RODO dla małych firm

Prywatność danych i RODO dla małych firm i freelancerów

06/06/2018

Wszyscy o tym mówią, ale chyba mało kto rzeczywiście wie, o co chodzi: rozporządzenie UE dotyczące ochrony danych osobowych (RODO) wzbudza niepokój właścicieli firm zarówno w Unii Europejskiej jak i poza nią. Z poniższego artykułu dowiesz się, jaki wpływ na Ciebie, jako właściciela małej firmy, startupu lub osoby samozatrudniającej się mogą mieć nowe przepisy RODO – i co musisz na ten temat wiedzieć.

Najpierw dobra wiadomość: jeśli chodzi o samą treść, nowe przepisy wcale nie są takie znowu nowe. Co jest rzeczywiście nowe, to przede wszystkim sankcje za nietraktowanie ich poważnie. A zła wiadomość? Jeśli jesteś jak większość małych firm, to prawdopodobnie będziesz musiał podjąć jakieś działanie. I to już teraz.  Ale zacznijmy od początku.

Poważne traktowanie prywatności danych

“Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych.”

Takie są pierwsze słowa ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylania dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które weszło w życie w roku 2016 i po wprowadzeniu dwóch poprawek obowiązuje od dnia 25 maja 2018 r. Jest to dobra wiadomość z punktu widzenia konsumenta – ponieważ pozwala to nam wszystkim odzyskać kontrolę nad naszymi danymi. Jednak z punktu widzenia przedsiębiorców dane osobowe dają dostęp do cennych informacji marketingowych i umożliwiają prowadzenie skutecznych spersonalizowanych promocji – mogą się nawet przyczynić do sukcesu Twojej firmy. Czy teraz będziesz musiał radzić sobie bez nich? Odpowiedź jest bardzo prosta: i tak, i nie.

Dane osobowe i ich wykorzystywanie w świetle RODO

RODO dla przedsiębiorców

RODO jest korzystne dla konsumenta: odzyskuje on kontrolę nad swoimi danymi. (Zdjęcie: gpointstudio | stock.adobe.com)

Zbieranie danych osobowych w przyszłości nie będzie oczywiście całkowicie zabronione – lecz będzie można to robić tylko wówczas, jeśli Twoi klienci z UE (a należy założyć, że dotyczy to każdej osoby odwiedzającej Twoją stronę internetową) zostaną szczegółowo poinformowani na temat tego, co robisz z ich danymi. Jakie dokładnie dane są przechowywane, gdzie i przez jaki czas? Jeśli masz zamiar wykorzystywać zebrane informacje w celach marketingowych, musisz uzyskać aktywną zgodę od swoich użytkowników. A jeśli chcesz na przykład rozsyłać newslettery marketingowe, ich odbiorcy muszą zawsze wyrazić na to zgodę. Jak ją uzyskać? Czytaj dalej.

Jak działać zgodnie z RODO

Po pierwsze trzeba wiedzieć, że RODO dotyczy także wszystkich firm spoza UE, na przykład z krajów takich jak Szwajcaria, które oferują swoje usługi lub sprzedają produkty osobom w UE – czyli obejmuje ono ogromną część gospodarki cyfrowej. Od małych firm po wielkie korporacje, komercyjne lub non-profit, bez względu na to, czy odwiedzający stronę kupuje coś czy nie –  jeśli tylko osoba z Unii Europejskiej odwiedzi Twoją stronę, obowiązują Cię przepisy RODO.

Krok 1: Sprawdzanie danych osobowych

RODO dla freelancerów

Gdy tylko osoba z UE odwiedzi Twoją stronę, obowiązuje Cię RODO. (Zdjęcie: Redpixel | stock.adobe.com)

“Po pierwsze zalecam dokładne przeanalizowanie polityki dotyczącej prywatności danych: jakie dane Twoja firma przetwarza, w jaki sposób się to odbywa i kto to robi” – radzi Paul-Lukas Good, który jest ekspertem ds. ochrony danych w szwajcarskiej firmie Good & Partner Rechtsanwälte. Czy przechowujesz zebrane dane osobowe na swoim komputerze w pliku Excel, czy też do przechowywania adresów swoich klientów używasz takich narzędzi jak Rolodex, a może pracujesz w chmurze? Przeanalizuj wszystkie procesy w swojej firmie krok po kroku, zwracając uwagę na to, jakie dane osobowe są zbierane i gdzie są one przechowywane.

Krok 2: Poinformuj osoby, których dane dotyczą

„Kolejnym ważnym krokiem jest ujawnienie procesu przetwarzania danych – można to zrobić za pomocą polityki prywatności na stronie lub w aplikacji albo dodając odpowiedni zapis do umowy na piśmie” – kontynuuje Paul-Lukas Good. Zgodnie z artykułem 13 RODO, Twoim obowiązkiem jest poinformować „gdzie są przechowywane dane osobowe uzyskane od osób, których dotyczą”. Między innymi musisz także jasno określić:

  • Tożsamość i dane kontaktowe kontrolera danych lub jego przedstawicieli
  • Cel i podstawy prawne dla przetwarzania danych osobowych
  • Jeśli ma to zastosowanie w Twojej firmie – odbiorców lub kategorie odbiorców danych osobowych
  • Okres przechowywania danych osobowych, a jeśli jego podanie nie jest możliwe – kryteria ustalania tego okresu

Ponadto musisz poinformować właścicieli danych o ich prawach i przez cały czas móc zagwarantować im udzielenie żądanych informacji, możliwość poprawy lub usunięcia danych i ograniczenia przetwarzania danych. Nie jest to łatwe zadanie – szczególnie gdy korzystasz z różnych narządzi i „wtyczek” (plug-in) stron trzecich.

Krok 3: Sprawdzenie plików cookie, wtyczek i innych narzędzi

“Nawet korzystając z takich narzędzi jak “polubienia” na Facebooku musisz zadać sobie pytanie, czy będzie to zgodne z nowymi przepisami” – ostrzega Good – „gdyż jest to przecież bezpośrednie połączenie Twojej strony z Facebookiem.” Zgodnie ze wspomnianym już artykułem 13 RODO będziesz musiał potrafić dokładnie wytłumaczyć, co Facebook robi z danymi użytkowników, które uzyskał z Twojej strony – a o ile nie masz takiej informacji bezpośrednio od Facebooka, nie jesteś w stanie zapewnić zgodności z nowymi przepisami w tym zakresie. Narzędzia takie jak Google Analytics oferują w miarę potrzeby możliwość dostosowywania i anonimizowania danych – „choć nie jest wcale pewne, w jakim stopniu dane te stają się rzeczywiście anonimowe” – twierdzi Good.

RODO dla małych firm

Jeśli nie masz wystarczająco dokładnych informacji od stron trzecich, nie będziesz w stanie działać zgodnie z RODO. (Zdjęcie: Matthew Henry | Unsplash)

W większości przypadków pewne śladowe dane zapisywane są w formie plików cookie – wtedy wymagane jest podanie informacji o plikach cookie. Narzędzie Cookie Bot pokazuje, jak to można zrobić w idealny sposób: podawana jest dokładna informacja o plikach cookie, która jednocześnie pozwala użytkownikowi odznaczyć na przykład pole zbierania danych dla ustalenia preferencji i w celach statystycznych, a w aktywny sposób zaznaczyć pole dotyczące wykorzystywania danych w celach marketingowych.  Ponieważ jeśli chodzi o marketing, jedyną opcją jest zaznaczenie pola (czyli aktywna zgoda). To, czy ktoś zaznaczy to ostatnie pole i jakie to będzie miało znaczenie dla przyszłości spersonalizowanego marketingu – czas pokaże.

Okienko zgody na cookie zgodne z RODO

Ta strona wykorzystuje pliki cookie.

Krok 4: Opracuj newsletter zgodnie z zasadą „double-opt-in”

Zbieranie danych to jedno, lecz ich wykorzystywanie w celach marketingowych to rzecz zupełnie inna.  To, czy będziesz mógł wykorzystać czyjś adres email, który masz w swojej bazie danych, aby wysłać tej osobie newsletter marketingowy zależy od tego, czy osoba ta w sposób zweryfikowany i aktywny wyraziła na to swoją zgodę. Zasada „double-opt-in” oznacza w większości przypadków, że użytkownik potwierdza swój adres email poprzez link rejestracyjny do newslettera. Stosuje się to nie tylko do nowo zarejestrowanych użytkowników, ale także do całej listy istniejących już adresów mailowych – i niestety nie ma sposobu, aby to obejść.

RODO poza Unią Europejską

Ponieważ obecnie firmy na całym świecie pracują z wykorzystaniem technologii cyfrowych – w rzeczywistości RODO ma konsekwencje na skalę globalną. Na przykład jako użytkownik MoneyPenny przechowujesz dane potrzebne do rozliczeń z klientami na swoim koncie MoneyPenny w chmurze – która w rzeczywistości mieści się na bezpiecznych serwerach w Szwajcarii. Najlepszym sposobem na to, by rozeznać się, co to znaczy dla Ciebie będzie zajrzenie do naszego własnego centrum prywatności. „Fascynującą rzeczą jeśli chodzi o RODO jest współdziałanie prawa i technologii: nie wystarczy opracować idealny pod względem prawnym regulamin – należy ponadto zagwarantować jego wdrożenie za pomocą środków technicznych” – podsumowuje Good.

W MoneyPenny zawsze wierzyliśmy i wciąż wierzymy w ochronę danych naszych użytkowników, było tak od samego początku. Dlatego u nas to Ty masz zawsze kontrolę nad swoimi danymi – a oprócz tego wszelkie korzyści wynikające z korzystania z wszechstronnej aplikacji w chmurze.

Zaraz, zaraz… co takiego? Nie jesteś jeszcze użytkownikiem MoneyPenny? Koniecznie nas wypróbuj! Za darmo i bez żadnych zobowiązań. I tak, oczywiście: działamy całkowicie zgodnie z RODO.


Również interesujące:


PCI DSS Merchant Compliance Certificate