RODO w salonie optycznym. Optyczne forum eksperckie

Polub i udostępnij
  •  
  •  
  •  

Co RODO oznacza dla optyków: jakie rozwiązania powinni wdrożyć, jak zabezpieczyć wrażliwe dane, jakie mogą być konsekwencje niedostosowania się do przepisów?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące przetwarzania i przepływu danych osób fizycznych (tzw. RODO) zastępuje 25 maja 2018 naszą Ustawę o ochronie danych osobowych z 1997 roku. Rozporządzenie to dotyka wszystkie podmioty gospodarcze, które w jakikolwiek sposób gromadzą lub przetwarzają dane osób fizycznych. Trzeba zauważyć, że klientami optyków są zazwyczaj jedynie tacy, którzy należą do tej grupy, a zatem nie ma ucieczki od wdrożenia przepisów wspomnianego rozporządzenia przez optyków.

RODO w znaczący sposób zmienia podejście do gromadzenia, przetwarzania i przepływu danych osobowych. Optycy powinni przede wszystkim zwrócić uwagę gdzie (w jakich systemach) gromadzą dane osobowe i komu je powierzają. Ważna jest tu nie tyle identyfikacja gdzie system został zainstalowany, ale gdzie fizycznie znajdują się dane (baza danych). W celu wyjaśnienia tej kwestii najlepiej posłużyć się pewnymi przykładami. Załóżmy, że system, za pomocą którego gromadzimy dane, zainstalowany jest fizycznie na komputerze optyka i tam fizycznie na jego dysku zapisywane są dane osobowe. Właśnie taki przypadek jest najczęstszy. Z punktu widzenia klienta optyka to dobra sytuacja, ponieważ tylko on ma dostęp do jego danych osobowych. Dla optyka z punktu widzenia RODO jest to już pewne wyzwanie. RODO nie narzuca ścisłych wytycznych w jaki sposób mamy przechowywać dane i jak je zabezpieczać, ale z drugiej strony to administrator danych (optyk), ponosi odpowiedzialność za wyciek danych i nielegalne ich pozyskanie przez podmioty trzecie. Warto zatem w omawianym przypadku pomyśleć o przechowywaniu danych wrażliwych w firmie w miejscu, do którego nie mają dostępu osoby niepowołane. Dobrą praktyką jest, aby: bazy danych, dokumenty (Word, Excel, XML, PDF, CSV), zdjęcia (np. zdjęcie siatkówki oka klienta), pliki poczty elektronicznej, inne dane wrażliwe utrzymywać w firmie na szyfrowanym nośniku w jednym miejscu, a dane aplikacji lokalnie na każdym stanowisku. Można do tego wykorzystać serwer firmowy, magazyn sieciowy NAS lub po prostu wydzielić jedną osobną partycję szyfrowaną na komputerze, którego używamy. Do tworzenia zasobów szyfrowanych możemy użyć darmowych aplikacji (polecamy np. True Crypt 7.1a) lub rozwiązań komercyjnych, których na rynku jest wiele.

Zaszyfrowanie danych wrażliwych spowoduje, że nawet fizyczna kradzież sprzętu, na którym przechowujemy dane, nie narazi nas na ich wyciek. Dane zostaną w prawdzie skradzione, ale zaszyfrowane są bezużyteczne. Drugim scenariuszem są systemy, gdzie dane przechowujemy w tzw. chmurze u operatora naszego systemu. W takim przypadku optyk powinien zadbać o stosowną umowę z operatorem, która uwzględni powierzenie danych gromadzonych przez nas temu operatorowi i zobowiąże go do nieprzekazywania tych danych podmiotom trzecim, a także narzuci obowiązek odpowiedniego zabezpieczenia tych danych oraz ich archiwizacji właśnie temu operatorowi. Nie wolno zapominać, że w takim przypadku przy pobieraniu zgody na przetwarzanie danych osobowych należy poinformować klienta, że jego dane są powierzone podmiotowi, który jest naszym operatorem technicznym. Optycy muszą też pamiętać, że RODO nie pozwala pozyskać wszelkich danych klienta za pomocą jednej uniwersalnej zgody. Czym innym będzie zgoda na przetwarzanie danych w celu realizacji zamówienia, a czym innym zgoda na powiadomienia email/ sms lub przetwarzanie danych wrażliwych (np. dane dotyczące stanu zdrowia w gabinecie okulistycznym/optometrycznym). Warto zatem pozyskiwać od klientów zgodę szczegółową w zależności od tego, do jakich celów będziemy wykorzystywać jego dane. Powinniśmy też dokonać audytu wszystkich systemów informatycznych, w których gromadzimy dane osobowe zadając autorom tych systemów pytanie, czy zmiany pod kątem RODO będą naniesione i aktualizowane na bieżąco. Dotyczy to zarówno systemów komputerowych, które instalujemy lokalnie na naszych systemach operacyjnych (Windows, Mac, Linux itd.), ale również systemów używanych w chmurze i sklepów internetowych. Na koniec nie wolno zapomnieć o przepływie danych w firmie i profilowaniu danych. Zastanówmy się, jakim podmiotom przekazujemy dane osobowe naszych klientów i przygotujmy stosowne umowy powierzenia tych danych. Jeżeli wykorzystujemy w swojej działalności profilowanie danych (np. dobór reklam w oparciu o aktywność klienta na stronie www), to należy klienta o tym poinformować.

Czy RODO to tylko ryzyko i problemy, czy może szansa na przewagę konkurencyjną?

RODO dla sektora MŚP, w skład którego wchodzi zdecydowana większość optyków w Polsce, to dość duże wyzwanie i pewne ryzyko, ale także szansa dla tych podmiotów, które zmierzą się z tym zagadnieniem i wdrożą je racjonalnie. Ryzyko wiąże się oczywiście z potencjalnymi ogromnymi karami, które mogą dotknąć podmioty za niedostosowanie się do przepisów. Kary te wymieniane są w milionach euro lub 2%–4% rocznego światowego obrotu przedsiębiorstwa. Zapewne tak wysokie kary nie dotkną nigdy niewielkich przedsiębiorców, ale ich potencjalny poziom przeraża. Wdrożenie RODO jest też oczywistym kosztem i kolejnym obowiązkiem, a jak wiadomo każdy kolejny obowiązek w niewielkim podmiocie jest uciążliwy. Przedsiębiorcy słyszą w Polsce od wielu lat o deregulacjach i ułatwieniach, tymczasem realia są zupełnie odwrotne. Każde zmiany niosą jednak pewne sposobności do rozwoju i to też trzeba zauważyć przy okazji RODO. Koszty poniesione na modernizację infrastruktury informatycznej, oprogramowania, porad prawnych i szkoleń można rozpatrywać nie tylko pod kątem problemów i kolejnych wydatków. Niejednokrotnie okaże się, że zauważymy, iż używaliśmy systemów informatycznych, których nie aktualizowaliśmy od lat, a nasz sprzęt komputerowy jest mocno wysłużony, co może wiązać się z dużym ryzykiem awarii i utraty danych, a dodatkowo powoduje powolną i nieefektywną pracę.

Pracodawcy dostrzegą zapewne, że niekiedy pracownicy mieli wgląd do danych, do których nie powinni mieć dostępu. Wielu optyków dostrzeże, jak ważne jest systematyczne archiwizowanie danych. Szansy upatrywać należy również w pewnym uporządkowaniu co do aspektu ochrony danych osobowych. Na pewno ograniczone zostaną mocno praktyki masowego zalewania reklamami odbiorców przez podmioty, które uzyskały dostęp do baz danych osób fizycznych bez ich zgody. Tym samym podmioty, które uczciwie posługują się danymi swoich klientów zyskają. Szansą dla nas wszystkich będzie również okazja do szerszego spojrzenia na ochronę własnych danych, zarówno tych prywatnych, jak również tych firmowych. Może okazać się, że przy okazji RODO wiele podmiotów uświadomi sobie, że informacja jest dziś ważnym towarem, który niekiedy oddawany jest przez nas bezrefleksyjnie za tzw. darmowe usługi lub niewielkie profity (np. niewielki dodatkowy rabat u dostawcy).

Jak nie zmarnować inwestycji, jaką jest pełne wdrożenie RODO, i wejść na kolejny poziom: wypracować strategię zarządzania danymi w salonie optycznym?

Najważniejsze jest dostrzeżenie, w jaki sposób przepływają dane w naszym przedsiębiorstwie. Należy ten przepływ zrozumieć i zabezpieczyć. Nie należy rezygnować z gromadzenia i przetwarzania danych osobowych naszych klientów, ale trzeba to robić zgodnie z RODO. Wdrożenie nowych przepisów na pewno uporządkuje przepływ i zarządzanie danymi. Wielu optyków przy okazji zainteresuje się zarządzaniem nie tylko danymi osób prywatnych, które pozyskuje, ale także zrozumie jak ważna jest ochrona danych gromadzonych w firmie dotyczących na przykład: obrotów, sprzedaży produktów, zyskowności i wielu innych aspektów. Podmioty, które przy okazji wdrożenia RODO zrozumieją jak ważne jest dziś przetwarzanie i gromadzenie danych w przedsiębiorstwie oraz dzielenie się nimi w sposób bardzo ostrożny nie zmarnują kosztów, które przy okazji wdrożenia RODO poniosą.

Jakie oprogramowanie warto mieć, by sprostać przepisom ustawy o RODO? Jakie aktualizacje zainstalować?

Warto zainteresować się aktualizacjami oprogramowania, w którym w jakikolwiek sposób przechowujemy dane osobowe klientów (osób fizycznych). Na pewno będą to systemy do: obsługi sprzedaży, rozliczenia NFZ, prowadzenia gabinetów okulistycznych/optometrycznych, sklepy internetowe itp. Jeżeli na stronie internetowej pozyskujemy dane osób prywatnych w jakikolwiek sposób (np. za pomocą formularza kontaktowego zawierającego: e-mail, imię i nazwisko) to zaktualizujmy stronę o odpowiednią klauzulę informującą po co zbieramy te dane. Dodatkowo w sytuacji, gdy będziemy modernizować naszą infrastrukturę informatyczną, to przy okazji zadbajmy o aktualne: systemy antywirusowe, zapory sieciowe, systemy operacyjne. Warto też pomyśleć o centralnych magazynach istotnych danych w firmie. Może to być serwer lub magazyn sieciowy NAS. Zainteresujmy się oprogramowaniem do szyfrowania danych. Nie należy też oczywiście przesadzać. Środki techniczne powinny być dobrane adekwatnie do wielkości prowadzonej działalności. Nie ma potrzeby zakupu serwera do niewielkiego podmiotu, w którym użytkujemy np. jeden komputer. Warto jednak w takim przypadku zabezpieczyć dane na tym komputerze (np. poprzez ich zaszyfrowanie), zadbać o archiwizację danych i zakupić dobry system antywirusowy.

W kwestii przesady w drugą stronę, to jeżeli nasz podmiot posiada kilka stanowisk do pracy w sieci, albo nawet kilka oddziałów, a my próbujemy oprzeć to wszystko na sprzęcie i systemach, które pamiętają poprzednią dekadę, to także nie jest to dobry pomysł. Nie bagatelizujmy kwestii sprzętu sieciowego. Podmioty, które planują budowę, albo rozbudowę istniejącej sieci komputerowej powinny zakupić osprzęt sieciowy (routery, karty sieciowe, anteny, rejestratory, magazyny NAS) gwarantujący bezpieczeństwo, szybkość i stabilność działania. Do celów archiwizacji ważnych danych w małym podmiocie możemy zakupić dysk przenośny, który będziemy przechowywać w bezpiecznym miejscu, a w większych podmiotach należy zwrócić uwagę na zautomatyzowanie kopii bezpieczeństwa istotnych danych na wielu nośnikach, gdzie jedną z kopii może być np. praca w trybie lustrzanym na dwóch dyskach na naszym serwerze tzw. RAID 1.

 


Polub i udostępnij
  •  
  •  
  •  

Polecamy