Jak przygotować małą firmę produkcyjną do wymagań RODO ? Wywiad z Rafałem Tochmanem.

Table of contents

    Szaleństwo odnośnie RODO trwa w najlepsze, a powstałe jak „grzyby po deszczu” pseudo-eksperckie firmy, żerują na niewiedzy przedsiębiorców, sprzedając na ogół bezwartościowe w przypadku kontroli zestawy dokumentów.

    Tymczasem okazuje się, że RODO to nie biurokratyczna maszyna a system pracy, po jakiego zrozumieniu można rozwiązać samodzielnie przy okazji poprawiając działanie firmy. Jak ro zrobić  – zapytaliśmy jednego z czołowych ekspertów w tym temacie – Rafała Tochmana.

    Czego dowiesz się w tym wywiadzie:

    • Jakie jest prawdopodobieństwo, że zapuka do Ciebie kontrola?
    • Dlaczego kupowana na szybko, gotowa dokumentacja / szkolenie może okazać się całkowicie bezwartościowa w przypadku kontroli?
    • Od czego zacząć jeśli nie masz jeszcze nic gotowe ( czyli jak dostosować Twoją www by stworzyć „fasadę” pokazującą dla naciągaczy, że masz wdrożone RODO) ?
    • Jak samodzielnie na spokojnie wprowadzić u siebie procedury RODO i przy okazji poprawić funkcjonowanie oraz bezpieczeństwo firmy?

    POZNAJ EKPERTA

    Rafał Tochman

    Ekspert bezpieczeństwa danych osobowych.

    Rafała poznałem wiele lat temu jako pasjonata systemów jakością i  własciciela  najbardziej popularnego polskiego portalu w tej tematyce.

    W międzyczasie Rafał rozwijał swoją pasję stając się ekspertem ds. bezpieczeństwa i ochrony danych  (szczególnie osobowych). Obecnie firma Rafała wspiera topowych graczy e-commerce w wdrożeniach RODO i zapewnieniu bezpieczeństwa danych.

    Kontakt do Rafała znajdziesz na: www.safelog.pl

    Jak przygotować małą firmę produkcyjną do wymagań RODO – notatki:

    UWAGA:– jest to NASZE skrótowe podsumowanie wywiadu (a NIE materiały od eksperta), gdzie jak to mamy w Prodio w zwyczaju niektóre tematy bardzo mocno uprościliśmy, przez co nie ponosimy odpowiedzialności. W razie pytań odsyłamy do Rafała ?

    1. Jeśli nic nie przygotowałeś, to NIE WARTO NA SZYBKO wykonywać nerwowych ruchów na 25 maja, ale zabrać się na spokojnie.

    Po pierwsze: Na początku prawdopodobieństwo kontroli jest bardzo, bardzo niskie.

    Ogran kontrolujący sam przygotowuje się do pracy i tworzone są zasoby, dwa w pierwszej kolejności „pod nóż” pójdą głównie wielkie instytucje przetwarzające ogromne ilości danych oraz urzędy. Więc by mała firma produkcyjna była skontrolowana musiał by trafić do niej donos oraz mieć szczególnego pecha, bo takich donosów posypią się pewnie ogromne ilości. Dwa, jako mała firma produkcyjna masz bardzo małe ilości danych osobowych.

    Po drugie: Nie ma co się bać naciągaczy.

    Nie warto też bać się wszelkiego rodzaju wyłudzaących e-mail / telefonów jakie będą przeprowadzać różnego rodzaju „pseudo specjaliści” straszący, że jeśli nie przedstwi się im dokumentacji to albo trzeba im zapłacić za audit, albo zgłoszą firmę do kontroli. Ich model opraty jest o zastraszanie i znalezienie naiwnej firmy.

    Po trzecie: Gotowce kupowane przez Internet / tanie usługi prawnicze są na ogół nic nie warte.

    Obecnie na każdym kroku da się kupić „gotowe dokumentacje pod RODO”, a niektóre kancelarie prawne które nie miały pojęcia jeszcze kilka miesięcy temu o bezpieczeństwie danych osobowych oferują pakiety dokumentacji bez wyjaśnień np. za 500-2000 zł, które załatwiają sprawę RODO bez wizyty w firmie, które mogą się okazać całkowicie nie przydatne podczas kontroli.. ..bo są niedostosowane do sytuacji, dlatego warto czasem zrobić to samem

    2. Od czego zacząć – czyli jak samodzielnie się przygotować się do RODO

    1. Sprawdź jakie masz dane osobowe i zdecyduj co z nimi robisz.

    Najlepszą metodą by to zrobić, a przy okazji stworzyć dokument jaki przygotowuje Cię na kontrole RODO, jest zrobienie PROSTEJ TABELI którą później wydrukujesz, podpiszesz i nazwiesz REJESTREM PRZETWARZANIA.

    Przykład, jaki taka tabela może wyglądać i co powinno się tam znaleźć (już wstępnie wypełniony przez nas) możesz pobrać tutaj: https://docs.google.com/spreadsheets/d/1EiostHmkLnL4EwXFxndBeD68uAqgMDEH7otQ2MshNR8/edit?usp=sharing

    (UWAGA – nie jest to wersja od naszego eksperta, ale jaką zrobiliśmy na bazie wywiadu ułatwić dla Ciebie przygotowania). Szczegółowe omówienie co w takim rejestrze powinno się znaleźć i jak to interpretować, znajdziesz w materiale w materiale wideo z wywiadem.

    2. Spełnij obowiązek informacyjny – w praktyce zbuduj na swojej stronie fasadę, pokazującą że masz już w pełni wdrożone RODO.

    Zacznij od swojej strony www – bo to ją widzą wszyscy potencjalni naciągacze – szczególni powinieneś się tym zająć, jeśli masz tam formularz kontaktowy lub jakiś rodzaj livechatu. Co warto zrobić w takim przypadku:

    •  zainstalować darmowy certyfikat SLL. (Certyfikat SLL, czyli zielona kłódeczka w Twojej przeglądarce która pokazuje że połączenie z Twoją witryną jest szyfrowane, może być całkowicie darmowy lub w płatnych wersjach kosztować kilkadziesiąt złotych rocznie, a daje Ci 2 korzyści: na wypadek kontroli pokazujesz, że dane osobowe wpisane przez formularz są zabezpieczone przed przechwyceniem , a już niedługo witryny bez certyfikatu SLL będą oznaczane przez przeglądarki jako niebezpiecznie i niżej pozycjonowane, a to już ma wartość biznesową.
    •  Na stronie www zamieść politykę bezpieczeństwa (jest ona niewymagana przez RODO, ale pozwala w łatwy sposób spełnić obowiązek informacyjny jaki nakłada ustawa)
    • Pod formularzem dodaj dopisek „Wysyłając formularz zgadzasz się na przetwarzanie danych osobowych zgodnie z..” Polityka powinna mieć następujące elementy (tutaj wzór jaki podesłał Rafał): (link)

    Pamiętaj też, że nie masz obowiązku informacyjnego w przypadku, gdy dane są przekazywane świadomie dla realizacji usługi (np. jeśli ktoś zamawia u Ciebie towar, a Ty przetworzysz jego dane tylko na potrzeby zamówienia).

    3. Stwórz 2 dodatkowe wymagane przez RODO dokumenty .

    Dokumenty te z w połączeniu z Rejestrem przetwarzania sprawią, że będziesz przygotowany na minimum kontroli, a w praktyce są bardzo proste do przygotowania:

    •  Rejestr naruszeń – gdzie będziesz mieć miejsce na wszystkie potencjalne skargi jakie do Ciebie wpłyną (powinno być tak TUTAJ RAFAŁ PODAJ PROSZĘ CO
    •  Formularz zgłoszenia naruszenia danych ? – co tam powinno być

    4. Na spokojnie wraz z rozwojem spraw uaktualniaj dokumentację i przy okazji doskonal działanie firmy.

    Przypatrz się każdemu krokowi z Rejestru przetwarzania danych i zastanów się:
    • Jakie kroki tam możemy opisać, by proces lepiej działał – np. jak postępować z zapytaniami ofertowymi, a przy okazji będziesz mieć to lepiej przygotowane i zmapowane do RODO
    • Przyjrzyj się czy faktycznie wszyscy wpisani tam pracownicy powinni mieć dostęp do tych danych i jak je zabezpieczyć
    • Zrób sobie analizę ryzyka – rozpisz dalej w tabeli co może się stać, że wypłyną dane i jaki będzie tego skutek. Dla najgorszych i najbardziej prawdopodobnych scenariuszy przygotuj proste procedury postępowania na wypadek wypływu.

    JAK TO ZROBIĆ PROFESJONALNIE I GDZIE SZUKAĆ INSPIRACJI?

    Pod tym adresem LINK możesz zapisać się na przedsprzedaż kursu, jaki przygotowuj Rafał gdzie nie tylko znajdziesz informacje jak zrobić to samodzielnie, ale też dokumenty na jakich bazować i przez cały rok aktualizację na postawie kontroli przeprowadzanych przez urząd.

    Łatwe planowanie i rozliczanie produkcji

    Zarządzaj produkcją online jak profesjonalista

    Wypróbuj Prodio

    14 dni za darmo - Bez użycia karty kredytowej - Pełne wsparcie techniczne