Klauzula informacyjna RODO musi pojawić się wszędzie tam, gdzie zbierane są dane osobowe. Dowiedz się więcej o tym, jak powinna brzmieć klauzula RODO i jak skutecznie chronić dane osobowe w firmie.
Spis treści:
- Co to jest klauzula RODO? Przepisy
- Kiedy należy spełnić obowiązek informacyjny RODO?
- Dane osobowe zwykłe a dane wrażliwe
- Jak napisać klauzulę RODO – wzór
- Aktualizacja obowiązku informacyjnego – kiedy?
- Jak chronić dane osobowe w firmie?
- Ochrona danych osobowych w enova365
Co to jest klauzula RODO? Przepisy
Ochrona danych osobowych (RODO) jest już z nami od dobrych kilku lat. Dlatego każdy przedsiębiorca powinien mieć świadomość, co to jest RODO.
RODO to Ogólne Rozporządzenie o Ochronie Danych, które jest zbiorem przepisów mających na celu ochronę prywatności i danych osobowych osób fizycznych w Unii Europejskiej. Funkcjonuje ono też pod nazwą GDPR, co jest skrótem od General Data Protection Regulation. Ten akt prawny opublikowano w Dzienniku Urzędowym Unii Europejskiej L 119 z dnia 4 maja 2016 r., a wszedł on w życie 25 maja 2018 r.
Zgodnie z tymi przepisami każdy, kto przetwarza dane osobowe, musi spełnić tzw. obowiązek informacyjny. Służy temu klauzula informacyjna RODO. Ustawa określa sytuacje, w których pozyskujemy dane osobowe oraz obowiązki, jakie się z tym wiążą. Najważniejsze są tutaj dwa przepisy, czyli art. 13 i art. 14 RODO, które precyzują obowiązki w zależności od źródła pozyskania danych.
Co powinna zawierać klauzula RODO?
Klauzula RODO powinna zawierać, między innymi, informacje o tym:
- jak organizacja zbiera, wykorzystuje, przechowuje i usuwa dane osobowe,
- w jaki sposób użytkownicy mogą uzyskać dostęp do własnych danych i zarządzać nimi – także cofnąć swoją zgodę na przechowywanie danych osobowych przez Twoją firmę,
- przez jaki okres czasu będą przechowywane dane osobowe,
- kto jest administratorem danych i Inspektorem Ochrony Danych (jeśli jest obowiązkowy) oraz jak można się z nimi skontaktować (podanie w tym celu ich nazwy, adresu, e-maila, telefonu),
- że konsument może wnieść skargę na nasze działanie związane z przetwarzaniem danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.
Przy czym, trzeba pamiętać, że w zależności od sposobu pozyskania danych, w klauzuli zgodnie z art. 14 RODO muszą pojawić się dodatkowe informacje, takie jak np. dane podmiotów, od których zostały pozyskane dane lub wyjaśnienie, że zostały one pobrane ze źródeł publicznie dostępnych. Musi też być wskazana kategoria danych, które będą przetwarzane. Mogą to być na przykład, dane telefoniczne, dane korespondencyjne czy dane wrażliwe. RODO wymaga od podmiotu przetwarzającego szczególnej ochrony tej ostatniej kategorii danych.
Jakie jeszcze obowiązki w związku z RODO posiadają firmy?
Oprócz stworzenia klauzuli RODO, organizacje muszą również prowadzić dokumentację wszystkich działań związanych z przetwarzaniem danych osobowych, jak również wdrożyć odpowiednie środki bezpieczeństwa w celu ochrony danych użytkowników przed nieautoryzowanym dostępem lub ujawnieniem.
Czy w formularzu musi się znaleźć pełna treść klauzuli RODO?
Wiele firm pozyskuje dane klientów oraz potencjalnych klientów poprzez różnego rodzaju formularze na stronach internetowych – np. formularz zakupu na stronie sklepu internetowego lub prosty formularz kontaktowy zamieszczony na stronie firmowej.
Po pierwsze, należy się zastanowić, czy dany formularz spełnia założenia wskazane w rozporządzaniu.
Po drugie, warto wiedzieć, że rozporządzenie RODO zezwala na przekazanie jedynie podstawowych informacji z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, na przykład przez link lub naciśnięcie wybranej cyfry w telefonie, co spowoduje odczytanie całej klauzuli.
Rozwiązaniem stosowanym przy zbieraniu danych w postaci formularzy, zarówno papierowych, jak i elektronicznych, jest umieszczenie klauzuli informacyjnej w treści takiego formularza. W tym wypadku osoba, która podaje swoje dane w takim formularzu, może zaznaczyć checkbox ze zgodą na przetwarzanie danych.
Kiedy należy spełnić obowiązek informacyjny RODO?
Ustawa wyraźnie wskazuje, że każdy, kto w jakikolwiek sposób przetwarza dane osobowe, musi przedstawić osobie, od której te dane pobrał, wszelkie informacje dotyczące przetwarzania danych, tak aby taka osoba mogła podjąć w tej sprawie świadome decyzje. Innymi słowy, zgoda na przetwarzanie danych nie może być domyślna, lecz musi wynikać z decyzji osoby, która na takie przetwarzanie się zgadza.
Co więcej, przepisy stanowią, że przy pozyskiwaniu danych od osoby fizycznej administrator danych powinien spełnić obowiązek informacyjny przed pozyskaniem lub w trakcie pozyskiwania tych danych. Jak to wygląda w praktyce?
PRZYKŁAD: Przy pozyskiwaniu danych podczas rozmowy telefonicznej obowiązek informacyjny najlepiej spełnić na początku rozmowy. Zapobiegnie to sytuacji, w której zebraliśmy jakieś dane, jednak połączenie zostało przerwane, a osoba, której te dane dotyczą, nie udzieliła zgody na przetwarzanie danych osobowych.
Dane osobowe zwykłe a dane wrażliwe
Ochrona danych to nie tylko zgoda na przetwarzanie danych osobowych. RODO to również podział danych na dane osobowe zwykłe i dane osobowe szczególnych kategorii, czyli tzw. dane wrażliwe. RODO, zgodnie z art. 9, zabrania ich przetwarzania. Chodzi tu, między innymi, o dane dotyczące:
- pochodzenia rasowego lub etnicznego,
- przekonań światopoglądowych lub religijnych,
- przynależności do związków zawodowych lub partii,
- nałogów, stanu zdrowia i życia seksualnego.
Jednak od tej reguły są pewne wyjątki. Jednym z nich jest uzyskanie zgody od osoby, której te dane dotyczą.
Myślisz, że kwestia danych wrażliwych nie dotyczy Twojej firmy? Zastanów się jeszcze raz. Takie dane mogą się pojawić w organizacji, na przykład, podczas rekrutacji, gdy osoba ubiegająca się o dane stanowisko przekaże je z własnej inicjatywy. Trzeba też pamiętać o danych medycznych pozyskanych w wyniku okresowych badań lekarskich.
Jak napisać klauzulę RODO – wzór
Klauzula informacyjna RODO to dokument, przy pisaniu którego należy przestrzegać czterech następujących zasad.
- Minimum danych – proś o podanie tylko tych danych, które są niezbędne do realizacji zamówienia/ kontaktu.
- Prostota – w treści zgód używaj jasnego, zrozumiałego dla każdego języka.
- Jedna zgoda – jeden cel – pamiętaj, że nie można łączyć celów. Jeśli użytkownik chce kupić produkt, nie można łączyć zgody na realizację zamówienia np. ze zgodą na cele marketingowe czy zgodą na przekazanie do innego podmiotu.
- Aktywne działanie – tak jak wspominaliśmy wyżej, użytkownik musi proaktywnie udzielić zgody np. kliknąć checkbox (nie może on być z góry zaznaczony).
Pisanie klauzuli RODO może być skomplikowanym zadaniem, ale dostępne są szablony, które mogą pomóc w uproszczeniu tego procesu. Wzór klauzuli obowiązku informacyjnego znajdziesz na przykład tutaj.
Aktualizacja obowiązku informacyjnego – kiedy?
Przedsiębiorca, który chce prawidłowo realizować obowiązek informacyjny, musi określić moment, w którym będzie zobowiązany do aktualizacji tego obowiązku. Aktualizacja to, innymi słowy, zobowiązanie do przedstawienia informacji o przetwarzaniu danych osobie, której te dane dotyczą.
Prawo przewiduje aktualizację obowiązku informacyjnego w trzech sytuacjach:
- przy zbieraniu danych bezpośrednio od osoby, której dane dotyczą,
- przy zbieraniu danych w inny sposób niż bezpośrednio od osoby, której dane dotyczą,
- w związku z prawem dostępu do danych przez osobę, której dane dotyczą – przez cały okres przetwarzania danych.
A czy są sytuacje, w których ochrona danych osobowych (RODO) nie będzie się wiązać z obowiązkiem informacyjnym? Tak. Jest tak wtedy, gdy udzielenie informacji okazuje się niemożliwe do zrealizowania lub wymagałoby to niewspółmiernie dużego wysiłku.
Jak chronić dane osobowe w firmie?
Rozporządzenie RODO nie wskazuje szczegółowo, w jaki sposób powinny być chronione dane osobowe. Artykuł 32 rozporządzenia RODO zwraca uwagę na konieczność:
- pseudonimizacji i szyfrowania danych,
- zapewnienia poufności, integralności, dostępności i odporności systemów,
- posiadania zdolności do przywrócenia danych w razie ich utraty,
- regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych.
Metody zabezpieczenia danych oczywiście będą zależeć od tego, gdzie te dane są przechowywane. Przykładowymi zabezpieczeniami mogą być:
- mechanizmy logowania do komputerów,
- szyfrowanie dysków,
- zewnętrzne audyty używanych systemów,
- zabezpieczenia sieci internetowych,
- zabezpieczenia fizyczne (np. szafki na klucz, alarm w pomieszczeniu itp.),
- polityka backupu.
Jeśli w Twojej firmie wykorzystywane jest specjalistyczne oprogramowanie np. system ERP, część zabezpieczeń otrzymasz w ramach posiadanego oprogramowania. Takie zabezpieczenia posiada też enova365, a należą do nich w szczególności:
- mechanizmy szyfrowania danych czy pseudonimizacji i anonimizacji,
- systemy nadawania praw dostępu i polityki stosowanych haseł,
- monitorowanie czynności wykonywanych na danych osobowych,
- wykonywanie regularnie testów penetracyjnych pod kątem wykrycia podatności,
- wbudowany system obiegu dokumentacji,
- możliwość backupu danych w chmurze.
Warto pamiętać, że administrator danych odpowiada także za zabezpieczenie danych przed ich utratą. Koniecznie należy pamiętać więc również o polityce i mechanizmach pozwalających na stałe backupowanie posiadanej bazy.
Ochrona danych osobowych (RODO) w enova365
System ERP enova365 zapewnia wysokie standardy bezpieczeństwa przechowywanych danych, mechanizmy szyfrowania i możliwość zarządzania prawami dostępu. Jest również dostosowywany do nowych zmian związanych z przechowywaniem zgód, modyfikacji czy anonimizacji danych. Stosuje także mocne algorytmy szyfrujące (AES 256, SHA2).
enova365 wspiera cały szereg procesów związanych z ochroną danych osobowych. Należą do nich między innymi:
- ewidencja źródeł pochodzenia danych osobowych, które są przetwarzane w organizacji,
- ewidencjonowanie zgód – przygotowany system zgód zapisuje również informacje o celach przetwarzania danych osobowych, okresie w jakim mogą być przetwarzane, historii zmian zgód w celach modyfikacji danych osobowych czy czasowego ograniczenia przetwarzania,
- przetwarzanie danych osobowych – enova365 jest wyposażona w mechanizm pozwalający na sprawdzenie historii danych osobowych tj. ustalenie wszystkich czynności, jakie były na nich dokonywane wraz z określeniem osób prowadzących czynności,
- raportowanie – RODO wymusza na organizacjach gromadzenie danych osobowych oraz udostępnianie informacji o zakresie ich przetwarzania. enova365 jest wyposażona w mechanizm pozwalający na zebranie informacji o przechowywanych danych osobowych i przekazanie ich zainteresowanemu,
- kopie zapasowe – enova365 oferuje moduł Archiwizator Azure, pozwalający na tworzenie kopii bezpieczeństwa gromadzonych w chmurze Microsoft Azure,
- mechanizmy konfiguracyjne – system praw w enova365 pozwala na dokładne określenie osób, które będą mogły pracować z danymi osobowymi oraz jaki zakres danych jest im udostępniany,
- bezpieczeństwo danych – enova365 jest wyposażona w mechanizmy ochrony danych osobowych rekomendowane przez rozporządzenie tj. pseudonimizacja oraz anomizacja.
Wybierasz oprogramowanie, które pomaga Ci chronić dane osobowe w firmie, zgodnie z rozporządzeniem o ochronie danych osobowych RODO? Przetestuj demo enova365 albo umów się na prezentację, w czasie której nasz Autoryzowany Partner pokaże Ci wszystkie funkcjonalności RODO w enova365.