Rodo w praktyce Coacha i innych usługach rozwoju osobistego

Magda Matras21 października 2021Komentarze (0)

Wdrażamy RODO w gabinecie, czyli co musisz zrobić, żeby spełnić wymagania przepisów o ochronie danych osobowych.

Ochrona danych osobowych w Twojej działalności jest kwestią o szczególnym znaczeniu. W związku z tym, że najprawdopodobniej przetwarzasz lub będziesz przetwarzać wrażliwe dane osobowe – o zdrowiu, preferencjach seksualnych czy poglądach politycznych. To sprawia, że podpadasz pod szczególny reżim dodatkowych obowiązków i wzmożonej ochrony.

W tym artykule chciałabym wyjaśnić Ci istotę regulacji i pokazać zakres Twoich obowiązków.

Zrozumienie tych podstawowych zasad  sprawi, że będzie Ci później dużo łatwiej wdrożyć i stosować przepisy.

I z pewnością siebie powiedzieć: Tak! Spełniam wymogi RODO!

Zacznijmy od tego, że 'spełniam wymogi RODO’ to stan, a nie jednorazowa czynność.

Pomyśl o RODO jak o małżeństwie a zrozumiesz o co mi chodzi.

Podpisujemy dokumenty i oświadczenia na początku, ale sens instytucji tkwi w utrzymaniu pewnego stanu rzeczy.Tak właśnie jest z RODO.

Stan rzeczy, który chcemy utrzymać to pełna kontrola nad tym, co dzieje się z danymi osobowymi Twoich klientów na każdym etapie współpracy.

Od czego zacząć- inwentaryzacja procesów czyli najważniejsza tabelka

Żeby ustalić co należy zrobić w Twoim konkretnym przypadku trzeba najpierw określić jakie dane osobowe przetwarzasz, skąd je masz i co się z nimi dzieje.

To zawsze będzie punkt wyjścia, niezależnie od tego czy zdecydujesz się wdrożyć RODO samodzielnie, przy użyciu wzorów czy zlecisz to prawnikowi.

Dalsze kroki, także te wprost wymagane przez prawo będą zawsze odnosiły się do tej listy.

W profesjonalnym języku RODO taka lista nazywana jest Rejestrem Czynności Przetwarzania. Prowadzenie jej nie jest obowiązkowe, ale bardzo ułatwia życie.

Podstawy przetwarzania czyli kiedy i jakie dane możesz przetwarzać

Kolejnym krokiem w dostosowaniu działalności do wymogów prawnych będzie ustalenie podstaw przetwarzania danych osobowych. Po ludzku – jakie dane możesz lub musisz przetwarzać w konkretnych sytuacjach biznesowych – to taka karta dostępu do przetwarzania.

Punktem wyjścia jest tu zasada minimalizacji, czyli świadome określenie jakie dane są Ci naprawdę potrzebne, żeby zrealizować dany cel biznesowy.

Data urodzenia w umowie coachingowej? Jak myślisz? Raczej nie.

Później pomocą przychodzi art. 6 RODO, zawierający wyliczenie sześciu takich okoliczności, które pozwalają żebyś przetwarzał dane osobowe.

Są to: zgoda, umowa, obowiązek prawny, żywotny interes jakiejś osoby fizycznej, wykonywanie zadań publicznych, Twoje prawnie uzasadnione interesy.

Warto podkreślić, że nie zawsze potrzebna jest zgoda osoby, której dane przetwarzasz.

Tak naprawdę o zgodę pytamy dopiero, jeśli nie mamy innych podstaw.

W większości przypadków w obrocie gospodarczym podstawą przetwarzania danych między stronami jest umowa.

Jaka jest różnica, zapytasz … Czy to w ogóle ma dla mnie znaczenie?

Ma takie, że zgodę można cofnąć. A kiedy ktoś cofnie zgodę, Ty nie możesz przetwarzać jego danych. Ale musisz, bo przecież macie umowę. I mamy problem.

Więcej o podstawach przetwarzania oraz o szczególnej sytuacji przetwarzania wrażliwych danych osobowych w działalności coachingowej przeczytasz w osobnych wpisach.

Tymczasem przejdźmy do elementu, który jest najbardziej wyeksponowany i powszechnie znany. Przez to wiele osób sądzi, że do tego sprowadza się ochrona danych osobowych.

Zasada przejrzystości: obowiązek informacyjny czyli klauzule informacyjne, polityki prywatności, polityki cookie i informacje w stopce maila

To aspekt w którym pewnie odetchniesz z ulgą – znasz, wiesz,

Podstawą obowiązku informacyjnego jest zasada przejrzystości.

Prawo wymaga, żebyś w momencie zbierania danych poinformował osobę której dane otrzymujesz o tym kim jesteś, po co zbierasz dane, czy ktoś będzie miał do nich dostęp, jak długo je zachowasz itd…

Pełna lista informacji, które masz przekazać znajduje się w art. 13 RODO i zawiera 12 punktów.

Cały tekst jest dość długi. Pewnie zdarzyło Ci się wysłuchać go przez telefon dzwoniąc do jakiejś firmy lub na infolinię.

Ze względu na tą długość dobrą praktyką jest stosowanie warstwowego przekazu.

Oznacza to że na pierwszej linii podajesz podstawową informację – o Tobie (Administratorze) i podstawach przetwarzania oraz wskazujesz źródło, w którym można znaleźć pozostałe informacje.

Na przykład tak:

Administratorem danych osobowych przetwarzanych na tym blogu jest Magdalena Matras, prowadząca działalność gospodarczą pod nazwą Kancelaria Prawna Magdalena Matras. Dane udostępnione w formularzu kontaktowym będą przetwarzane w celu udzielenia odpowiedzi na pytania zadane przez użytkowników, szczegóły znajdziesz w polityce prywatności 

Nie ma jednej poprawnej formy przekazania wymaganych informacji.

Zresztą w praktyce okoliczności też będą różne – czasem ktoś napisze maila, czasem zadzwoni lub zarezerwuje spotkanie w kalendarzu online.

Dla każdej takiej sytuacji musimy dostosować proces udzielania informacji tak, żeby docierała do odbiorcy w momencie kiedy otrzymujesz jego dane.

Upoważnienia i powierzenia

To bardzo ważny element zgodności z RODO. Naprawdę bardzo.

Zarówno udostępnianie (przez Ciebie) jak i przetwarzanie (przez innych) danych osobowych bez podstawy/upoważnienia jest przestępstwem. Mało kto o tym pamięta.

Od momentu kiedy otrzymujesz dane i w świetle prawa stajesz się ich administratorem masz obowiązek w formalny sposób ukształtować każdą sytuację udostępnienia tych danych innemu podmiotowi.

Do tego służą upoważnienia, których udzielasz pracownikom i współpracownikom oraz umowy powierzenia przetwarzania danych – taka sytuacja występuje na przykład z firmą, w której korzystasz z usługi hostingu.

Pamiętaj o tym także w drugą stronę – kiedy Ty jako wykonawca otrzymujesz dane osobowe od innego administratora – upewnij się, że stoi za tym formalna podstawa w umowie lub upoważnieniu.

Prawa podmiotu danych

Ustaliliśmy na początku, że wdrożenie RODO w Twojej działalności nie kończy się na etapie podpisania odpowiednich dokumentów czy opublikowania ich na stronie internetowej.

Jednym z przejawów RODO „w działaniu” jest realizacja praw podmiotów danych (podmiot danych to po prostu osoba, której dane przetwarzasz)

To jakie ma prawa i czego może zażądać od Ciebie taka osoba jest opisane w art. 15 -18 oraz 20-21 RODO. Myślę, że kojarzysz to wyliczenie z dokumentów innych administratorów. Klient może zwrócić się do Ciebie z żądaniem:

  • informacji na temat przetwarzania jego danych osobowych;
  • uzyskania dostępu do jego danych osobowych;
  • żądania korekty danych osobowych, które są nieprawidłowe, niedokładne lub niepełne; żądania usunięcia danych osobowych, jeśli nie są już potrzebne lub gdy były przetwarzane niezgodnie z prawem;
  • uwzględnienia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub z przyczyn związanych ze szczególną sytuacją ograniczenia przetwarzania danych osobowych w szczególnych przypadkach;
  • otrzymania swoich danych osobowych w formacie nadającym się do odczytu maszynowego, a także przesłania tych danych innemu administratorowi (przenoszenie danych);
  • żądania, aby decyzje z wykorzystaniem danych osobowych oparte na zautomatyzowanym przetwarzaniu, dotyczące danej osoby lub mające na nią istotny wpływ, były podejmowane nie tylko przez urządzenia, ale także przez osoby fizyczne. W takich przypadkach masz również prawo do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Istotne jest, że nie wszystkie te prawa mają charakter bezwzględny – nie zawsze i nie każde żądanie trzeba spełnić. Przykładowo – niektóre dane musisz zachować ze względu na wymogi przepisów podatkowych lub ewentualnych roszczeń, mimo że podmiot danych żąda ich usunięcia.

Żądanie dostępu do danych

W działalności coachingowej warto szczególnie przemyśleć kwestię żądania dostępu do danych. Nasuwa się tu pewna analogia do prawa dostępu do (kopii) danych medycznych, ale nie jest to tożsama sytuacja.

Na zrealizowanie żądania, czyli odpowiedź masz 30 dni. To dużo, jeśli masz poukładane procesy i wzory odpowiedzi na poszczególne żądania.

Dlatego warto być przygotowanym i dbać na zapas. Zaoszczędzisz sobie w ten sposób niepotrzebnego stresu, ale także pieniędzy. Szukanie na szybko kogoś, kto poskłada fakty i przygotuje odpowiedź może być bardziej kosztowne niż całe wdrożenie przeprowadzone zanim taka sytuacja nastąpi.

Jaka jest w ogóle szansa, że to nastąpi?

Czy ludzie się nudzą i z nudów wnoszą żądania dostępu do danych? No nie.

Ze swojego doświadczenia i typu spraw jakie prowadziłam w Urzędzie Ochrony Danych Osobowych a także ostatnich sytuacji moich klientów mogę Ci powiedzieć, że kwestie związane z zarzutami niewłaściwego przetwarzania danych będą przez Twoich klientów podnoszone w razie sporu dotyczącego czegoś zupełnie innego.

Na przykład osoba, która chciała rozwiązać roczną umowę coachingową bez zapłaty podniosła zarzut naruszenia prywatności przez wykorzystanie platformy 'X’ do komunikacji.

Albo inna osoba…niezadowolona z negatywnego rozpatrzenia reklamacji zarzuciła mojej klientce niezgodne z prawem udostępnienia danych wirtualnej asystentce.

I tak dalej..

Czy musisz wyznaczyć Inspektora Ochrony Danych

Życzę Ci tego! Ponieważ Inspektora Ochrony Danych, zwanego IOD-em należy wyznaczyć kiedy przetwarzasz wrażliwe dane osobowe na dużą skalę.

Trzeba będzie to rozważyć przy skalowaniu działalności, organizowaniu kursów online lub zakładając centrum szkoleniowe w nad jeziorem w środku sosnowego lasu.

Jeśli jesteś już na tym etapie, to łap za telefon i dzwoń do mnie.

Tymczasem, za prawodawcą unijnym przyjmijmy, że jednoosobowe działalności, co do zasady nie przetwarzają danych osobowych na dużą skalę.

Get Into Tech – czyli RODO to nie tylko dokumenty

Stanu faktycznego: „działam zgodnie z RODO” nie da się osiągnąć za pomocą dokumentów i informacji, choćby nie wiem jak dobrze były przygotowane.

To wszystko, co robimy od strony formalnej – wysyłanie informacji o przetwarzaniu danych, zbieranie zgód, prowadzenie rejestrów – ma nam pomóc w 'rozliczalności’.

Rozliczalność polega na tym, że możemy udowodnić, że podjęliśmy określone działania aby zadbać o ochronę danych osobowych.

Innym, równie istotnym aspektem jest kwestia zabezpieczeń fizycznych i technicznych. Odnosi się ona do materialnych nośników danych osobowych takich jak notatnik, kalendarz, pedrive czy laptop.

Może zabrzmi to kolokwialnie, ale czy nie byłoby bez sensu, jeśli masz wszystkie wymagane procedury i dokumenty, 'wpaść’ gubiąc notatnik z danymi osobowymi klientów.

Dążymy do tego, żeby nikt nieupoważniony nie miał dostępu do danych osobowych których jesteś administratorem.

I kiedy piszę nikt, to mam na myśli – kompletnie nikt. Mąż i dzieci też nie.

Z drugiej strony dbamy o to, abyś miał dostęp do danych zawsze kiedy potrzebujesz (bo utrata danych to też jest naruszenie).

Fizyczne zabezpieczenia to na przykład zamykana na klucz szafka lub zamknięty pokój z którego tylko Ty korzystasz i w którym bezpiecznie możesz trzymać dokumenty klientów.

Zabezpieczanie komputerów, telefonów oraz przenośnych dysków na wypadek zgubienia lub zagrożeń wynikających z korzystania z publicznej sieci internetowej to obszerny temat, którym zajmują się specjaliści IT i cyberbezpieczeństwa.

Warto z nimi porozmawiać. Ja o pomoc związaną z realizacją tego elementu zapewnienia bezpieczeństwa poprosiłam Marka Michalewskiego, eksperta który pomaga przedstawicielom zawodów zaufania publicznego zastosować odpowiednie środki bezpieczeństwa w odniesieniu do urządzeń i programów wykorzystywanych w działalności.

Opis zagrożeń i masę przydatnych informacji o tym jak zabezpieczyć komputer znajdziesz w artykule, który dla mnie i dla Ciebie przygotował.

***

Zachęcam również do przeczytania:

W czym mogę Ci pomóc?

Na blogu jest wiele artykułów, w których dzielę się swoją wiedzą bezpłatnie.

Jeżeli potrzebujesz indywidualnej płatnej pomocy prawnej, to zapraszam Cię do kontaktu.

Przedstaw mi swój problem, a ja zaproponuję, co możemy wspólnie w tej sprawie zrobić i ile będzie kosztować moja praca.

    Twoje dane osobowe będą przetwarzane przez Magdę Matras w celu obsługi przesłanego zapytania. Szczegóły: polityka prywatności.

    { 0 komentarze… dodaj teraz swój }

    Dodaj komentarz

    Twoje dane osobowe będą przetwarzane przez Magdę Matras w celu obsługi komentarzy. Szczegóły: polityka prywatności.

    Poprzedni wpis: