fbpx

5 kroków do RODO. „Must have” dostosowania się do nowej rzeczywistości

Dzisiejszy wpis był już zaplanowany. Miałam opowiadać o prawie dostępu do danych. Prawda, że ciekawy temat w sam raz do porannej kawki??

Na szczęści jedna z Czytelniczek zadała mi w zeszłym tygodniu pytanie. Pozwolę je sobie przytoczyć:

Dzień dobry, mam nietypowe pytanie…Wiem, że Pani regularnie udostępnia materiały w związku z RODO. Niestety dopiero teraz się za to biorę (sklep internetowy). Mam pełno maili w skrzynce z newslettera, wiem, że były wyzwania, ale jak tylko usiadłam to poczułam się bardzo przytłoczona i zestresowana, bo od czego zacząć ogarnąć temat i materiał?

Jeśli Ty również czujesz się przytłuczony ilością artykułów, nagrań, materiałów o RODO i nie wiesz, jaki powinien być Twój pierwszy krok, to dzisiejszy wpis jest specjalnie dla Ciebie.

Zatem, ruszamy !!!

 

KROK 1. Przeanalizuj proces przetwarzania danych

Brzmi to może mało przystępnie, ale tak naprawdę chodzi o to, abyś wziął kartkę i zapisał jakie dane przetwarzasz i na jakiej podstawie: zgody (w przypadku newslettera), albo realizacji umowy.

Ustal skąd pochodzą dane. Jeżeli przetwarzasz na podstawie zgody to sprawdź, czy dane są nadal przetwarzane w celu, dla którego zgoda została udzielona.

Obok oczywistych danych, jak imię i adres mailowy, uwzględniłeś także te mniej oczywiste, jak adres IP. Czy są to dane niezbędne dla celu, dla którego je wykorzystujesz? Czy są poprawne i aktualne dane?

Taka analiza pomoże Ci stworzyć rejestr czynności przetwarzania.

 

KROK 2. Sprawdź politykę prywatności

Zakładam, że masz politykę prywatności na swojej stronie/blogu/sklepie.

Wejdź na ten dokument i przeczytaj. Jakie elementy masz w polityce prywatności??

Już kiedyś o tym pisałam, że polityka prywatności nie jest obowiązkowym dokumentem, ale przyjęło się, że właśnie w nim zawierane są wszystkie najważniejsze informacje dotyczące przetwarzania danych, ciasteczek, celu przetwarzania, ustawień przeglądarki itp.

Administrator danych ma obowiązek udzielenia wielu informacji użytkownikom i gdzieś to musi zamieścić. Dlatego tak ważnym dokumentem jest polityka prywatności.

Wracam zatem do jej treści.

Sprawdź, czy masz następujące elementy:

  • napisz kim jest administrator 9imię i nazwisko, adres), w jaki sposób się można z tobą skontaktować
  • w jaki sposób przetwarzasz dane osobowe, za pomocą jakich formularzy, np. kontaktu, newslettera, rejestracji konta.
  • opisz, jakie dane zbierasz za pośrednictwem każdego z tych formularzy, jak jest podstawa przetwarzania (np. zgoda) oraz czas przez jaki będziesz przetwarzał
  • pliki cookies: w jakim celu pozyskujesz dane, np. statystyk, remarketingu
  • jakie inne technologie stosujesz, np. piksel konwersji Facebooka

 

KROK 3. Klauzule zgody

Zbierasz zapisy na newsletter, promocje, bezpłatne wyzwanie?? Sprawdź jak brzmią Twoje klauzule zgody. Obowiązkiem Twoim, jako administratora, jest udzielenie informacji zanim osoba wpisze się i poda swoje dane osobowe. Zatem musisz poinformować: dlaczego zbierasz dane (cel zbierania), kim jest administrator danych (czyli swoje dane), jak długo będziesz przetwarzał dane użytkowników, jakie prawa mają użytkownicy (m.in. prawo do wglądu do danych, żądania zaprzestania przetwarzania, prawo do sprostowania danych).

KROK 4. Przeanalizuj, co grozi danym osobowym u Ciebie

Chodzi o analizę możliwych naruszeń ochrony danych.W zależności od tego, czy wyłącznie ty sam przetwarzasz, czy masz pracowników, którzy są upoważnieni do przetwarzania, takie ryzyko naruszeń istnieje.

Ważne, aby je zidentyfikować i ocenić, możliwość wystąpienia takiego naruszenia oraz stopień skutków dla danych konkretnych osób.

Dlatego ustal, czy jesteś przygotowany organizacyjnie i technicznie na przetwarzanie danych. Sprawdź, czy wewnętrzne procedury przewidują sposób realizacji wniosków osób o dostęp do danych, o sprostowanie danych. Kto będzie odpowiedzialny u Ciebie za realizację tych procedur.

KROK 5. Komu powierzasz dane?

Ustal, czy sam decydujesz o celach i środkach przetwarzania danych (czyli jesteś administratorem), czy przetwarzasz dane na zlecenie innego podmiotu.

Na jakiej podstawie powierzasz przetwarzanie danych innym podmiotom, a na jakiej ty przetwarzasz na zlecenie innych podmiotów. Zweryfikuj, czy podmiot przetwarzający zapewnia środki techniczne i organizacyjne adekwatne do zagrożeń, jak i kategorii przetwarzanych danych. Zastanów się, w jaki sposób zweryfikujesz bezpieczeństwo danych.

Pamiętaj, że za przetwarzanie odpowiada administrator i to na nim ciąży obowiązek wybrania takiego podmiotu przetwarzającego, który zagwarantuje odpowiedni poziom bezpieczeństwa.

Jeśli tego jeszcze nie zrobiłeś to podpisz umowę o powierzenie przetwarzania z tymi podmiotami.

 

Jeśli chcesz poznać komplet materiałów i dokumentów do kompletnego wdrożenia RODO w branży e-commerce, przez blogerów, vlogerów i twórców kreatywnych to koniecznie zerknij na Pakiet RODO: