Obowiązek informacyjny.
Wpis archiwalny. Jeśli chcesz znać aktualne informacje o działalności nierejestrowanej zajrzyj na portal: www.dzialalnoscbezrejestracji.pl
Dane osób możesz uzyskiwać albo bezpośrednio od osób, których one dotyczą (np. od swoich klientów) albo z innych źródeł.
Jeśli otrzymujesz dane osobowe bezpośrednio od klienta, to musisz przekazać mu szereg informacji. Informacje te powinnaś przekazać klientowi podczas pozyskiwania jego danych. Przed rozpoczęciem prowadzenia DN przygotuj wzór klauzuli informacyjnej, z której później będziesz korzystać (w mailu, na FB, IG czy stronie internetowej). Informacje, które musisz podać w klauzuli to informacje, które są wymienione w art. 13 RODO.
- Napisz, że jesteś administratorem danych i wskaż dane do kontaktu z Tobą.
- Wskaż cele przetwarzania danych osobowych oraz podstawę prawną tego przetwarzania.
- Jeśli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora, wskaż jaki to jest interes.
- Wskaż na informacje o odbiorcach danych osobowych lub o kategoriach odbiorców.
- Wskaż informacje o tym, czy dane będą przekazywane do państw trzecich lub organizacji międzynarodowych.
- Wskaż okres przetwarzania danych osobowych.
- Przekaż informacje o prawie do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Jeśli dane przetwarzasz na podstawie zgody koniecznie przekaż informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
- Napisz o prawie wniesienia skargi do organu nadzorczego.
- Napisz, czy podanie danych osobowych jest wymogiem ustawowym/umownym lub warunkiem zawarcia umowy oraz czy osoba jest zobowiązana do ich podania oraz jakie są ewentualne konsekwencje niepodania danych.
Obowiązek wykonania analizy ryzyka.
Analizę ryzyka musisz wykonać po to, by zapobiec naruszeniu danych osobowych. Skorzystaj z kart pracy, które przygotowałam dla osób biorących udział w jesiennym wyzwaniu: Ogarnij RODO w działalności nierejestrowanej.
Praktyczne wskazówki:
- Przeprowadź inwentaryzację przetwarzanych danych osobowych i określ czy dane są przetwarzane zgodnie z prawem.
- Określ listę zagrożeń, w wyniku których może nastąpić naruszenie ochrony danych osobowych i określ prawdopodobieństwo wystąpienia.
- Opisz skutki wystąpienia danego ryzyka i wskaż środki zapobiegawcze lub minimalizujące skutki takiego ryzyka.
Obowiązek dbania o bezpieczeństwo.
Powinnaś ciągle weryfikować, czy proces przetwarzania danych funkcjonuje należycie i i nie jest zagrożony.
Praktyczne wskazówki:
- Wprowadź zabezpieczenia organizacyjne (wewnętrzne procedury).
- Wprowadź zabezpieczenia techniczne: tworzenie kopii zapasowych, silne hasła, programy antywirusowe, korzystanie z płatnych wersji programu pocztowego (i chmury danych), zamykanie komputera po pracy (brak dostępu dla dzieci i męża).
- Kontroluj bezpieczeństwo.
Obowiązek zgłaszania naruszeń.
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Uzyskanie tego stopnia pewności, poprzedzone powinno być wykonaniem postępowania, w którym zostanie ocenione, czy doszło do naruszenia. Jako administrator musisz więc przeprowadzić szczegółową analizę naruszenia, zapisać wszystko w rejestrze naruszeń i w przypadku wystąpienia ryzyka określonego w wyżej wymienionych przepisach powinnaś zgłosić takie naruszenie danych w Twojej działalności nierejestrowanej do Prezesa Urzędu Ochrony Danych oraz osobom, których naruszenie dotyczy.
Obowiązki dokumentacyjne.
RODO nie narzuca konkretnych rozwiązań, ale to wynika z zasad i obowiązków, za które odpowiada administrator danych osobowych, czyli Ty jako osoba prowadząca działalność nierejestrowaną. Każdy administrator musi posiadać dokumentację wewnętrzną i zewnętrzną.
Służy to kilku celom:
- Realizacja obowiązku rozliczalności.
- Realizacja obowiązku informacyjnego.
- Kontrola nad prawidłową ochroną danych w Twojej działalności nierejestrowanej.
- Budowanie profesjonalnego wizerunku przedsiębiorcy, który dba o bezpieczeństwo danych.
- Brak problemów w przypadku ewentualnej kontroli z UODO, co wiąże się z punktem 1 i służy udowodnieniu realizacji obowiązku rozliczalności.
Dokumenty, które możesz i powinnaś stworzyć jako administrator, prowadzący działalność nierejestrowaną to:
- Rejestry.
- Klauzule.
- Polityka bezpieczeństwa.
- Upoważnienia i umowy powierzenia danych.
Rejestry, które powinnaś posiadać w swojej wewnętrznej dokumentacji to:
- Rejestr czynności przetwarzania danych.
- Rejestr kategorii danych.
- Rejestr naruszeń ochrony danych osobowych.
- Rejestr (ewidencja) upoważnień.
Klauzule, to dokumenty zewnętrzne, które pokazujesz osobom, których dane zamierzasz przetwarzać:
- Klauzula zgody.
- Klauzula informacyjna.
W zależności od potrzeb klauzula informacyjna może stanowi tylko klauzulę zawierającą podstawowe informacje wskazane w art. 13 RODO i umieszczasz ją cała np. w stopce mailowej albo wiadomości FB lub rozbudowana klauzula np. na Twojej stronie w której zapisujesz wszystkie możliwości przetwarzania danych i te związane z prowadzeniem strony, i te związane ze sprzedażą i te związane z celami marketingowymi, te związane z plikami cookies na Twojej stronie). Taka rozbudowana klauzula informacyjna nazywana jest polityką prywatności.
Podsumowanie.
Mam nadzieję, że rozjaśniłam Ci trochę kwestię RODO obowiązków o których musisz pamiętać jako osoba prowadząca działalność nierejestrowaną. Jeśli potrzebujesz pomocy we wdrożeniu RODO w Twojej działalności nierejestrowanej zachęcam Cię do zapoznania się ze szkoleniem dostępnym tutaj!