Witam Tomaszu, przedstaw się proszę naszym czytelnikom.
Nazywam się Tomasz Palak i jestem radcą prawnym, pomagam przedsiębiorcom działać w internecie — lubię prawo social media, autorskie czy dane osobowe i konsumentów. Ostatnio na topie jest oczywiście RODO.
Właśnie — RODO. Co to takiego jest i czy się bać, czy nie?
To nowe przepisy unijne wchodzące w maju, które zrobią trochę zamieszania z danymi osobowymi. Trzeba się przygotować, ale bać niekoniecznie. Straszenie po prostu się niektórym opłaca.
Pierwsze podstawowe pytanie: czy imię, nazwisko i e-mail to już dane osobowe?
Tak.
Lubię pracować na przykładach.
Pierwszy z nich — jedna osoba, pani Asia, prowadząca działalność gospodarczą. Powiedzmy, że pani Asia prowadzi kwiaciarnię. Oprócz sprzedaży bezpośredniej, w której zbiera np. dane w swoim komputerze (imię, nazwisko, telefon i e-mail) oraz zgodę marketingową celem wysyłki informacji „Promocja w kwiaciarni pani Asi”.
Dodatkowo zbiera zamówienia przez stronę internetową (formularz zamówienia), ale tam jest formularz poszerzony o dane do faktury — zamówienia online, jeśli ktoś chce, jeśli paragon to tylko imię i adres e-mail.
Jak Pani Asia powinna sobie radzić?
Zrobić sobie audyt, na czym stoi i stworzyć procedury obiegu i chronienia danych. W RODO chodzi trochę o to, żebyśmy zamiast dotychczasowych nieżyciowych zasad narzucili sobie własne i ich przestrzegali. Przydatne będzie do tego stworzenie dokumentu rejestru czynności przetwarzania.
Drugi przykład. Hotel. Jest kilka działów — recepcja, dział PR i marketingu, księgowość, kadry, zarząd. Oczywiście osoby odpowiedzialne za eventy, gastronomię itd.
Jak przed 25 maja hotel powinien się przygotować? Daj, proszę kilka głównych wskazówek.
Zweryfikować, jakie posiadają dane i kto ma do nich dostęp. Pewnie okaże się, że nie wszystkim jest on potrzebny i warto go po ograniczać i że część z posiadanych np. maili nie do końca wynika z jakiejś zgody. Kontakty z firmami zewnętrznymi powinny być precyzyjnie określone, a dane pozabezpieczane zarówno informatycznie, jak i „proceduralnie”. To tak naprawdę wymaga, by usiąść i pogadać z poszczególnymi działami, jakie są możliwe kłopoty i postarać się zapobiec im na zapas.
RODO bardzo wyraźnie mówi, że osoby, które nie powinny przetwarzać danych, nie powinny mieć dostępu do tych danych (rekordy, pola). Inaczej mówiąc, pani Magda z księgowości nie powinna widzieć pól, które przetwarza pani Kasia z kard — jeśli nie jest jej to niezbędne.
Jak myślisz, czy firmy są przygotowane?
Są nieraz lepiej niż myślą — choć nie wiedzą o takich możliwościach technicznych. To są przykładowo odrębne dyski czy ograniczenie dostępu do pomieszczeń — rzeczy, które już teraz są możliwe właściwie bez nakładów finansowych.
Jaką formułę (treść) powinny mieć zgody marketingowe i punkty o przetwarzaniu danych osobowych po 25 maja 2018?
Dużo bardziej przejrzystą niż teraz. Nie trzeba powoływać ustaw, ich numerów czy roczników. Po prostu — kto komu, po co daje i jakie w związku z tym ma prawa. Zwracam uwagę, że akurat praw będzie więcej niż dotąd.
Czy 25 maja powinniśmy wyłączyć komputery?
Wręcz przeciwnie — osobiście uważam, że na przykład elektroniczny obieg dokumentów w firmie będzie z punktu widzenia RODO bardziej przejrzysty od tradycyjnego.
Jakie masz marzenia?
Odwiedzić Nową Zelandię 🙂
Czego Ci życzę 🙂 Dziękuję Tomaszu za bardzo inspirujący wywiad.
Dziękuję i pozdrawiam.
Więcej na stronie Tomasza: http://www.tomaszpalak.pl/