Podręcznik użytkownika
To krótki podręcznik użytkownika, który pomoże Ci w rozumieniu przepisów dotyczących ochrony danych. W żadnym wypadku nie jest to porada prawna, chcieliśmy tylko dać Ci kilka wskazówek, od czego zacząć.

RODO to instytucja ustawodawcza Unii Europejskiej, przepisy której dotyczą ochrony danych i mają zastosowanie do wszystkich firm, które mają do czynienia z danymi osobowymi obywateli Europy. Chodzi głównie o wzmocnienie poszanowania praw osoby przy przetwarzaniu jej danych osobowych. Jest zakorzeniona w prawach człowieka i pozostaje prawdopodobnie najbardziej znanym aktem prawnym Unii Europejskiej.

Zgodnie z RODO definicja danych osobowych jest dość szeroka i może obejmować wszelkie informacje identyfikujące osobę w taki czy inny sposób, w tym imię, nazwisko, adres e-mail, numer telefonu, miejsce zamieszkania, płeć, datę urodzenia, zawód, narodowość, informacje zawarte w CV itp.

RODO kładzie większy nacisk na odpowiedzialność firm i organizacji, a one muszą być w stanie wykazać, że przestrzegają przepisów.
Co dzieje się w przypadku nieprzestrzegania?

Kara za nieprzestrzeganie przepisów RODO może być bardzo kosztownym błędem dla gigantycznego międzynarodowego przedsiębiorstwa i z pewnością w stanie zabić wiele małych i średnich przedsiębiorstw. Kary mogą sięgać 20 milionów euro lub 4% obrotu firmy. Nieprzestrzeganie przepisów RODO stwarza też inne ryzyko, które jest trudniejsze do oszacowania, ale równie dotkliwe dla biznesu - złą reputację.

Zła reputacja będzie podstawową konsekwencją wszelkich kar związanych z przepisami RODO, podobnie jak incydenty związane z prywatnością lub cyberbezpieczeństwem są zwykle opisywane przez media i nieuchronnie prowadzą do utraty klientów i zaufania.


Wyłączenie odpowiedzialności

Przepisy dotyczące ochrony danych osobowych, takie jak RODO, są bardzo złożone. Nie sposób omówić wszystkich ważnych szczegółów w jednym krótkim podręczniku. Nie stanowi on porady prawnej, a jedynie jest doradcą dla działań mających na celu zapewnienie przepisów z ochrony danych.


Zastosowanie zgodne z przeznaczeniem i Twoja rola
Wire Plus jest przeznaczony do nagrywania rozmów i statystyk związanych z pracą. Nie jest przeznaczony do użytku osobistego.

Zgodnie z różnymi przepisami, takimi jak ogólne rozporządzenie o ochronie danych (RODO), najprawdopodobniej zostaniesz sklasyfikowany jako administrator danych osobowych swoich pracowników korzystających z aplikacji, a także klientów, którzy z nimi kontaktują. Bycie administratorem oznacza, że masz obowiązek chronić wszystkie dane osobowe.


Weź pod uwagę prawa użytkownika

RODO jako konkretny przykład regulacji prywatności w dużej mierze dotyczy przyznania ludziom pewnych praw. Jednym z najważniejszych aspektów zgodności z RODO jest umożliwienie dotrzymania praw dotyczących danych osobowych. Poniżej znajduje się lista uprawnień wraz z wyjaśnieniami i wskazówkami, jak je zrealizować.


Prawo do informacji

Prawo do informacji to prawo użytkownika do wiedzy, w jaki sposób przetwarzasz jego dane osobowe poprzez dotrzymywanie polityki prywatności. Prawo to ma na celu budowanie zaufania między konsumentami a Twoją usługą. Musi zostać wyjaśnione w sposób jasny, zwięzły, przy użyciu przejrzystego języka. Musisz wyjaśnić, dlaczego i jak przetwarzasz dane. Co najważniejsze, osoba, od której zbierasz dane, musi zostać o tym poinformowana w momencie zbierania danych.


Prawo dostępu

Prawo dostępu to prawo, w ramach którego pewna osoba może dowiedzieć się, czy przetwarzane są jej dane osobowe, a jeśli tak, zażądać kopii wszystkich danych, których o niej posiadasz.

Po złożeniu wniosku musisz najpierw sprawdzić, czy organizacja przetwarza dane osobowe. Jeśli odpowiedź brzmi "tak", musisz podać

dane i informacje, które zwykle zawarte w polityce prywatności:

  • cele przetwarzania;
  • kategorie przetwarzanych danych;
  • przetwarzanie danych osobowych;
  • planowany okres przechowywania;
  • informacje o prawach wnioskodawcy;
  • informacje o możliwości wniesienia skargi do organu nadzorczego;
  • pochodzenie danych (jeśli pochodzą od strony trzeciej);
  • informacje o profilowaniu (jeśli istnieje);
  • w przypadku przekazywania danych do państwa trzeciego niezbędne są zabezpieczenia.
Na koniec należy przekazać osobie, której dane przetwarzają, kopię wszystkich posiadanych przez nią danych w ustrukturyzowanym formacie (np. CSV).


Prawo do przenoszenia

Zgodnie z tym prawem osoba, której dane dotyczą (użytkownik):

  • Może otrzymać dotyczące jej dane osobowe w jasnym, powszechnie używanym formacie; i
  • Żądać przeniesienia danych do innego podmiotu (od jednego administratora danych do drugiego).
Podczas gdy pierwsza część jest dość podobna do prawa dostępu, druga może wydawać się kłopotliwa. Jest mało prawdopodobne, aby ktoś spróbował skorzystać z tego prawa do przeniesienia danych do innego administratora, ale nadal zalecamy przynajmniej przechowywanie danych w sposób, który umożliwiłby ich przesłanie w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

  • Ustrukturyzowany. Ustrukturyzowane dane pozwalają na łatwy transfer i łatwość użycia. Są to dane, w których relacja strukturalna między elementami wyraża się w sposobie przechowywania danych na dysku komputera. Oprogramowanie musi mieć możliwość wyodrębnienia określonych elementów danych. Przykładem ustrukturyzowanego formatu jest arkusz kalkulacyjny - dane są uporządkowane w wiersze i kolumny;
  • Powszechnie używany - po prostu wybrany format musi być szeroko stosowany i ugruntowany. Musi jednak mieć również odpowiednią strukturę i nadawać się do odczytu maszynowego;
  • Odczytywalne maszynowo - dane w formacie, który może być automatycznie odczytywany i przetwarzany przez komputer. Jest to format, z którego aplikacje mogą identyfikować, rozpoznawać i wyodrębniać określone dane.
  • Najczęściej używanymi formatami, które spełniają powyższe wymagania, są CSV, XML i JSON.
Podobnie jak w przypadku prawa dostępu, należy przekazać wnioskodawce kopię jego danych w ciągu jednego miesiąca z możliwością przedłużenia do dwóch miesięcy.


Prawo do wycofania zgody

To prawo ma znaczenie dla Ciebie, gdy wycofujesz zgodę, która jest zwykle wymagana, gdy wysyłasz marketingowe wiadomości e-mail do użytkowników lub używasz plików cookie stron trzecich (takich jak analiza lub retargeting). RODO stawia jasne wymagania dotyczące wycofania zgody - musi być ona jasna, konkretna, dobrowolna, jednoznaczna itp. Rozporządzenie przewiduje również, że osoba fizyczna może w każdej chwili cofnąć zgodę, bez konieczności wyjaśniania swojej decyzji.


Prawo do sprostowania

Gdy posiadane przez Ciebie dane osobowe są nieaktualne lub nieprawidłowe, osoba, której dane dotyczą, ma prawo do ich aktualizacji. Głównym celem jest zapewnienie dokładności danych osoby w Twoim systemie.

Najłatwiejszym i najprostszym sposobem realizacji tego prawa jest umożliwienie użytkownikom zmiany danych na stronie w czasie rzeczywistym. Użytkownicy powinni również mieć możliwość skorzystania z tego prawa za pośrednictwem poczty/telefonu/poczty elektronicznej. Warto zawrzeć tę możliwości w Polityce prywatności

W przypadku, gdy osoba fizyczna korzysta z tego prawa przez pocztę/telefonicznie/pocztę elektronicznę, musisz spełnić żądanie w ciągu jednego miesiąca lub dwóch miesięcy, jeśli masz uzasadnienie opóźnienia.


Prawo do ograniczenia przetwarzania

Prawo do ograniczenia przetwarzania to prawo, w ramach którego osoba fizyczna może ograniczyć sposób, w jaki wykorzystujesz jej dane. Można to porównać do zamrażania lub blokowania danych. Jednak osoby, których dane dotyczą, potrzebują ważnego powodu, aby skorzystać z tego prawa. Takim powodem może być na przykład sytuacja, gdy posiadane informacje są niedokładne, informacje są/były przetwarzane niezgodnie z prawem, osoba, której dane dotyczą, może mieć problemy ze sposobem przetwarzania danych itp.

Musisz upewnić się, że wykorzystujesz procesy, które umożliwiają ograniczenie danych osobowych. Mogą to być: czasowe przeniesienie danych do innego systemu, czasowe usunięcie danych ze strony/bazy danych itp. Następnie należy zapewnić, że dalsze przetwarzanie danych nie będzie miało miejsca. Dzieje się tak, ponieważ danych nie można zmienić, gdy na to obowiązuje ograniczenie. Istotne jest również zapobieganie przypadkowemu przetwarzaniu zastrzeżonych danych - dane objęte zastrzeżeniem należy odpowiednio oznaczyć w systemie.

Podobnie jak w przypadku większości pozostałych praw, musisz spełnić żądanie w ciągu 1 miesiąca od otrzymania.


Prawo do usunięcia

Znane również jako „prawo do bycia zapomnianym". Użytkownik może zażądać od Ciebie, administratora, usunięcia jego danych, jeśli nie są już potrzebne do celów, w których zostały zebrane. W przeszłości UE przywiązywała dużą wagę do tego prawa i nie będzie tolerować firm, które nie spełniają ważnych wniosków o usunięcie danych.

Jeśli chodzi o umożliwienie wykonywania tego prawa, musisz upewnić się, że jesteś w stanie usunąć swoje informacje ze wszystkich swoich systemów. Powinieneś zrobić to w ciągu jednego miesiąca lub w ciągu dwóch miesięcy w ograniczonych przypadkach.

Jak powinieneś się przygotować:


Ogranicz dostęp do danych
Upewnij się, że dostęp do danych osobowych jest możliwy tylko wtedy, gdy jest to konieczne. Wymagane jest stosowanie środków technicznych i środków w celu ograniczenia dostępu dla pracowników i wykonawców, chyba że jest to konieczne dla ich funkcji.

Zwykle można to zrobić, wybierając odpowiednie ustawienie w wybranym systemie CRM oraz za pośrednictwem sieci i ustawień konta w systemie.


Sprawdź dostawców usług

Wire Plus może zintegrować się z wybranym dostawcą usług CRM. Zgodnie z różnymi przepisami dotyczącymi ochrony danych Wire taki dostawca najprawdopodobniej zostałby uznany za podmiot przetwarzający. Oznacza to, że jako administrator masz obowiązek upewnić się, że przetwarzają dane wyłącznie na podstawie Twoich poleceń i że dane są odpowiednio zabezpieczone.

Oto kilka działań, które możesz podjąć:
  • podpisać umowę powierzenia przetwarzania danych
  • rozesłać kwestionariusz dotyczący ochrony danych
  • przejrzeć certyfikaty i standardy zgodności itp.
  • przejrzeć środki bezpieczeństwa dostarczone przez usługodawcę.

Usuń niepotrzebne dane

Czasami użytkownicy będą dzwonić do Ciebie z nieistotnymi pytaniami. Czasami mogą przekazać więcej informacji, niż było to konieczne. W pewnym momencie informacje stają się zbyt stare i zasadniczo stają się bezużyteczne.

Rozważ utworzenie procesu bezpiecznego usuwania takich niepotrzebnych danych z systemów.


Zabezpiecz dane prawidłowo

Upewnij się, że przestrzegasz najlepszych praktyk w zakresie bezpieczeństwa danych osobowych.

Istnieje wiele środków, których można użyć, aby to osiągnąć - tworzenie wewnętrznych polityk, stosowanie szyfrowania tam, gdzie to możliwe, tworzenie kontroli dostępu, stosowanie anonimizacji i pseudonimizacji, tworzenie kopii zapasowych, bezpieczeństwo w chmurze itp.

Środków bezpieczeństwa jest zbyt wiele, aby opowiedzieć o nich wszystkich, dlatego najlepiej skonsultować się z dostawcą usług bezpieczeństwa.


Bądź przejrzysty dla swoich użytkowników końcowych
Kiedy Twoi użytkownicy dzwonią do Twoich pracowników, powinni być świadomi, że ich rejestrujesz oraz poinformujesz co do ich praw dotyczących danych osobowych.

Istnieje wiele sposobów na osiągnięcie jasności i przejrzystości w kontaktach z użytkownikami, na przykład powiadamianie ich podczas rozmowy, przedstawienie polityki prywatności lub krótkich informacji o prywatności, wyjaśniających powody, dla których należy śledzić i rejestrować połączenie.

Musisz zastanowić się, czy warto prosić użytkownika o zgodę na nagrywanie rozmów i jak możesz tym zarządzać.


Bądź przejrzysty wobec swoich pracowników

Dane osobowe Twoich pracowników są tak samo ważne, jak dane osobowe Twoich użytkowników.

Kiedy integrujesz Wire Plus z procesami biznesowymi, upewnij się, że Twoi pracownicy rozumieją, że ich rozmowy są nagrywane i znają swoje prawa dotyczące takiego nagrywania.


Utwórz politykę ochrony danych pracowników

Często dobrym pomysłem jest przejrzenie wewnętrznych praktyk gromadzenia danych, odpowiednich lokalnych i międzynarodowych przepisów dotyczących ochrony danych oraz stworzenie wewnętrznej polityki, która opisywałaby Twoje podejście do ochrony danych pracowników i osób za nią odpowiedzialnych.


Sprawdź lokalne przepisy i sprawy sądowe

Lokalne przepisy dotyczące ochrony danych i sprawy sądowe mogą mieć wiele osobliwości i zawiłości, które interpretują je szczególnie w odniesieniu do danych, które mogą być uznane za wrażliwe, takie jak informacje bankowe, medyczne, lub polityczne itp.


W przypadku takiego przetwarzania należy skonsultować się z lokalnymi prawnikami.