Czy zaakceptowałem Regulamin z umową powierzenia?
Umowa powierzenia daje podstawę prawną, aby zgodnie z przepisami korzystać z aplikacji. Po 25 maja 2018 przetwarzane danych bez umowy powierzenia będzie niezgodne z prawem i wielu dostawców, w tym i my odmówimy realizacji usługi dla podmiotów z którymi nie mamy podpisanej umowy. Bez obaw – umowę podpisujemy w formie elektronicznej, wystarczy zaznaczyć checkbox.
Czy zgody na przetwarzanie danych, które znajdują się w aplikacji odpowiadają rzeczywistości?
Domyślne, zainstalowane przez nas zgody zakładają, iż dane przetwarzane są wyłącznie na potrzeby realizacji umowy, na rzecz osoby której dotyczą, wobec tego mają u nas charakter obowiązku informacyjnego. Zgoda tego typu nie uprawnia do wysyłania do klientów korespondencji handlowej. Jeśli tego typu podejście jest dla Państwa niewystarczające, należy samodzielnie określić wymagane zgody.
Czy dane firmy widoczne na zgodach, regulaminach, umowach odpowiadają danym rejestrowym firmy?
Obowiązek informacyjny nakłada na Administratora konieczność podania danych podmiotu, który będzie przetwarzał dane – powinny być to poprawne dane rejestrowe firmy.
Czy za pomocą dodatkowych pól formularzy dla klienta, nie zbieram nadmiarowych danych, szczególnie danych wrażliwych, takich jak PESEL, numery dokumentów, etc.?
RODO wyraźnie mówi, że nie powinniśmy zbierać danych które nie są potrzebne do realizacji usługi – Umowa powierzenia, którą przygotowaliśmy także ogranicza zakres danych do tych, które są potrzebne do realizacji usługi.
Czy przetwarzam dane w celach marketingowych? np. w celu wysyłki do klientów informacji o promocjach, nowych usługach?
Jeśli tak, wg. RODO należy skonfigurować w systemie osobną zgodę na przetwarzanie danych w tym celu – domyślna zgoda informuje wyłącznie o celu związanym z realizacją usługi.
Czy mam zamiar wysyłać treści handlowe do klientów zarejestrowanych przed 25 maja 2018?
W aplikacji nigdy nie zbieraliśmy zgód na otrzymywanie informacji handlowych, nie jest zatem na gruncie prawa poprawne, aby wysyłać tego typu korespondencję do klientów. Można to robić dla klientów dodanych po 25 maja, o ile zaakceptowali odpowiednią zgodę – taką zgodę należy dodać samodzielnie. Jeśli Państwo na własną rękę zbierali zgody na otrzymywanie informacji handlowych są one ważne po 25 maja, i można ich użyć.
Czy mój regulamin serwisu jest dolny od klauzul związanych ze zgodami na przetwarzanie danych?
wg. RODO tego typu zgody nie mogą być łączone z regulaminem, muszą wystąpić jako niezależna zgoda. Jeśli regulamin zawiera tego typu warunki, powinny zostać przeniesione do odrębnych zgód.
Czy zweryfikowałem w Serwisie listę pracowników?
W ramach przygotowań do RODO warto zweryfikować listę pracowników zdefiniowanych w aplikacji – każdy z nich (wyjątkiem są pracownicy zewnętrznych serwisów) ma dostęp do danych osobowych klientów. Na liście nie powinno być osób, których nie upoważniliśmy do dostępu do danych, w szczególności byłych pracowników, kont tymczasowych, testowych. Wszystkie niezweryfikowane konta powinny zostać usunięte.
Czy zabezpieczam odpowiednio dostęp do Serwisu?
Obecnie oferujemy w Serwisie zabezpieczenia w postaci silnych haseł, listy dozwolonych adresów IP oraz uwierzytelniania dwuskładnikowego. Pracownicy, utworzeni przed 25 maja mogą mieć hasła słabe, które mogą być zagrożeniem bezpieczeństwa – zweryfikuj tych pracowników – każdy z nich ma wskaźnik siły hasła – poproś tych, których hasło jest za słabe lub niezweryfikowane o zmianę. Namów pracowników do aktywacji uwierzytelniania dwuskładnikowego, lub za pomocą konfiguracji wymuś aktywację u wszystkich. Upewnij się, że pracownicy zabezpieczają poprawnie swoje komputery – wygaszacz ekranu z blokadą hasłem, PIN, odcisk palca dla urządzeń mobilnych to podstawowe minimum.
Czy ja i moi pracownicy jesteśmy świadomi ryzyk?
Jednym z obowiązków Administratora danych jest poznanie/określenie typów ryzyk, które wiążą się z przetwarzaniem przez niego danych. Przygotowaliśmy dla Państwa Politykę prywatności, która opisuje takie ryzyka pod kątem korzystania z aplikacji.