17 maja 2021
  1. pl
  2. ru

ERAGON LOGISTIC

ERAGON LOGISTIC

ERAGON LOGISTIC

Jak wdrożyć RODO w firmie spedycyjnej lub transportowej?











RODO- pojęcie to, na pewno nie jest nam obce. Niejednokrotnie o nim słyszymy, bądź słyszeliśmy.

O tym czym jest RODO i o co w tym wszystkim chodzi pisaliśmy w poprzednim tekście na naszym blogu.
 

  Teraz ułatwimy nieco sprawę z tematem wdrożenia RODO w firmie spedycyjnej. Od czego zacząć, jak prowadzić, gdzie przechowywać wszystkie dokumenty?
 

 Na pewno dla osób dopiero zaczynających przygodę z procedurami RODO, wszystko to może wydać się nieco straszne i nie do ogarnięcia. Ale- spokojnie, małymi krokami dotrzesz do celu. My też na początku naszej przygody z RODO, mieliśmy niemałe problemy, aby wszystko było jak należy. A dziś nasi klienci, kontrahenci i przewoźnicy mogą czuć się bezpiecznie powierzając nam swoje dane, bowiem wszystko mamy dopięte na przysłowiowy „ ostatni guzik”. Systematyczność i monitorowanie na bieżąco wszelkich danych, znacznie ułatwiają późniejszą pracę w ramach ochrony danych osobowych.
 

  Od czego zacząć? Nie ma tu instrukcji odgórnie nałożonej, ponieważ nie istnieje jedna ustawa określająca jak wprowadzić RODO w firmie. Każda firma powinna ustalić własne zasady bezpieczeństwa danych, w zależności od charakteru i specyfiki prowadzonej działalności oraz danych, które przetwarzają i w jakim zakresie to robią. W żadnym wypadku nie możemy tutaj uogólniać.
 

  Natomiast jest wiele wymogów, które trzeba spełnić, aby móc powiedzieć, że spełniliśmy wszelkie procedury narzucone przez ustawodawcę. Dla niektórych problemem, może okazać się fakt, iż nie zawsze do obowiązkowych wytycznych, mamy opisane działanie w jaki sposób mamy dopełnić swoich obowiązków w danym zakresie. Stety, albo i niestety- w takich przypadkach to firma musi „ruszyć głową” i sama ustalić jak to ma zrobić. My już to zrobiliśmy i wbrew pozorom, nie było to takie trudne 😊. Na początek trochę obowiązkowej teorii, dla każdego kto prowadzi RODO w swojej firmie i chce to robić dobrze 😊
 

  Zanim przejdziemy do sedna tematu, przedstawimy obowiązki formalne każdej firmy z punktu widzenia RODO.
 

  1. Obowiązek informacyjny art. 13 i 14 RODO.
  2. Obowiązki związane z realizacją praw osoby- art. 15 do 22 RODO
  3. Obowiązek wdrożenia i prowadzenia rejestru czynności przetwarzania danych osobowych- art.30 RODO
  4. Upoważnienia dla osób przetwarzających dane- art. 29 RODO
  5. Wdrożenie odpowiednich środków bezpieczeństwa, aktualizowanie oceny ich skuteczności- art. 23 RODO/ art. 32 RODO
  6. Zawarcie umów powierzenia przetwarzania z podmiotami przetwarzającymi w naszym imieniu dane osobowe – art. 28 RODO
  7. Obowiązek zgłaszania naruszeń i prowadzenia rejestru – art. 33 RODO
  8. Sformalizowana ocena skutków przetwarzania dla ochrony danych osobowych – art. 35 RODO
  9. Wyznaczenie inspektora danych osobowych, jeśli jest taki obowiązek – art. 37 RODO.


  Powyżej przedstawiliśmy obowiązki, jakie powinna spełniać firma. Nie opisujemy tutaj szczegółowo każdego z punktów- o tym na pewno znajdziecie wiele informacji w internecie.


   Skupimy się teraz na firmie jako administratorze danych. Jakie zasady musi spełniać, żeby dopełnić wszelkich obowiązków związanych z ochroną danych? I tutaj mamy narzucone pewne zasady, których my-jako firma i administrator danych musimy przestrzegać. I przestrzegamy 😊 Zatem przedstawiamy zasady przetwarzania danych osobowych:

 

  1. Zgodność z prawem, rzetelność, przejrzystość.

Tutaj chodzi o to, że skoro przetwarzamy dane to róbmy to na podstawie art.6 ust.1 i/lub art.9. ust. 2. Realizujmy obowiązek informacyjny oraz używajmy jasnego, zrozumiałego i prostego języka.
 

  1. Ograniczenie celu przetwarzania.

Dane, które przetwarzamy powinny być przetwarzane dla konkretnych i prawnie uzasadnionych celów. Cele powinny być dokładnie i wyraźnie sprecyzowane (np. cele marketingowe- ale konkretnie jakie są te cele?). Nie wymyślajmy tutaj wielkich niezrozumiałych poematów- informacja ma być rzetelna, przejrzysta i przekazana w momencie pozyskiwania danych. Nie zmieniaj celów przetwarzania- a jeżeli już to robimy ( w celach archiwalnych w interesie publicznym, celach statystycznych, poinformujmy o tym odpowiednio wcześniej podmiot, którego dane dotyczą- min. 2 tyg. wcześniej).
 

  1. Minimalizacja danych.

Domyśleć się można, że skoro minimalizacja to naszym zadaniem jest pozyskanie tylko tych danych os., których są niezbędne do realizacji celu. Nie gromadzimy danych „na zapas”, wykorzystujmy zasadę przy wdrażaniu procedur privacy by design i privacy by default. Pamiętajmy także, by sprawdzić, czy zakresy danych, które przetwarzamy regulują odpowiednie przepisy np. : Kodeks Pracy, Prawo Bankowe itp. W przypadku firm spedycyjnych czy transporotowych warto zagłębić się w przepisy Prawa Przewozowego.
 

  1. Prawidłowość danych.

Ważne jest, aby dane, które przetwarzamy już na etapie ich pozyskiwania były prawidłowe, a wszelkie nieprawidłowości powinny być usunięte lub sprostowane. Najlepiej jest wprowadzić rozwiązania techniczne i organizacyjne, które pomogą nam na bieżąco korygować nieprawidłowe bądź nieaktualne dane.
 

  1. Ograniczenie przechowywania danych.

Dane przechowujemy tak długo, dopóki istnieje cel przetwarzania i/lub zgodnie z przepisami. Pamiętać należy, że jeżeli cel został już zrealizowany to dane usuwamy lub poddajemy anonimizacji. Aby dopełnić obowiązków uprzednio sprawdźmy też, czy nie mamy ustawowo określonego czasu przechowywania danych np. przez Kodeks Pracy. Oczywiście na bieżąco dokonujemy przeglądów danych oraz zapewniamy im wszelkie bezpieczeństwo (hasła, szafki na kluczyk, odpowiednio zabezpieczone miejsca, dyski itp.).
 

  1. Integralności i poufność.

Zasada ta, jest po to, aby dać pewność tego, że dane nie zostaną zmienione lub zniszczone w sposób niezamierzony. Jak ją zrealizować? Najpierw zidentyfikuj zagrożenia, później dokonaj jego analizy, następnie wprowadź odpowiednie środki techniczne i organizacyjne. Pamiętajmy, aby zastosować rozwiązania adekwatne do zagrożeń. Nie zapominajmy o systematycznej weryfikacji skuteczności stosowanych środków bezpieczeństwa.

 

  1. Rozliczalność.

Ostatnia z zasad, do których musimy się zastosować. Mówiąc prostym językiem: należy wykazać, że wszystko co robimy z danymi jest zgodne z przepisami RODO. Jakich środków technicznych i organizacyjnych użyjemy w swojej firmie zależy tylko od nas. I co byśmy nie zrobili w tym zakresie- róbmy to rzetelnie, a więc prowadźmy rzetelną dokumentację, tak byśmy w przyszłości nie obawiali się niespodziewanej kontroli 😊.



    Jak zrealizować zasadę rzetelności? U nas świetnie sprawdzają się między innymi testy wiedzy pracowników o RODO, szkolenia z zakresu RODO, ale to jaką formę będzie to miało u Was, zależy tylko od Was i od Waszej wyobraźni 😊.
 

Powiedzieliśmy już jakie warunki musimy spełnić, aby w pełni dopełnić swoich obowiązków związanych z przetwarzaniem danych osobowych.


A kiedy te dane, które przetwarzamy w związku z RODO są zgodne z prawem? Właśnie wtedy, gdy spełniony jest jeden z poniższych warunków:
 

  1. Mamy na to wyraźną zgodę osoby, której dane są przetwarzane,
     
  2. Jeżeli wykonujemy umowę, na rzecz tej osoby
     
  3. Jeżeli wypełniamy obowiązek prawny – tutaj ważne jest podanie odpowiedniej podstawy prawnej
     
  4. Mamy na uwadze ochronę żywotnych interesów osoby, której dane dotyczą
     
  5. Wykonujemy zadanie realizowane w interesie publicznym
     
  6. Realizujemy prawnie uzasadniony interes



     

  No i doszliśmy do sedna sprawy. Zdobyliśmy już teorię, zatem jak teraz praktycznie zabrać się do wdrożenia RODO w swojej firmie? Spieszymy z pomocą, oto kilka praktycznych wskazówek od nas dla Was 😊 :
 

  1. Najpierw- przed wdrożeniem RODO, a po zapoznaniu się po krótce z teorią, zastanów się czy chcesz to robić sam, jako pracodawca- czy może lepiej zatrudnić pracownika, który choć trochę zna się na tym 😊 Wyznaczenie do tego kompetentnej osoby, będzie strzałem w dziesiątkę!
     
  2. Rozpocznij od audytu- brzmi strasznie? Bez obaw! Nic strasznego 😊 Sprawdź umowy, przeanalizuj dostępy pracowników, kto i do czego ma wgląd. Upewnij się, że klienci znają swoje prawa w przypadku przetwarzania ich danych, wiedzą w jakim celu są przetwarzane i w jakim zakresie. To też świetny moment, aby sprawdzić wszelkie zabezpieczenia dokumentów- czy szafki zawierające poufne dane są na kluczyk, czy pomieszczenia są odpowiednio zabezpieczone, kto ma do nich dostęp i w jakim zakresie.
     
  3. Teraz pora na wprowadzenie rejestru czynności przetwarzania danych. W jakiej formie to zrobisz- zależy tylko od ciebie. Tutaj analizujemy wszelkie formy przetwarzanych danych oraz grupy osób, których dane dotyczą- pracownicy, klienci, kontrahenci. Możesz wzorować się na pliku zamieszczonym na stronie UODO (https://uodo.gov.pl/pl/123/214), na dole strony masz przydatne wzory 😊
     
  4. Ok, no to czas na wdrożenie odpowiednich środków bezpieczeństwa. A chodzi tu o to, aby w najlepszy z możliwych sposobów zabezpieczyć dane przed kradzieżą, nieuprawnionym dostępem czy zniszczeniem. I nie mamy tu na myśli samych pomieszczeń czy szafek, ale też komputery, telefony czy inne urządzenia, na których zbieramy, gromadzimy, przechowujemy dane.
     
  5. Podamy tutaj wymóg, który raczej większości nas nie dotyczy. Mianowicie powołanie Inspektora Danych Osobowych- odbywa się głównie w przypadku przetwarzania danych osobowych na masową skalę, bądź jeśli zajmujecie się serwisem systemów informatycznych np., w placówce medycznej, no ale my tutaj piszemy o transporcie i spedycji, więc jako takiego obowiązku powołania tejże osoby nie mamy 😊 ( chyba, że bardzo tego chcemy).
     
  6. Następnie pamiętaj o wystosowaniu odpowiednich upoważnień dla pracowników, którzy mają dostęp do danych związanych z RODO. Najlepiej zrobić to w formie pisemnej.
     
  7. Nie zapominaj również o porządku w archiwum. Wszelkie dokumenty, przechowuj posegregowane, odpowiednio podpisane.
     
  8. Ważne jest, abyś informował osoby, których dane przetwarzasz: w jakim celu to robisz, w jakim zakresie, jakie dane posiadasz, w jaki sposób je pozyskałeś.
     

Tutaj ważne też jest, abyś koniecznie zapoznał się z prawami osób, których dane dotyczą.


No i powoli zbliżamy się do końca. Ale aby nie było tak strasznie mamy dla Was jeszcze- być może- dobre wieści 😊 Kiedy może nam się przydarzyć kontrola związana z naruszeniem przepisów RODO? Spieszymy ze statystyką- w małych firmach w 99% dochodzi do tego na skutek donosu. Natomiast zdecydowanie częściej możemy spodziewać się wizyty Państwowej Inspekcji Pracy- i tutaj uwaga- ona także może sprawdzić elementy związane z RODO. Oczywiście kontrola inspektorów UODO może pojawić się na nasz wniosek, w przypadku naruszenia ochrony danych osobowych.
 

  Przybliżyliśmy i rozjaśniliśmy nieco ten jakże obszerny temat ochrony danych osobowych. Być może wielu z Was pomogliśmy, a może nawet zainspirowaliśmy do wdrożenia RODO ( o ile jeszcze tego nie zrobiliście). Ale na tym jeszcze nie koniec- do zobaczenia już wkrótce na naszym blogu! 😊 Bądźcie z nami na bieżąco!



Pozdrawiam.
Ewelina Niewiadomska.
Specjalista ds. ochrony danych osobowych.

 

Wyślij
Wyślij
Formularz został wysłany - dziękujemy.
Proszę wypełnić wszystkie wymagane pola!

Kontakt

Napisz do nas

Eragon Logistic

Kateryna Krasuska
Radomyśl 77,
08-112 Wiśniew
Polska

 

 

 

tel. +48 793 980 988
fax. +48 257 407 785

email: eragon.logistic@gmail.com
FB:   
 @eragon.logistic
Instagram: #eragonlogistic

 

 

 

 

 

 

Biuro:
ul. Budowlana 3,
08-110 Siedlce
Polska