Spis treści:
- Powierzenie danych osobowych
- Adres e-mail daną osobową?
- Wybierz wiarygodnego dostawcę
- Dopełnij Obowiązek informacyjny
- Ograniczaj przechowywanie danych
Powierzenie danych osobowych
Przy zakupie takiego produktu jak poczta dla firm, warto na początek zweryfikować, czy usługodawca oferuje tzw. umowę o powierzeniu danych osobowych. Podpisanie takiej umowy zdejmuje z Ciebie szereg obowiązków związanych z przetwarzaniem i przechowywaniem danych zgodnie z RODO. To ogromna oszczędność m.in. na kosztach modyfikacji usług pod RODO przez zewnętrznych specjalistów.
Niestety dość często w ramach oszczędności, firmy zakładają skrzynki w darmowych usługach, przeznaczonych dla osób prywatnych (np. darmowa poczta gmail, onet itp.). To zrozumiałe — darmowa poczta oferuje funkcje, które wydają się wystarczające dla początkującego biznesu. Problem w tym, że żaden usługodawca darmowej skrzynki pocztowej nie podpisze z Tobą umowy o powierzeniu danych osobowych, tak, więc jeśli komunikujesz się ze swoimi klientami poprzez darmową skrzynkę, łamiesz przepisy RODO. W tym punkcie warto się zastanowić, co wyjdzie taniej - profesjonalna poczta dla firm z umową o powierzeniu danych czy kara za nieprzestrzeganie przepisów RODO (które notabene są bardzo wysokie). Zakładając konto w Interia Pakiet dla Firm, jednocześnie podpisujesz taką umowę, dzięki czemu masz pewność, że wszystkie informacje i dane, które są przetwarzane na skrzynkach e-mail Twoich i pracowników, są przechowywane zgodnie z prawem. Roczny koszt Pakietu wynosi 9 zł brutto, a przedłużenie — odpowiednio 39 zł (poczta bez własnej domeny) oraz 99 zł (poczta z domeną).
Adres e-mail daną osobową?
Wśród specjalistów od RODO toczą się dyskusje czy adres e-mail powinien być traktowany, jako dana osobowa, czy nie. Odpowiedź brzmi: to zależy. Przede wszystkim, musisz odpowiedzieć sobie na pytanie, czy ta informacja w sposób łatwy i przy niskim koszcie umożliwia Ci identyfikację danej osoby. Weźmy dwa przykłady. Mamy Panią Barbarę Nowak, która na co dzień posługuje się adresem mailowym bacha1985@interia.pl. Używa go, robiąc zakupy w sieci, logując się do swojego konta bankowego itp. Czy po tym adresie e-mail możemy zidentyfikować Panią Barbarę? Nie bardzo. Przede wszystkim, bacha1985 nie pozwala wskazać jednej, konkretnej osoby, ponieważ w Polsce z pewnością jest więcej osób o imieniu Barbara. Kolejna rzecz - liczba 1985 może faktycznie wskazywać datę urodzenia, wciąż, może być w Polsce więcej niż jedna Barbara, urodzona w 1985 roku. Drugi przypadek. Jacek Kowalski pracuje w firmie Piękne Wypieki Sp. z o.o., jako przedstawiciel handlowy. Do komunikacji z klientami posługuje się adresem mailowym jacek.kowalski@pieknewypieki.pl. Czy w tym przypadku e-mail jest daną osobową? Jak najbardziej. Jest w nim wskazane konkretne imię i nazwisko, a nawet miejsce, gdzie Pan Jacek jest zatrudniony. Ilość nakładu pracy, którą trzeba włożyć, aby zidentyfikować tę konkretną osobę, jest bardzo mała (wystarczy zadzwonić do firmy Pana Jacka), dlatego w tym przypadku adres e-mail jest już daną osobową. Zasada jest prosta — jeśli adres e-mail zawiera informacje, które pozwalają niewielkim nakładem zasobów zidentyfikować daną osobę, wówczas mówimy o danej osobowej.
Wybierz wiarygodnego dostawcę
Jeśli chcesz mieć pewność, że komunikujesz się przez takie narzędzia jak poczta dla firm zgodnie z RODO, najpierw zweryfikuj wiarygodność swojego dostawcy poczty, a najlepiej samą usługę, z jakiej korzystasz. Sprawdź, czy sama usługa jest bezpieczna (np. zawiera programy antywirusowe oraz antyphishingowe), regularnie robione są kopie zapasowe oraz zawiera usługę powierzenia przetwarzania danych. Zweryfikuj, czy przestrzegane są standardy w zakresie bezpieczeństwa komunikacji, filtrowania szkodliwych wiadomości oraz przechowywania informacji. Zakładając pocztę firmową, stajesz się administratorem danych, które będziesz na niej przechowywać i w razie braku stosowania się do przepisów, możesz ponieść za to odpowiedzialność, np. w postaci kary finansowej.
Dopełnij Obowiązek informacyjny
Komunikując się poprzez e-mail, musisz mieć świadomość, że przechowujesz i niejako przetwarzasz dane, które odkładają się w usługach typu poczta dla firm. Nakłada to na Ciebie tzw. obowiązek informacyjny. Zgodnie z RODO, musisz poinformować swoich klientów oraz każdego adresata, kim jesteś, jakie dane zbierasz, w jakim celu i jak będziesz je przetwarzał. Jak to zrobić? W pierwszym kroku musisz zapoznać się z art. 13 i art. 14 RODO i krok po kroku stworzyć własną treść. Po prostu sprawdzasz, jakie informacje mają znaleźć się w Obowiązku Informacyjnym i przygotowujesz na ich podstawie tekst. Kiedy już stworzysz treść Obowiązku informacyjnego, musisz zastanowić się, gdzie i w jakiej formie go udostępnisz dla swoich adresatów. Przede wszystkim, musi być to miejsce łatwo dostępne. Jeśli komunikujesz się ze swoimi klientami głównie przez e-mail, możesz np. umieścić link do podstrony zawierającej taką zgodę, dodawać treść zgody, jako załącznik do wiadomości albo nawet umieścić treść w automatycznej wiadomości. W przypadku, gdy spotykasz się dość często ze swoimi klientami, wówczas możesz go przekazać na zwykłym papierze. Jedną z bardziej kontrowersyjnych kwestii jest udowodnienie, że faktycznie dopełniliśmy Obowiązek Informacyjny. Sposobów jest wiele. W przypadku usług takich jak poczta dla firm możesz po prostu pokazać automatyczne wiadomości, w których znajduje się treść lub przechowywać korespondencje z klientami, gdzie wyraźnie widać, że w załącznikach znajduje się Obowiązek Informacyjny.
Ograniczaj przechowywanie danych
Zgodnie z ideą RODO, ważne jest, aby przechowywać taką ilość danych osobowych użytkowników, aby można było uzasadnić ich przechowywanie. Jeśli wysyłasz cykliczne Newslettery, wówczas zasadne jest przechowywanie takich danych jak adres e-mail, a nawet imię i nazwisko. W pierwszej kolejności zweryfikuj, jakiego rodzaju dane przechowujesz o swoich użytkownikach i sprawdź, czy jesteś w stanie uzasadnić, w jakim logicznym celu je przechowujesz. W ten sposób zabezpieczysz się, że w razie kontroli będziesz mógł w klarowny sposób uzasadnić przechowywanie i przetwarzanie tych informacji. Druga kwestia to ilość przechowywanych danych, a konkretnie wiadomości e-mail. Zgodnie z zasadą ograniczania przechowywania danych, jeśli określone wiadomości są przestarzałe lub nie przyczyniają się do realizacji żadnego celu, najlepiej je po prostu skasować albo zarchiwizować. W tym miejscu musisz kierować się zdrowym rozsądkiem i wykazać się zapobiegliwością, aby niechcący nie usunąć wiadomości, których treść może się przydać w przyszłości.
