REKLAMA

Środa z RODO: jakie obowiązki ma przedsiębiorca internetowy pod RODO?

RODO
Data emisji:
2018-04-25 12:40
Audycja:
Czas trwania:
13:03 min.
Udostępnij:

AUTOMATYCZNA TRANSKRYPCJA PODCASTU

Transkrypcja podcastu
raporty gospodarcze, ale jest środa w środę ostatnimi czasy w raporcie gospodarczym zawsze mówimy o RODO, czyli o nowym rozporządzeniu dotyczącym ochrony danych osobowych unijnym rozporządzeniu, a dzisiaj moim państwo gościem jest pan dr Paweł Litwiński specjalista ochrony danych osobowych Kancelaria Barta Litwiński dzień dobry dzień dobry nasz gość jest w waszym krakowskim studio no to od nas na początek chciałbym ustalić 1 rzecz, jeżeli ktoś się nie zajmą powód Rozwiń » powinien zajmować Rodos zapełnia się tym zainteresować, ale jeszcze tego nie zrobił, a do 2 0 05. maj jest coraz mniej czasu toczy jeszcze zdąży czy już jest na straconej pozycji pani redaktor to zależy od skali biznesu, jeżeli mówimy o jednoosobowym przedsiębiorcą, który przetwarza dane osobowe swoich klientów, bo jest n p. jednoosobowym agentem ubezpieczeniowym sprzedaje wycieczki czy prowadzili jakąś tego rodzaju działalność mówi o skali w tym przypadku działalność to pewnie zdążymy, jeżeli jest większym przeżyciem wiąże się, który to ilość danych ma naturalny sposób większą ma rozbudowane systemy informatyczne procesy przetwarzania to obawiam się, że może być za późno, że trzeba będzie już w tym momencie wybierać te obowiązki, które będzie można spełnić przed 20 05. mają w pozostałym zakresie z większą lub mniejszą świadomością trzeba będzie niestety czekać i odwlekać w czasie spełnienie tego obowiązku lato miejmy nadzieję, że dziwię się już rzeczywiście tematem zainteresowali zresztą często wystarczy ci więksi mają też lepsze lepszą organizację prawników i żeby zespoły, które mogą pomóc innym zajmowanie się tym mniejsze mają z tym większe problemy dziś mówi się rozmowy o innych jednak w segmencie RODO, chociaż to jest postraszyły ważny segment czyli jakie obowiązki mają przedsiębiorcy, którzy działają w internecie na te obowiązki są związane z Jenny, a wraz z rozporządzeniem o ochronie danych osobowych no właśnie no to od czego powinna powinna zacząć, jeżeli prowadzą taki biznes internetowy od czego powinnam zacząć, żeby sprawdzić czy w ogóle po torach dotąd wpasuje się jeszcze nie pasuje z pewnością podlegamy pod Toronto prowadzący jakikolwiek biznes internetowy, w którym mamy daną osobą wystarczy, że mamy jakikolwiek formularz kontaktowy z klientami, jeżeli już zawieramy umowy online to z całą pewnością podlegamy pod brodą, więc punktem wyjścia powinno być uświadomienie sobie co robimy to zawsze powinien być pierwszy etap wdrożenia RODO w każdej organizacji prześledzenie my mówimy procesów przetwarzania danych, czyli prześledzenie tego, jakie dane zbieramy co z nimi robimy, gdzie przechowujemy w jaki sposób je wykorzystujemy i t d . i t d . to od tego zaczynamy go teraz w porze podpowiedzią, gdzie te dane mogą być no bo tworzone są w formularzu kontaktowym, czyli Anny doskonale się w naszej skrzynce mailowej to co się wydaje oczywiste ale, jakbyśmy się przejrzeli nas już od fakturą, które drukujemy tam też są dane osobowe przecież widać to trzeba było jakoś uporządkować, jeżeli drukujemy my przechowujemy je gdzieś potem w naszym biurko to tam też przecież często mamy dane osobowe, czyli trzeba sobie uświadomić wszystkie te miejsca, gdzie te dane osobowe naszych klientów czasu też z nami kontaktują są, żebyśmy mogli w ogóle uporządkować naszą bazę danych pani redaktor zapewne tak natomiast punktem wyjścia powinny być jednak spojrzenie z pewnej perspektywy mówimy o tych procesach, czyli n p . czy zawieram z klientami umowy przez internet nie wiem sprzedaje książkę przez internet bez kończenia armią wysyłkową sprzedaje online wycieczki turystyczne czy oferuje ubezpieczenia na wschód jako agent ubezpieczeniowy czy umożliwiamy n p. zamówienie sobie przez internet jedzenia z dowozem każda taka sytuacja to będzie kontraktowanie przez internet zawieranie umów przez internet to bowiem być pierwszy fundamentalny proces, który powinniśmy sobie opis zidentyfikować opisać czy ja zabieram z klientami umowy przez Inter żyć tak opisuje w zasadzie wszystkie zmienne, jakie przychodzą nam na głowę jak dużo mam tych danych, skąd je zbieram komuś udostępniamy, gdzie je przechowuje czy korzystał z usług zewnętrznych jakiś ponury czas ktoś mi o tym, dostarcza ktoś mi n p. niszczy wydruki zawierające dane osobowe im więcej zmiennych będziemy potrafili nazwać tym lepiej kolejne etapy to jest n p. proces p t. zatrudnienie pracowników czy mam pracowników czy jest tam jednoosobową działalnością czy, jeżeli mam pracowników znów opisujemy od początków, skąd widziałem te dane może korzystać z takich serwisów rekrutacyjnych, gdzie przechowuje może mam zewnętrzną firmę, która zajmuje się obsługą kadrową płacową od zebrania aż do usunięcia danych patrzymy z pewnego oddalenia i dopiero w ramach każdego z takich procesów musimy zidentyfikować to co pani powiedziała czy n p. trzymano wydruki zbiorku ma być może niema niszczarki i wyrzuca mnie do kosza potem nie wiem co się z tym co się dzieje za to skoro już osoby z prezydentem dziękujemy mamy to nazwane mamy do opisanego teraz jak ja mam zarządzić tym, żeby pasować pod nowe rozporządzenie w pierwszej kolejności, bo mamy dwudziesty dzisiaj 20 05. piąta, czyli dokładnie 3 0 dni dokładnie 30 dni w pierwszej kolejności musimy zidentyfikować te najważniejsze kwestie, które musimy opanować, które musimy ogarnąć przed 20 05. Maciej piątek 3 0 dni ja myślę, że w pierwszej kolejności powinniśmy sprawdzić znaleźć te wszystkie sytuacje, gdzie zbieramy dane osobowe i dostosować te informacje, które tam są zamieszczone daj panie Boże, żeby w ogóle jakiekolwiek były w tym momencie, jeżeli nie ma, a postój umieścić w rządzie dostosować całą komunikację z klientem do wymagań RODO RODO zmienia tutaj to podejście muszę podawać więcej informacji musimy je z tego specyficzny sposób napisać nie muszą być zrozumiały sposób podawane netto powinien być punkt wyjścia, gdzie gromadzimy dane działamy jakikolwiek kontakt z klientem tam wszystkie informacje dostosowujemy do ronda, czyli dróg i nikt, chyba że wchodzą w słowo, czyli informacje na ten temat powinniśmy umieścić w widocznym miejscu na naszej stronie internetowej to są te wszystkie znienawidzone przez nas klauzule dotyczące danych osobowych, które każdy z nas kojarzy wielokrotnie, by podpisywała albo chciał przeczytać ale, ale nie miał czasu te wszystkie informacje musimy dostosować to rada w ten punkt wyjścia no jasne to teraz krok dalej krok dalej musimy zidentyfikować wszystkie umowy z zewnętrznymi dostawcami wszystkie zewnętrzne usługi, z których usług korzystamy tak jak wspominałem nakład hosting przez zewnętrzny podmiot jest dostarczany ktoś nam otrzymuje usługę poczty elektronicznej ktoś nam zapewnia obsługę kadrową płacową każda z umów, która dotyczy ochrony danych osobowych musi być zidentyfikowana i dostosowana do ronda w MON psy w sprawie RODO dostajemy dużo mejli od naszych słuchaczy, którzy pytają no i często swoje sprawy w swoim ZUS związane z ich biznesem, ale czasem są dane te dotyczą nas zdecydowanie szerszej grupy n p . nie w nocy naszych słuchaczy napisała do nas pytanie czy, jeżeli prowadzi internetową rejestrację gości na jakieś wydarzenie na jakieś eventy toczy na stronie tej rejestracji powinny być tam jakieś elementy, które są klauzule prace związane z rodzącym nie ma takiej konieczności no właśnie pani redaktor to jest to, o czym przed chwileczką rozmawialiśmy na start na tej stronie, na której człowiek się rejestruje, czyli poddaje swoje dane osobowe musi być informacja o tym kto te dane zbiera w jakim celu ten człowiek ma prawo w pro jak 1 jedno sprawa w prostej informacji są nazwane opisane w art. 13 czternastym RODO trzeba dokładnie krok po kroku tak jak RODO nakazuje im te obowiązki wykonać i podać tej informacji nie można danych osobowych zgrać anonimowo w no jasne o powodach chodzimy do kolejnej sprawy, bo jak rozumiemy, kiedy już do nas te nasze dane naszych klientów czy osób, które są zainteresowane kontaktują się z nami jak już mamy to ktoś mu się nimi zarządzać, czyli musimy ustalić administratora tych danych administrator najprawdopodobniej stracimy my sami, bo jeżeli jest jednoosobowy przedsiębiorca Jan Kowalski eksport import przysłowiowy to on jest administratorem tych danych osobowych czy to on odpowiada w zasadzie za wszystko za każde ewentualne naruszenie prawa, które się z tymi danymi osobowymi działa on wtedy musi tak jak w tym przykładzie z osobą zbierającą dane osób zepchnięci na eventy wtedy w takim takiej informacji informujemy, że administratorem danych osobowych jest n p . Paweł Litwiński Montoya robił prowadzący działalność gospodarczą pod adresem taki ma taki w kolejnym wydaniu naszego słuchacza, który pisze o tym, że prowadzi w ramach swojej działalności gospodarczej stronę internetową jak twierdzi nie zbiera aktywnie żadnych danych osobowych i nie przetwarza, ale z drugiej strony ma otwarte forum dyskusyjne ma możliwość komentowania artykułów, gdzie pojawiają się te same dane osobowe, bo po prostu Czytelnicy jednak, zostawiając przy tym też trzeba jakoś zarządzić oczywiście, że tak, jeżeli ktoś twierdzi, że prowadzi działalność w internecie i drugim zdaniu, mówi że nie zbiera danych osobowych to najprawdopodobniej nie do końca ma świadomość tego co się w jego przedsiębiorstwie dzieje i test ten pierwszy etap, od którego zaczęliśmy dzisiaj, czyli identyfikacja tego co robimy Otóż w tym przykładzie widać, że ma dane osobowe autorów komentarzy ma n p. adresy IT tych osób na godzinę i minutę, z której ten komentarz został umieszczony najprawdopodobniej są to dane osobowe, więc jak najbardziej również trzeba trzeba tym zarządzi trzeba wiedzieć, że to robimy i pani redaktor coś co my muszę powiedzieć chciałbym powiedzieć, bo do tej pory mówili mówią tak bardzo formalnych obowiązkach tak naprawdę tym trzecim etapem po tym, jak wiemy co robimy wiemy, kto ma do nich dostęp te formalne rzeczy dostosowaliśmy powinno być wdrożenie tego podejścia, które RODO od nas wymagać podejścia tzw. opartego na ryzyko musimy sobie zdać sprawę z tego, jakie ryzyko związane z tym, że przetwarzamy dane osobowe, a następnie odpowiednio zabezpieczyć to będzie bardzo trudne, zwłaszcza dla małych średnich mikro przedsiębiorstw, ponieważ jesteśmy przyzwyczajeni do tego, że ustawa o ochronie danych osobowych wprowadzała konkretne wymagania hasło ma mieć 8 znaków tak w tym momencie z tym podejściem kończymy każdy z nas powinien musi sam podjąć decyzję o tym jakie środki zabezpieczeń jak te dane zabezpieczyć, żeby nie doszło jak już incydentu jak to zrobić jest wiele różnych sposobów najprostszym jest skorzystanie z usług, jeżeli tylko małym mikro przedsiębiorcom n p. korzystanie z usług sprawdzonych zewnętrznych dostawców, którzy do pewnego stopnia będą nam gwarantować bezpieczeństwo tych danych, ale też poniosą odpowiedzialność za nie, jeżeli coś złego się stanie oczywiście możemy sami je zabezpieczać, jeżeli mamy odpowiednią wiedzę potrafimy dobrać środki zabezpieczenia, jeżeli nie, jeżeli mamy wątpliwości jedynym racjonalnym podejściem jest korzystanie z usług sprawdzonych zewnętrznych dostawców, a czy n p. kupienie my wykupienie sobie licencji na dobry program antywirusowy to już sam temat załatwiać to jeszcze za mało na pewno nie załata też 1 z elementów, które trzeba wziąć pod uwagę możemy z tych komplikacji rzeczywiście Chmiest, który sporo to jeszcze 1 sprawa czy, jeżeli prowadzą swoją działalność w internecie i gdzieś tam, gdzie przysłali do mnie maile jak są oferty prowadzę mailing i t d . co ja muszę jeszcze raz od tych wszystkich moich klientów zebrać zgodę ci nie muszą zbierać proponowanej zgody na to, że przetwarzają dane osobowe 2 kwestie po pierwsze, jeżeli odpowiada nam na pytanie klientami nie musi zbierać go na przetwarzanie danych osobowych on zapytał mnie, odpowiadając na to pytanie ja działam w wykonaniu jego prośby o odpowiedź na jego prośbę, więc nie muszą dodatkowo zbierać jeszcze zgody na przetwarzanie danych ta będzie inna podstawa przetwarzania danych osobowych, czyli nie Niezgoda po drugie nie musimy pomnożyć je przesyłać informacji, które przesłaliśmy osobą, która od dotyczą rok 5 10 lat temu RODO nie nakazuje nam ponownie wykonywać obowiązku informacyjnego możemy to zrobić być może będzie to wyraz jakiejś dobrej praktyki w jakiś troski oprawa tych osób, ale nie mamy takiego prawnego obowiązku, żeby ponawiać wysyłanie informacji tych towarzyszących przetwarzanie danych osobowych my musimy na przyszłość dostosować do rodu no i oczywiście od zawsze można powiedzieć więcej, bo temat jestem bardzo szeroki, ale niestety czas nas goni, więc bardzo podziękuję za rozmowę jazzu na krakowskim studio, bo dr Paweł Litwiński specjalista od ochrony danych osobowych z kancelarii Barta Litwiński no i tak kończymy teraz raport gospodarczy kolejna środa zdrada nie jest majówka, czyli w najbliższą środę nie będzie odcinka kolejnego dotyczącego RODO, ale już później 9 maja wracamy z naszym cyklem adres gospodarka ma, a to kropkę FM cały czas do państwa dyspozycji, a teraz kończy raport gospodarczy informacja po nich Jakub Janiszewski Zwiń «

PODCASTY AUDYCJI: RODO

Więcej podcastów tej audycji

REKLAMA

POPULARNE

REKLAMA

DOSTĘP PREMIUM

TOK FM Premium teraz 40% taniej. Wybierz pakiet z aplikacją mobilną - podcasty, audycje i radio bez reklam zawsze pod ręką.

KUP TERAZ

SERWIS INFORMACYJNY

REKLAMA
REKLAMA
REKLAMA