RODO w małej firmie często budzi dwa skrajne odruchy. Pierwszy: „to nas nie dotyczy, jesteśmy za mali”. Drugi: „potrzebujemy wszystkiego, najlepiej w trzech segregatorach i z pieczątką grozy”. Żaden z tych odruchów nie pomaga. Ochrona danych osobowych powinna być dopasowana do realnej działalności: klientów, pracowników, newslettera, sklepu internetowego, formularzy kontaktowych, faktur, dostawców i narzędzi informatycznych.
Najbardziej praktyczna zasada brzmi: najpierw zrozumieć, jakie dane firma przetwarza i po co. Dopiero potem dobierać dokumenty. Inne potrzeby ma sklep internetowy z kontami klientów, inne gabinet umawiający wizyty, a jeszcze inne jednoosobowa firma wystawiająca kilka faktur miesięcznie. Dokumentacja RODO powinna pomagać podejmować decyzje, a nie stać się muzeum formularzy.
Nie zbieraj danych na zapas
Jednym z najczęstszych błędów jest gromadzenie danych „bo może się przydadzą”. Jeżeli do wykonania umowy wystarczy imię, nazwisko, adres e-mail i dane do faktury, nie zawsze jest sens żądać dodatkowych informacji. Nadmiar danych zwiększa obowiązki, ryzyko i odpowiedzialność. Im więcej firma zbiera, tym więcej musi chronić, aktualizować, usuwać i wyjaśniać.
W praktyce warto przejrzeć formularze, konta użytkowników, zapisy newsletterowe i procedury sprzedażowe. Czy każde pole jest potrzebne? Czy wiadomo, na jakiej podstawie dane są przetwarzane? Czy użytkownik dostaje jasną informację? Czy firma wie, komu powierza dane, na przykład hostingowi, systemowi płatności, księgowości albo operatorowi newslettera? To pytania mniej efektowne niż wielkie hasła o zgodności, ale znacznie bardziej użyteczne.
Dokumenty powinny odpowiadać procesom
W małej firmie przydatne mogą być między innymi: polityka prywatności, klauzule informacyjne, rejestr czynności przetwarzania, umowy powierzenia przetwarzania danych, procedura reagowania na naruszenia i podstawowe zasady upoważnień. Nie chodzi jednak o to, żeby mieć dokument dla samego posiadania dokumentu. Treść powinna pasować do tego, co firma faktycznie robi.
Jeżeli dokument mówi o dziesięciu działach, inspektorze ochrony danych i skomplikowanym obiegu papierowym, a firma działa w dwie osoby i prowadzi sprzedaż online, coś tu nie gra. Dobra dokumentacja RODO jest konkretna. Wskazuje odpowiedzialności, opisuje kategorie danych, okresy przechowywania, odbiorców danych i sposób reakcji na problem. Nie musi brzmieć jak regulamin dla statku kosmicznego.
Sklep internetowy ma kilka wrażliwych miejsc
W sklepie internetowym szczególną uwagę warto zwrócić na konta użytkowników, zamówienia, faktury, płatności, newsletter, formularze kontaktowe i integracje z zewnętrznymi usługami. Jeżeli rejestracja kont jest otwarta, trzeba pamiętać także o ochronie przed spamem i fałszywymi kontami. Dane klientów nie są miejscem na eksperymenty techniczne. Przy zmianach w sklepie warto najpierw robić kopie, potem działać, a na końcu sprawdzać, czy zamówienia i faktury pozostały nienaruszone.
Warto też pilnować uprawnień administratorów i pracowników. Dostęp do danych powinny mieć osoby, które rzeczywiście go potrzebują. Konto techniczne powinno służyć do pracy technicznej, a nie do codziennej obsługi klienta. To drobiazgi, ale właśnie drobiazgi często decydują o tym, czy firma ma nad danymi kontrolę.
Wzory pomagają, gdy są dopasowane
Wzory dokumentów RODO mogą być dobrym początkiem porządkowania obowiązków. Trzeba je jednak uzupełnić informacjami właściwymi dla konkretnej firmy. Puste nazwy systemów, ogólne opisy odbiorców albo nieaktualne okresy przechowywania danych powodują, że dokument wygląda poprawnie tylko z daleka.
Najrozsądniejsze podejście to zacząć od mapy danych, ograniczyć zbieranie informacji do potrzebnego zakresu, dopasować dokumenty i regularnie wracać do nich przy zmianach w działalności. RODO nie wymaga teatralnego napięcia. Wymaga porządku, proporcji i pamięci, że po drugiej stronie formularza zawsze jest konkretna osoba.
Powiązane opracowania
Przy porządkowaniu danych osobowych pomocne mogą być kategorie: dane osobowe i RODO, RODO, portal internetowy oraz poufność.
Tekst ma charakter informacyjny i nie zastępuje porady prawnej udzielonej po analizie konkretnej umowy, dokumentów oraz sytuacji stron.