W ostatnią sobotę 4 maja w życie wszedł pakiet zmian prawnych, który dostosowuje polskie regulacje branżowe do unijnego rozporządzenia o ochronie danych osobowych. Z punktu widzenia każdego klienta pakiet znacznie wzmacnia ochronę prywatności, jak również gwarantuje każdemu obywatelowi – dostęp do danych, które przetwarza dany przedsiębiorca. W szczególności jeśli jesteś fintechem, lub pracujesz w sektorze finansowym np. potencjalny klient będzie mógł poprosić o szczegółowe informacje, o celach przetwarzania danych a także o sposobie przetwarzania danych. W tym np. podmiot finansowy będzie musiał określić na jakiej podstawie podjęto decyzję o odmowie udzielenia kredytu lub pożyczki. Z drugiej strony, jeśli prowadzisz podmiot medyczny, to będziesz musiał zapewni przekazanie pierwszej kopii pełnej dokumentacji medycznej pacjenta za darmo, gdy ten oto poprosi. W sumie nowelizacja RODO wprowadza zmiany w ponad 160 ustawach, m.in. kodeksie pracy, prawie budowlanym czy przepisach dotyczących banków, ubezpieczycieli, czy dostawców usług elektronicznych. Oto najważniejsze zmiany dotyczące przetwarzania danych, które obowiązują przedsiębiorców:
Po pierwsze
Każdemu pracownikowi przetwarzającemu dane osobowe np. marketerowi czy sprzedawcy B2B, realizującemu np. kampanie w marketing automation, dla sklepu internetowego, a posiadającemu dostęp do baz danych odbiorców, szef będzie musiał wystawić papierowe upoważnienie. W sumie już dziś przedsiębiorcy w polityce zarządzania danymi powinny to robić.- przykład takiej polityki możecie znaleźć na stronach DBMS sp zoo – Pamiętaj też, że Twój klient , czy pracownik ma zagwarantowane prawo do informacji o tym, kto jest administratorem jego danych oraz jakim podmiotom jego dane są powierzane i jaki jest zakres przetwarzania danych.
Po drugie
Zatrudniasz? to czytaj, bo ustawa zmienia również część zapisów Kodeksu Pracy, chroniąc pracowników przed zbędnym gromadzeniem danych na ich temat w kontekście wykonywanych przez nich zadań. Np gdy prowadzisz monitoring kamerą internetową swojego biura, pamiętaj, aby dokonać aktualizacji umowy z pracownikiem i wskazać niezbędność tego faktu z punktu widzenia określonych w umowie o pracę obowiązków. Innym przykładem jest możliwość sprawdzenia karalności potencjalnego kandydata, bez zgody osoby na taką weryfikacje nie będzie można tego zrobić. Pamiętaj również, że jeśli będziesz gromadzić dane dotyczące zatrudnianych pracowników czy kandydatów, to możesz to robić tylko i wyłącznie za ich zgodą. Tymczasem zakres danych, jakie będziesz mógł zbierać podczas procesu rekrutacyjnego bez zgody kandydata to:
imię (imiona) i nazwisko kandydata,
datę urodzenia,
dane kontaktowe wskazane przez kandydata,
wykształcenie,
kwalifikacje zawodowe,
przebieg dotychczasowego zatrudnienia.
Zatem, rekrutując pamiętaj, możesz domagać się od kandydata podania informacji o wykształceniu, czy kwalifikacjach zawodowych oraz przebiegu dotychczasowego zatrudnienia tylko wtedy, gdy będzie to niezbędne do wykonywania pracy na określonym stanowisku. Natomiast żądanie innych danych od kandydata będzie co do zasady niedopuszczalne Tak czy inaczej przy prowadzeniu kampanii rekrutacyjnej dla bezpieczeństwa rekomenduje sję przygotowanie odpowiedniej zgody na przetwarzanie rozszerzonych danych w cv. Np. hobby.
Po trzecie
Wykorzystywanie wizerunku pracowników. Trochę przyzwyczailiśmy się do tego, że marki pokazują w ramach employer brandingu twarze pracowników w różnych kontekstach i sytuacjach. Pracodawca może przetwarzać dane osobowe w postaci wizerunku pracownika, jednak musi posiadać na to jego zgodę, która w tym przypadku jest podstawą przetwarzania (art. 6 ust. 1 lit. a RODO). Wizerunek pracowników może być przetwarzany w rozmaity sposób, np. być zamieszczany na stronie internetowej firmy, identyfikatorach albo w social mediach pracodawcy. Zgoda pracownika jest konieczna niezależnie od sposobu przetwarzania zdjęć pracowników, przy czym najlepiej byłoby, gdyby zatrudniony miał możliwość wyboru sposobu przetwarzania wizerunku (tj. aby mógł wyrazić odrębną zgodę na każdy ze sposobów przetwarzania).
Po czwarte
Obowiązki informacyjne. Pozyskałeś dane kandydatów, klientów z FB czy strony internetowej w kampanii marketingowej, koniecznie informuj jako administrator w jakim celu przetwarzasz dane i na wskaż możliwość osunięcia się z twojego zbioru. Obowiązek informacyjny może być realizowany przy użyciu formy elektronicznej, jak również papierowej. Właśnie pierwsza kara z tytułu RODO, była uzasadniana brakiem realizacji obowiązku informacyjnego względem odbiorców, którzy znajdowali się w bazie danych. Toteż, pamiętaj, aby skonfigurować automatyczne reguły informujące o sposobie przetwarzania danych w twoim CRM czy systemie e-commerce jeśli pozyskałeś takie dane. Natomiast, gdy masz problem z możliwością poinformowania odbiorcy i nie chciałbyś płacić kroci za organizacje procesu, być może zainteresuje cię możliwość wzbogacania danych i weryfikacji jakości swoich danych do mailingu, czy to do kampanii sms np poprzez wyspecjalizowaną usługę wzbogacania danych w jednej z platform będących spółdzielnią danych np. DMSALES.
Po piąte
Dostosowanie systemów informatycznych do nowych przepisów. Jeśli jesteś administratorem danych systemu CRM, czy to systemu obsługującego karty pracownicze, pamiętaj, że odpowiedzialność z tytułu przetwarzania danych spoczywa na Tobie. Zatem to Ty – jako administrator tych danych – a nie dostawca systemu np. CRM, czy Marketing automation będzie ewentualnie pociągnięty do odpowiedzialności za przetwarzanie danych osobowych niezgodnie z RODO i to na Ciebie może zostać nałożona kara przez prezesa Urzędu Ochrony Danych Osobowych. Co więcej, fakt, że dostawca takiego systemu nie dostosował go do RODO, nie oznacza, że pracodawca korzystający z takiego systemu będzie zwolniony z odpowiedzialności. To na administratorze ciąży bowiem obowiązek korzystania z takich narzędzi, które posiadają nie tylko odpowiednie zabezpieczenia, ale też wsparcie. Dlatego też, podnoś tą kwestię przy wyborze systemu prosząc o wskazanie funkcji związanych bezpośrednio z przetwarzaniem danych.
Na koniec mam wisienkę na torcie. Otóż przedsiębiorcy zyskują m.in. ochronę przed tzw. „oszustwami na RODO”. Ustawodawca wprowadził do Kodeksu Karnego pojęcie wyłudzenia, lub też wymuszenia zamówienia zbędnej usługi związanej z RODO, która będzie traktowana, jako groźba bezprawna i tym samym bezwzględnie karana. W praktyce, to oznacza, ze nikt nie może przedsiębiorcy szantażować w przypadku znalezienia nieprawidłowości związanej z RODO, zakupem usługi naprawczej, która niezakupiona automatycznie ma spowodować zgłoszenie skargi do UODO.
Podsumowując, przedstawione powyżej kwestie tylko wskazują tylko najważniejsze obszary z tytułu wdrożonych od 4 maja 2019 roku zmian w prawie dotyczącym ochrony danych osobowych. Ale jeśli chcielibyście zgłębić szczegółowo temat to właściwym wydaje się skorzystanie z poradnika jakie jest zamieszczony na stronach Ministerstwa Cyfryzacji -Natomiast w przypadku pojawiających się pytań Ministerstwo uruchomiło dedykowany czat, zatem dostęp do wiedzy jest na wyciągnięcie ręki. Props dla Ministerstwa.
Zostaw komentarz