RODO w firmie odszkodowawczej to nie jest temat na jedno szkolenie raz na kilka lat. Prowadzisz dane, które przepisy traktują wyjątkowo poważnie, bo dotyczą zdrowia, wypadków i sytuacji, w których ludzie są słabsi niż zwykle. Kontrola albo skarga klienta to nie jest kwestia „czy", tylko „kiedy", i dużo lepiej podejść do tego na spokojnie, zawczasu, niż w panice po fakcie.

Nie jestem prawnikiem i nie zastąpię Ci porady od kogoś, kto zna Twoją firmę od podszewki. To, co mogę dać, to praktyczny obraz tego, o czym w tej branży trzeba pamiętać, bo widziałem, gdzie najczęściej robi się bałagan. Potraktuj to jak listę rzeczy do sprawdzenia, a nie jak opinię prawną.

Dlaczego akurat u Ciebie to jest poważniejsze

Zwykła firma przetwarza imię, nazwisko, telefon i mail. Ty przetwarzasz PESEL, okoliczności wypadku, czasem informacje o obrażeniach i leczeniu. Część z tych danych to tak zwane dane szczególnych kategorii, czyli te, które RODO chroni najmocniej, między innymi dane o zdrowiu. To podnosi poprzeczkę. Więcej ostrożności, więcej porządku i mniej miejsca na „jakoś to będzie".

Konsekwencje wpadki też są większe. Nie chodzi tylko o karę finansową, choć ta potrafi zaboleć. Chodzi o zaufanie. Twoi klienci przychodzą do Ciebie w trudnym momencie i powierzają Ci swoje najbardziej wrażliwe sprawy. Jeden głośny wyciek albo jedna źle obsłużona skarga potrafi skasować reputację, którą budowałeś latami. Dlatego ja patrzę na RODO nie jak na biurokrację, tylko jak na element tego, co sprzedaję klientowi: bezpieczeństwo.

Podstawy prawne, czyli po co Ci dane i czy wolno Ci je mieć

Zanim cokolwiek zapiszesz o kliencie, powinieneś umieć odpowiedzieć na proste pytanie: na jakiej podstawie to robię. Najczęściej będzie to wykonanie umowy z klientem albo Twój uzasadniony interes, a przy części danych zgoda. To nie jest akademicka zabawa. Od tego zależy, co możesz z danymi zrobić, jak długo je trzymać i co się stanie, gdy klient poprosi o ich usunięcie.

W praktyce warto rozpisać sobie raz, jakie dane zbierasz, po co i na jakiej podstawie. Brzmi nudno, robi się to godzinę, a potem przez lata masz spokój, bo w razie pytania nie improwizujesz, tylko sięgasz do gotowej odpowiedzi. To jest też fundament pod rejestr czynności przetwarzania, o którym za chwilę.

Zgody i ich rejestrowanie

Jeśli opierasz część przetwarzania na zgodzie, na przykład zgodzie marketingowej, musisz umieć wykazać, że klient tę zgodę rzeczywiście wyraził. Nie wystarczy powiedzieć „na pewno się zgodził". Trzeba mieć zapis: kto, kiedy i na co się zgodził. Zgoda ma być dobrowolna, konkretna i świadoma, więc jeden haczyk „akceptuję wszystko" bywa problematyczny, zwłaszcza gdy mieszasz w nim regulamin ze zgodą marketingową.

Tu dobry system robi różnicę, bo zapisuje moment akceptacji regulaminu i polityki prywatności razem z danymi firmy albo osoby. Zamiast szukać po mailach, masz w jednym miejscu informację, że dana osoba zaakceptowała dokumenty w konkretnym dniu. Gdy przyjdzie pytanie, odpowiadasz w minutę, a nie w pół dnia.

Prawa klienta, których nie możesz zignorować

Klient ma wobec swoich danych kilka praw i lepiej znać je wcześniej niż w chwili, gdy ktoś zażąda ich realizacji z zegarkiem w ręku. Najważniejsze w codziennej pracy są trzy.

Prawo dostępu i przenoszenia

Klient może poprosić o kopię swoich danych, a w części przypadków o przekazanie ich w czytelnym, powszechnie używanym formacie. To prawo do przenoszenia danych. W praktyce chodzi o to, żebyś potrafił wyeksportować to, co masz o danej osobie, bez grzebania ręcznie po dziesięciu miejscach. System, który pozwala pobrać komplet danych firmy jednym ruchem, oszczędza Ci nerwów i skraca czas reakcji do sensownego poziomu.

Prawo do usunięcia

To słynne prawo do bycia zapomnianym. Nie jest bezwzględne, bo część danych musisz albo możesz zatrzymać, na przykład ze względu na obowiązki podatkowe albo trwające roszczenia. Ale tam, gdzie nie masz podstawy, żeby trzymać dane dalej, powinieneś umieć je trwale usunąć. Kluczowe słowo to „trwale". Usunięcie ma być realne, a nie ukrycie rekordu, który dalej siedzi w bazie.

Prawo do sprostowania i sprzeciwu

Klient może poprosić o poprawienie błędnych danych albo sprzeciwić się pewnym rodzajom przetwarzania. To rzadziej spędza sen z powiek, ale warto mieć prostą ścieżkę, jak to obsłużyć, żeby nie improwizować za każdym razem od zera.

Umowa powierzenia, czyli o czym wielu zapomina

Jeżeli korzystasz z zewnętrznego oprogramowania, w którym trzymasz dane klientów, to ten dostawca przetwarza dane w Twoim imieniu. RODO wymaga w takiej sytuacji umowy powierzenia przetwarzania danych. To nie jest uprzejmość ani formalność do pominięcia. To Twój obowiązek jako administratora danych.

Poważny dostawca ma taką umowę gotową i udostępnia ją bez ceregieli. Jeśli pytasz o umowę powierzenia, a druga strona zaczyna kręcić albo udaje, że nie wie, o co chodzi, to jest dla mnie sygnał, żeby poszukać kogoś innego. Ta sama zasada dotyczy każdego, komu powierzasz dane: biura rachunkowego, firmy hostingowej, dostawcy narzędzia do wysyłki SMS. Wszędzie tam, gdzie ktoś dotyka danych Twoich klientów, powinna być umowa.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania brzmi jak coś, co dotyczy tylko dużych firm, ale w praktyce warto go mieć nawet w małej kancelarii. To po prostu spis tego, jakie kategorie danych przetwarzasz, w jakim celu, komu je przekazujesz i jak długo trzymasz. Raz porządnie zrobiony, aktualizowany od czasu do czasu, załatwia mnóstwo pytań, które w innym wypadku spadłyby na Ciebie w najgorszym momencie.

Nie musisz z tego robić dzieła sztuki. Prosty, uczciwy dokument, który odpowiada na pytania kontroli, jest lepszy niż piękny szablon, którego nikt nie wypełnił. Najgorsza wersja to brak jakiegokolwiek rejestru i zdziwiona mina, gdy ktoś o niego pyta.

Bezpieczeństwo techniczne, po ludzku

RODO wymaga, żebyś zabezpieczył dane w sposób adekwatny do ryzyka. Brzmi mgliście, więc przełożę to na konkrety, które mają znaczenie w codziennej pracy.

Hasła powinny być przechowywane w formie, której nie da się odczytać wstecz. Dostęp do danych powinien zależeć od roli pracownika, żeby każdy widział tylko to, czego naprawdę potrzebuje. Dane różnych firm w jednym systemie powinny być od siebie odseparowane, bez możliwości podejrzenia cudzych spraw. Do tego regularne kopie zapasowe, żeby awaria albo pomyłka nie skasowała Ci pracy z pół roku. To nie są funkcje z górnej półki. To minimum, którego powinieneś wymagać.

Osobno warto pomyśleć o operacjach nieodwracalnych, jak usunięcie konta czy zmiana danych logowania. Fajnie, gdy takie rzeczy wymagają dodatkowego potwierdzenia, na przykład kliknięcia w link z maila. Dzięki temu nikt nie zrobi czegoś groźnego przez przypadek ani za Twoimi plecami. To drobna rzecz, która potrafi uratować przed dużym problemem.

Naruszenia, czyli co robić, gdy coś pójdzie nie tak

Załóż, że kiedyś coś się wydarzy. Zgubiony laptop, wysłany do złej osoby dokument, wyciek. Ważne jest nie tylko to, żeby tego unikać, ale też to, żebyś wiedział, co robić w takiej sytuacji. W określonych przypadkach naruszenie ochrony danych trzeba zgłosić do organu nadzorczego, i to w krótkim czasie, a czasem także zawiadomić osoby, których dane dotyczą.

Nie wchodzę tu w szczegóły terminów, bo od tego jest konkretna analiza konkretnej sytuacji. Zapamiętaj jedno: reaguj szybko, dokumentuj, co się stało i co z tym zrobiłeś, i nie chowaj głowy w piasek. Firma, która ma przygotowaną prostą procedurę na taki dzień, wychodzi z kryzysu obronną ręką. Firma, która improwizuje, zwykle pogłębia problem.

Czy potrzebujesz inspektora ochrony danych

To pytanie wraca u wielu firm odszkodowawczych i budzi niepotrzebny popłoch. Wyznaczenie inspektora ochrony danych jest obowiązkowe w określonych sytuacjach, między innymi wtedy, gdy główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii, na przykład danych o zdrowiu. Firmy z naszej branży dotykają tych danych regularnie, więc temat naprawdę warto przemyśleć, a nie zbywać machnięciem ręki.

Nie znaczy to, że każda jednoosobowa kancelaria od razu musi zatrudniać inspektora. Ocena zależy od skali i charakteru tego, co robisz, i to jest dokładnie ten moment, w którym warto zapytać kogoś, kto zna się na rzeczy, zamiast zgadywać. Nawet jeśli formalny obowiązek Cię nie dotyczy, wyznaczenie osoby odpowiedzialnej za porządek w danych bywa dobrym pomysłem, bo ktoś w firmie po prostu tego pilnuje, zamiast liczyć na to, że temat sam się ułoży.

Podwykonawcy i przekazywanie danych na zewnątrz

Rzadko przetwarzasz dane w całkowitej izolacji. Korzystasz z biura rachunkowego, z hostingu, z narzędzia do wysyłki wiadomości, czasem współpracujesz z rzeczoznawcą czy warsztatem. Każde takie miejsce, w którym dane Twoich klientów trafiają do kogoś innego, wymaga przemyślenia. Komu przekazuję, po co, na jakiej podstawie i czy mam z tą osobą albo firmą uporządkowaną relację.

Zasada jest prosta. Tam, gdzie ktoś przetwarza dane w Twoim imieniu, potrzebujesz umowy powierzenia. Tam, gdzie przekazujesz dane innemu administratorowi, na przykład ubezpieczycielowi, dzieje się to na innej podstawie i warto wiedzieć, na jakiej. Nie chodzi o to, żeby uczyć się przepisów na pamięć, tylko żeby mieć świadomość, gdzie Twoje dane wypływają na zewnątrz, i żeby w każdym z tych miejsc panował porządek, a nie przypadek.

Osobno warto uważać na drobne, codzienne wycieki uwagi, które nie są spektakularne, ale zdarzają się najczęściej. Dokument wysłany do niewłaściwego adresata. Dane dyktowane przez telefon w poczekalni, gdzie słyszą je obcy. Hasło zapisane na kartce przyklejonej do monitora. RODO to nie tylko wielkie systemy i umowy, to też te małe nawyki, z których składa się prawdziwe bezpieczeństwo albo prawdziwe ryzyko.

Zespół i codzienne nawyki

Najlepsze procedury na papierze nie znaczą nic, jeśli zespół ich nie stosuje. RODO w praktyce dzieje się nie w segregatorze z politykami, tylko w tym, jak ludzie codziennie obchodzą się z danymi. Dlatego warto poświęcić chwilę, żeby przegadać z zespołem kilka prostych zasad i wracać do nich od czasu do czasu, a nie odhaczyć jedno szkolenie raz na kilka lat i uznać temat za zamknięty.

Zasady mogą być banalne i właśnie dlatego działają. Nie zostawiamy dokumentów z danymi na widoku. Nie omawiamy spraw przez telefon tam, gdzie słyszą nas obcy. Nie zapisujemy haseł na kartkach. Każdy ma dostęp tylko do tego, czego potrzebuje do swojej pracy. Gdy coś budzi wątpliwość, pytamy, zamiast działać na oślep. To nie jest wiedza dla prawników, to zwykła higiena pracy z wrażliwymi danymi, którą da się wdrożyć w każdej firmie.

Warto też ustalić, co robimy, gdy pracownik odchodzi. Odebranie dostępu, przekazanie spraw, upewnienie się, że nie wynosi danych na prywatnym telefonie czy w prywatnej skrzynce. To moment, w którym najłatwiej o wyciek, a jednocześnie najłatwiej się przed nim zabezpieczyć, jeśli ma się prosty, znany wszystkim scenariusz na taką sytuację.

Od czego zacząć, jeśli czujesz, że masz zaległości

Jeśli po tej lekturze masz wrażenie, że u Ciebie kilka rzeczy leży, to dobrze, bo to znaczy, że wiesz, gdzie szukać. Zacznij od najprostszych, a jednocześnie najważniejszych rzeczy. Sprawdź, czy masz gotowe podstawowe dokumenty, czyli politykę prywatności i regulamin, oraz umowy powierzenia z każdym, komu powierzasz dane. Uporządkuj, gdzie i jak trzymasz dane, i ogranicz dostęp tak, żeby każdy widział tylko swoje. Upewnij się, że potrafisz szybko wyeksportować i usunąć dane konkretnej osoby.

Dobry system załatwia sporą część tej listy niejako przy okazji, bo wymusza porządek, którego przy pracy na luźnych plikach trudno się trzymać. Nie zwalnia Cię to z myślenia, ale zdejmuje z głowy najbardziej pracochłonne kawałki. Reszta to nawyk i trochę dyscypliny, a te akurat masz, skoro prowadzisz firmę w tak wymagającej branży.

Na koniec rzecz, o której łatwo zapomnieć w gąszczu obowiązków. RODO nie jest wrogiem. Dobrze poukładane, staje się częścią tego, co odróżnia Cię od konkurencji, która robi to po łebkach. Klient, który widzi, że traktujesz jego dane poważnie, ufa Ci bardziej. A w tej branży zaufanie jest walutą, za którą kupuje się kolejne sprawy.