Pomimo wprowadzenia w 2018 roku regulacji dotyczących ochrony danych osobowych popularnie nazywanych RODO, temat ten wzbudza w dalszym ciągu sporo niejasności. Część przedsiębiorców stosuje prawidłowe praktyki dot. ochrony danych osobowych, a inna część firm prowadzących agencje opłat podchodzi do tego tematu bardzo swobodnie, w skrajnych przypadkach udając nawet, że temat ich nie dotyczy. Dlatego postanowiliśmy zapytać prawnika, specjalistę z dziedziny ochrony informacji, o kilka najważniejszych kwestii dotyczących tego obszaru. Na pytania odpowiada mec. Konrad M. Mazur z kancelarii ICT@Law, autor Pakietu RODO przygotowanego dla agencji opłat.
Mariusz Kloc, Tanieprzelewy.pl: Dlaczego trzeba zadbać o właściwe przetwarzanie danych osobowych w BUP?
Konrad M. Mazur, ITC@Law: RODO nie wprowadza żadnych wyjątków – każdy kto przetwarza dane osobowe musi spełniać wymogi tej regulacji. BUP są w trudnym położeniu, bo nie przetwarzają co do zasady tzw. danych wrażliwych, ale wykonywane przez nie czynności wiążą się z przekazywaniem środków finansowych. W przypadku nakładania ewentualnej kary za nieprzestrzeganie RODO jej górna granica jest obliczana od obrotu przedsiębiorcy – nie od jego dochodu, czy przychodu. Jak doskonale wiemy, obrót w BUP potrafi być wielokrotnie większy od realnego przychodu. Kara – w skrajnym przypadku – może więc być bardzo wysoka.
Jeśli zadbamy o realizację podstawowych obowiązków wynikających z RODO, to będzie to uwzględnione w przypadku nakładania kary. Jej wymiar będzie pomniejszony – organ weźmie dotychczasowe starania BUP pod uwagę. Zatem zadbanie o właściwe przetwarzania danych osobowych w BUP minimalizuje ryzyko poniesienia odpowiedzialności w sposób dotkliwy dla BUP.
Jakie mogą być konsekwencje braku dokumentacji RODO w Biurze Usług Płatniczych?
RODO wymaga tylko kilku dokumentów. Dla typowego BUP korzystającego z AON będą to: dwa rejestry i umowa powierzenia przetwarzania z dostawcą systemu AON. Dodatkowo – jeśli doszłoby by do naruszenia ochrony danych osobowych – RODO wymaga aby sporządzić dokument opisujący takie naruszenie i działania zaradcze. Brak tych dokumentów będzie podstawą do wydania przez organ nadzorczy upomnień i innych środków. Najbardziej osławioną z nich jest oczywiście kara finansowa, która może wynieść do 4% rocznego obrotu BUP. Jej nałożenie to jednak ostateczność.
Poza dokumentami wskazanymi powyżej, pojawia się jeszcze kilka elementów, o które warto zadbać. Są wśród nich zgody (o ile w ogóle będzie zasadne by je zbierać) i obowiązki informacyjne. Niekiedy BUP mogą uznać, że wymagają formy pisemnej. Powodem najczęściej jest konieczność wykazania, że zostały one faktycznie zrealizowane.
Spotkałem prawników wskazujących, iż dokumentów dotyczących RODO trzeba mieć bardzo wiele. Stanowczo nie zgadzam się z takim poglądem. RODO dostosowuje się do podmiotów i faktycznego ryzyka, z którym stykają się w nich dane osobowew. Każde BUP powinno zachować zdrowy rozsądek i nie dać się zwariować. Dużo dokumentów może być potrzebne – ale raczej korporacjom niż małym BUP.
Co dokładnie powinien zawierać zestaw dokumentów dot. RODO w agencji opłat?
RODO daje sporą swobodę jeśli chodzi o dokumentację. Wobec typowego BUP wymaga się – co do zasady – dokumentów wymienionych w odpowiedzi na pytanie powyżej. W praktyce warto opracować również ocenę ryzyka i skutków dla ochrony danych – nie musi ona mieć formy dokumentu, ale dla celów dowodowych warto ją mieć. Dla osoby z zewnątrz może nie być takie łatwe by prawidłowo ocenić sposób przetwarzania w systemie AON – wymagana jest wiedza na temat konkretnych rozwiązań wykorzystywanych przez ten system. Dodatkowo warto posiadać schematy postępowania z osobami, które zgłoszą się do BUP w sprawach dotyczących ochrony danych osobowych. Pozwoli to uniknąć braku wiedzy na temat tego w jaki sposób się zachować. Postępując zgodnie ze skryptem, minimalizujemy ryzyko naruszenia czyichś praw.
Na koniec warto wspomnieć: jaką pomoc w kwestii RODO oferujemy agencjom opłat?
Wszyscy użytkownicy systemu AON Agencja Online mogą otrzymać pełną dokumentację RODO stworzoną na potrzeby naszej grupy przez mec. Konrada Mazura. Składa się ona z dokumentów opracowanych po szczegółowym audycie systemu AON Agencja Online. Jednostkowy koszt pakietu RODO został zmniejszony do minimum, dzięki temu, że został rozłożony na całą grupę agencji opłat.
Z kolei, jeśli chodzi o poszerzenie ogólnej wiedzy na temat RODO, to warto odwiedzić rządowy serwis https://uodo.gov.pl, gdzie rozwiewane są wątpliwości na temat prawidłowego przetwarzania danych osobowych.
Wszystkie agencje zachęcamy do bezpłatnego pobrania Formularza Informacyjnego, który należy umieścić w miejscu dostępnym dla klientów punktu przyjmowania opłat.
Mariusz Kloc
Tanieprzelewy.pl
Najnowsze komentarze