zabezpieczeń.
REJESTR PRZETWARZANIA
Likwiduje się rejestrację zbiorów danych, które musiały być składane do GIODO, a wprowadza rejestr czynności przetwarzania. Rozporządzenie wskazuje, iż rejestr powinien być prowadzony w formie pisemnej, w tym w formie elektronicznej. Rejestr przetwarzania ma zawierać m.in. następujące kategorie informacji:
informacje o administratorze i ew. współ administratorach (np. właściciel salonu),
dane inspektora ochrony danych (jesli musi być powołany),
opis celów przetwarzania (mailowe, telefoniczne),
kategorie osób, których dane się przetwarza (np. klienci, pracownicy),
kategorie danych osobowych,
informacje o odbiorcach (także w państwach trzecich),
planowane terminy usuwania poszczególnych kategorii danych,
opis środków bezpieczeństwa.
SKUTKI PRZETWARZANIA DANYCH
Bez wątpienia niezbędne będzie przygotowanie się przedsiębiorców do tego, w jaki sposób dokonywać oceny skutków przetwarzania danych. Z czasem będą pojawiać się kolejne wytyczne, które uregulują ten obszar, nic nie stoi jednak na przeszkodzie, aby przygotować dokumentację, która będzie pomocna przy wdrażaniu Rozporządzenia, na którą składać będzie się:
opis jakie dane osobowe są przetwarzane w organizacji,
opis jaki jest cel przetwarzania tych danych i jakie są przesłanki legalności,
uzasadnienie zakresu zbieranych danych w uwzględnieniem ich adekwatności i niezbędności,
ustalenie w jakich miejscach te dane się znajdują (w tym systemy informatyczne),
oszacowanie wpływu na osoby w przypadku np. wycieku czy utraty tych danych,
określenie i ocenę stosowanych zabezpieczeń tych danych.
Na ocenę skutków przetwarzania, powinny się składać m.in.:
opis planowanych operacji przetwarzania i ich celów (udokumentowanie jakie dane osobowe przetwarza się i w jakich celach),
ocena proporcjonalności operacji przetwarzania w stosunku do celów (samoocenę, czy dane osobowe są niezbędne a sposób ich przetwarzania jest odpowiedni do celu przetwarzania),
ocena zagrożenia dla praw i wolności osób,
ocena środków mających zmniejszyć zagrożenia i chronić dane osobowe.
PSEUDOMONIZACJA
Rozporządzenie wprowadza pojęcie pseudomonizacji danych, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
W preambule wskazano, iż spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.
Przedsiębiorca powinien zapewnić pseudonimizację (rozumianą jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji), szyfrowanie danych osobowych, ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zapewnienie zdolności posiadanych systemów do szybkiego przywrócenia dostępności danych osobowych.
INFORMOWANIE
Podczas zbierania danych trzeba poinformować osobę o tym, jak długo jej dane będą przechowywane. Obowiązek informacyjny, narzucony na administratora podczas zbierania danych, zostanie znacznie poszerzony.
Będzie trzeba więc informować o:
inspektorze ochrony danych,
nazwie i danych kontaktowych przedstawiciela, jeżeli istnieje,
podstawie prawnej przetwarzania,
prawnie uzasadnionym interesie administratora, jeżeli na tej podstawie odbywa się przetwarzanie,
informacji o zamiarze przekazywania danych do państwa trzeciego,
okresie, przez który dane osobowe będą przechowywane, bądź kryteria ustalania tego okresu,
profilowaniu (profile społecznościowe),
o prawie wniesienia skargi do organu nadzorczego,
w przypadku istnienia obowiązku podania danych osobowych: wskazaniu ewentualnych konsekwencji niepodania danych,
prawach osoby, której dane dotyczą, tj. prawie do:
usunięcia danych,
ograniczenia przetwarzania,
prawie przenoszenia danych,
prawie do cofnięcia zgody (gdy osoba, której dane dotyczą wyraża zgodę na przetwarzanie danych).
Musimy pamiętać o prawie do prywatności:
Osoby mają prawo do:
dostępu do własnych danych
usunięcia własnych danych
poprawiania błędów we własnych danych
odmowy przetwarzania własnych danych
Firmy i organizacje muszą mieć reguły, które:
jasno informują o celu zbierania danych
wyjaśniają, dlaczego i kiedy dane osobowe są przetwarzane
definiują zasady przechowywania i usuwania danych
ZAKAZ UJAWNIANIA
Zgodnie z treścią art. 9 ust. 1 Rozporządzenia zabrania się przetwarzania danych osobowych ujawniających:
pochodzenie rasowe lub etniczne,
poglądy polityczne,
przekonania religijne lub światopoglądowe,
przynależność do związków zawodowych,
a także przetwarzania:
danych genetycznych,
danych biometrycznych,
w celu jednoznacznego zidentyfikowania osoby
danych dotyczących zdrowia,
seksualności i orientacji seksualnej.
Pamiętajmy, że odwołanie zgody musi być tak samo łatwe, jak jej udzielenie.
RODO odnosi się również do rekrutacji, gdzie za wyrażenie zgody będzie uważać się „zaznaczenie” zgody w elektronicznym formularzu. W świetle nowych przepisów już samo przesłanie aplikacji do potencjalnego pracodawcy może stanowić wyrażenie zgody na przetwarzanie danych w celu rekrutacji. W świetle obecnie obowiązującego prawa takie czynności wymagały zgody, którą dołączano do życiorysu z poczuciem, iż działanie to jest pozbawione sensu. Bardzo ważne jest, że na administratorze będzie ciążył dowód uzyskania zgody.
Aby być dobrze przygotowanym do RODO należy m.in:
zapewnić zgodność przetwarzania z obecnie obowiązującymi przepisami, tj. ustawą o ochronie danych osobowych – ułatwi to przygotowania do zapewnienia zgodności z Rozporządzeniem,
poznać dobrze wymagania Rozporządzenia, by wiedzieć do czego należy się przygotować
przeszkolić zespół który będzie koordynował przygotowania do Rozporządzenia,
zrozumieć gdzie i jakie dane są przetwarzane,
przeanalizować obecne procesy zbierania danych,
przejrzeć istniejące procedury i dokumentację,
przeanalizować kto i za co jest odpowiedzialny w procesach przetwarzania,
wdrożyć procesy analizy i szacowania ryzyka,
wzmocnić zabezpieczenia (tam gdzie to potrzebne, bazując na ocenie ryzyka) i zapewnić, że bezpieczeństwo będzie wbudowane we wszystkie nowe procesy, dokumentować naruszenia bezpieczeństwa i prowadzić rejestr incydentów,
przygotować procesy zarządzania incydentami bezpieczeństwa.
Na mocy RODO Twoja organizacja musi podjąć działania, które zabezpieczą dane osobowe. Te działania obejmują „środki organizacyjne”, np. ograniczanie liczby ludzi wewnątrz organizacji posiadających dostęp do danych osobowych, oraz „środki techniczne”, np. szyfrowanie danych.
RODO nie wymienia ani nie rekomenduje dokładnych środków zabezpieczających stosowanych przez organizacje. Zamiast tego należy we własnym zakresie określić, które środki zabezpieczające będą wykorzystywane w zależności od takich czynników, jak natura zbieranych danych osobowych, ich wrażliwość oraz zagrożenia wynikające z ich przetwarzania.
Należy uwzględnić wiele typów zagrożeń bezpieczeństwa. Powszechne zagrożenia obejmują fizyczną ingerencję w dane, nieuczciwych pracowników, przypadkową utratę danych oraz hakerów. Opracowanie planu zarządzania ryzykiem i podejmowanie kroków w celu ograniczenia ryzyka (np. hasła, dzienniki kontroli oraz wdrożenie szyfrowania) umożliwiają osiągnięcie zgodności.
OBOWIĄZKI
Firmy i organizacje muszą:
Chronić dane osobowe za pomocą odpowiednich środków bezpieczeństwa
Powiadomić władze o naruszeniach danych osobowych
Uzyskać zgodę na gromadzenie i przetwarzanie danych osobowych
Prowadzić rejestry dotyczące historii przetwarzania danych
KONTROLE
Firmy i organizacje będą musiały:
Przeszkolić pracowników w zakresie najlepszych praktyk bezpieczeństwa
Przeprowadzać audyty i aktualizować zasady dotyczące przetwarzania danych
Zatrudnić inspektora ochrony danych, jeśli to konieczne
Zadbać, aby umowy z dostawcami spełniały wymagania zgodności z Rozporządzeniem
OCHRONA PRZED WYCIEKAMI DANYCH
Dane można stracić nie tylko przez włamania do systemów czy utratę kopii zapasowych ale także można narazić na utratę poprzez:
Wysyłanie pliku przez nieautoryzowaną aplikację, prywatny e-mail lub czat
Brak kontroli nad urządzeniami mobilnymi wykorzystywanymi przez poszczególne zespoły
Udostępnienie w serwisach społecznościowych informacji, które nie były przeznaczone do publicznej wiadomości
5 porad, jak nauczyć pracowników zasad bezpieczeństwa
Organizuj obowiązkowe szkolenia
Organizuj regularne szkolenia przypominające
Udostępnij badania i przykłady
Niech przykład idzie z góry
Ucz się na błędach
Stwórz atmosferę, która zachęca ludzi do zgłaszania problemów, zadawania pytań i bycia świadomym incydentów bezpieczeństwa. Jeśli dojdzie do naruszenia danych osobowych, na przykład w wyniku ataku hakerskiego firma musi niezwłocznie zgłosić ten fakt do Generalnego Inspektora Ochrony Danych Osobowych. Są na to tylko 72 godziny.
2. CZĘŚĆ PRAKTYCZNA
Jak RODO wygląda w praktyce?
Na to pytanie będziemy znali odpowiedź dopiero po wprowadzeniu polskiej ustawy - z ostateczną interpretacją musimy wstrzymać się do jej opublikowania.
Natomiast teraz możemy wstępnie przybliżyć RODO w salonie beauty.
Uwaga!
Poniższe wskazówki nie stanowią porady prawnej i jednolitej instrukcji do wprowadzenia RODO w Twoim salonie. Stanowią one jedynie moją własną interpretację, opracowaną na bazie informacji zebranych na podanych w źródle stronach internetowych, w celu jaśniejszego zrozumienia przepisów i przybliżenia / zobrazowania tego, co czeka nas w przyszłości.
Poruszę tu kilka kwestii które często pojawiają się w zapytaniach jak może wyglądać RODO w praktyce w salonie beauty?
Jak będą wyglądały zapisy na zabiegi po 25.05?
Co z kalendarzem, w którym zapisuje klientki?
Co jeśli zapisuję je w programie komputerowym?
Co z numerami telefonów, które znajdują się w moim telefonie?
Na te pytania wstępnie odpowie poniższa grafika:
Objaśnienie:
Obecnie w kalendarzu, telefonie, programie komputerowym klientów wpisujemy w nieokreślony prawnie sposób - może być tam wszystko.
Od 25.05 zarówno w kalendarzu, telefonie, programie najprawdopodobniej będziemy musieli ujednolicić zapis naszych klientów i nawiązując do pseudomonizacji określić sposób zapisu naszych klientów tak, aby nie mogli być zidentyfikowani bez dodatkowych danych umieszczonych gdzie indziej niż w naszym np. kalendarzu. Przyjęłam więc najprościej sposób identyfikacji klientów numeryczny czyli ID XXXXXX. Tu Pani Barbarze przyporządkowałam numer ID 000123, który mogę wpisać zarówno w kalendarzu, programie, telefonie. Natomiast już numer i dane identyfikacyjne, czyli imię, nazwisko, numer telefonu oraz pozostałe dane muszą być już w oddzielnej bazie danych, szyfrowanej, czyli zabezpieczonej hasłem dostępnej tylko np. dla recepcjonistek. Jednocześnie musimy dbać o bezpieczeństwo kalendarza trzymając go np. w szufladzie w recepcji pod kluczem, a telefon i komputer zabezpieczyć programem antywirusowym.
Inną opcją będzie jeśli dostawcy naszych oprogramowań salonowych będą nam w stanie dostarczyć zabezpieczenie chroniące dane klientki wtedy program mógłby być naszą “bazą danych”.
Karty klientów, które przechowujemy w segregatorach powinny być również pod kluczem z opisanym dostępem - czyli kto z personelu będzie miał do nich dostęp. Nie wiadomo na pewno, czy karty nie będą musiały być również w formie elektronicznej, a więc czekałby nas dodatkowo ich skan. Natomiast te, które są w formie elektronicznej również muszą być szyfrowane i dodatkowo również jeszcze nie znamy odpowiedzi czy muszą być drukowane.
Zgoda na zabieg - również powinna przechowywana w miejscu zabezpieczonym - zawiera bowiem nie tylko imię i nazwisko klienta, ale również jego podpis, na który także kładzie się nacisk aby był chroniony (wzór podpisu).
Zgoda na przetwarzanie danych to najważniejszy element i powinna ona zawierać wszelkie informacje i zastrzeżenia, należy więc ja starannie przygotować. Znaleźć się w niej muszą informacje o przechowywaniu danych podstawowych, kart klienta, zgody na zabieg, w jaki sposób będziemy nimi dysponować, których danych będziemy używać, w jaki sposób, do kiedy, jak będą zabezpieczone, jak można je zmienić lub usunąć itp. Natomiast przepisy mówią, aby była napisana prosto, zwięźle i zrozumiale dla klienta. Osoba wyrażająca zgodę musi wiedzieć, że jej zgoda jest udzielona na konkretną czynność. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeśli podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, musi być ono jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Tak jak o klientach, nie możemy zapomnieć o naszych dostawcach, pracownikach, także o kontaktach mailowych czy stronie internetowej.
Już teraz możesz na zasadzie burzy mózgów spisywać ważne hasła, kwestie, a później zebrać w całość i porządkować.
Cały proces tworzenia i wprowadzania RODO zobrazowałam poniższą infografiką wyobrażając sobie, że RODO to nasz autorski zabieg jaki chcemy skomponować i wprowadzić do salonu.
Z drugiej strony możemy sobie wyobrazić, że to taki biznes plan dla wprowadzenia nowych przepisów. Przydatną metodą może być przeprowadzenie analizy SWOT dla np. metod ochrony danych, sposobu przechowywania dokumentacji, zabezpieczenia sprzętów elektronicznych itp.
Przykładowo przedstawia to poniższy schemat:
Podsumowując poniżej przedstawiam 10 nowości, jakie wprowadza ustawa RODO:
Niewiadomych jest jeszcze bardzo wiele, wszystkie przykłady podane są na ten moment ”na wyczucie”. Na tą chwilę przepisy nie są na tyle jasne, aby móc na 100% powiedzieć jak mają wyglądać zmiany od A do Z. Mam wrażenie, że RODO będziemy w jej idealnej postaci wprowadzać na ostatnią chwilę, jednak warto już teraz zacząć się przygotowywać, porządkować obecne dane i konstruować wstępny plan wprowadzenia RODO.
Pobierz pliki:
Źródła:
Leszek Kępa “Poradnik RODO”
https://businessinsider.com.pl/
https://odo24.pl/
https://www.money.pl/
https://www.microsoft.com
https://www.pwc.pl
https://www.experto24.pl
https://giodo.gov.pl
Comments