Czy RODO dotyczy grafika?

O czym pamiętać by nie narobić sobie problemów z danymi osobowymi?

Czym jest rejestr czynności przetwarzania danych osobowych?

Czy trzeba mieć zgodę klienta na przetwarzanie jego danych osobowych?

W tym materiale znajdziesz praktyczne wskazówki, jak ogarnąć RODO w pracy grafika.

To czwarty odcinek programu szkoleniowego Prawo dla grafika. Pozostałe poświęcone są następującym tematom:

umowa i współpraca z klientem,
prawo autorskie w pracy grafika,
podatki i rozliczenia.

Spis treści

Pakiet dla grafika

Dodatkiem do programu szkoleniowego jest Pakiet dla grafika, czyli komplet przydatnych dokumentów prawnych, które możesz wykorzystać w swojej pracy.

Bonus dla uważnych

Ten odcinek programu szkoleniowego poświęcony jest RODO.

Jednym z problemów w tym zakresie jest realizacja obowiązku informacyjnego w stosunku do klientów. Szczegółowe informacje w tym zakresie znajdziesz w bonusie dla uważnych.

Oprócz odpłatnego pakietu dla grafika, przygotowałem również nieodpłatny materiał bonusowy uzupełniający program szkoleniowy. Materiał bonusowy obejmuje:

postanowienia umowne ograniczające prawo do poprawek,
wzór wezwania do zapłaty, gdy klient nie chce płacić,
postanowienia umowne przenoszące autorskie prawa majątkowe,
informacje dotyczące 50% KUP,
dokument RODO do przekazywania klientom przy zawieraniu umowy.

Materiał bonusowy dostępny jest wyłącznie dla subskrybentów newslettera.

Jeżeli jesteś już na liście, materiał wysłałem do ciebie wraz z informacją o tym odcinku.

Jeżeli jeszcze się nie zapisywałeś do newslettera, zrób to teraz, a jako prezent powitalny otrzymasz omówiony powyżej materiał bonusowy.

Wideo do oglądania

Program szkoleniowy Prawo dla grafika został nagrany w formie wideo. Jest to zapis rozmowy z projektantem graficznym, Michałem Łuczakiem, który zadaje konkretne, praktyczne pytania poświęcone kluczowym kwestiom prawnym w pracy grafika.

Wszystkie materiały wideo na moim kanale w serwisie YouTube. Poniżej widzisz natomiast okno z tym odcinkiem.

W dalej części dostępny jest również podcast do odsłuchu oraz tekst do czytania, w zależności, co wolisz.

Podcast do słuchania

Jeżeli słuchasz podcastów i taka forma jest dla ciebie lepsza niż tekst, zapraszam cię do odsłuchu 43. odcinka podcastu „Prawo dla kreatywnych”, który poświęcony jest RODO w pracy grafika.

Niestety, ale wybrałeś/aś brak obsługi Soundcloud w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu odtwarzacz.

Wszystkie pozostałe odcinki podcastu „Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Tekst do czytania

Dla twojej wygody udostępniam ci również zapis tekstowy rozmowy. Jeżeli wolisz słowo pisane, możesz w wygodny dla siebie sposób przyswoić interesującą cię wiedzę.

Prawo dla grafika - wersja tekstowa — Zdjęcie autorstwa picjumbo.com z Pexels.

Czy RODO dotyczy grafika?

Michał: Przyznam szczerze, że jako grafik nie interesowałem się RODO. Słyszałem o wejściu w życie tego aktu, ale nie wiedziałem w jaki sposób to może mnie dotyczyć.

Jak to zatem jest? Czy RODO dotyczy nas grafików?

Wojciech: Nie dziwi mnie to, ponieważ wielu przedsiębiorców nie zdaje sobie sprawy z RODO.

Ochrona danych osobowych jest przez wiele osób marginalizowana, ponieważ zakładają oni, że współpracując wyłącznie z firmami, nie muszą się przejmować. Nie jest to prawda, co za chwilę postaram ci się pokazać.

Gdzie widzę dane osobowe u grafików?

Aby odpowiedzieć na to pytanie należy przeanalizować kilka kwestii.

Czy kontaktujesz się z klientami prywatnymi tj. innymi niż spółki?
Czy piszą do ciebie osoby z zapytaniami np. o możliwość stworzenia logo?
Czy zawierasz z nimi jakieś umowy, zlecenia?

Jeżeli tak, to pojawiają się w twojej pracy dane osobowe.

W związku ze wskazanymi czynnościami zbierasz chociażby takie dane jak:

imię,
nazwisko,
e-mail,
numer telefonu,
informacje o prowadzonej działalności gospodarczej.

To wszystko są dane osobowe. Nie uciekniesz od nich.

Czy teraz widzisz już gdzieś dane osobowe w swojej działalności?

Dane osobowe w pracy grafika

Michał: Faktycznie, dane osobowe jednak pojawiają się w mojej pracy. Są to na pewno dane klientów.

Jeżeli prowadzę bloga, to zakładam, że dane podane w komentarzach również się tutaj mieszczą, zgadza się?

Wojciech: Dokładnie, system komentarzy to również dobry przykład zbierania danych osobowych.

Jeżeli ktoś zostawia komentarz, to najczęściej zostawia również swój e-mail oraz imię, rzadziej nazwisko.

Sam fakt podania adresu e-mail uzasadnia założenie przetwarzania danych osobowych, ponieważ nie jesteśmy w stanie z góry założyć, że ktoś nie poda takiego adresu, który pozwoli na jego identyfikację.

System komentarzy a dane osobowe — Nawet tak banalna rzecz jak komentarze podlega pod RODO.

W tym miejscu warto zaznaczyć, że mówiąc o danych osobowych, mamy na myśli informacje, które pozwalają na identyfikację osoby.

Wobec tego, dużo informacji, które posiadasz, nie stanowi danych osobowych.

Przykładowo, za dane osobowe nie można uznać adresów e-mail typu biuro@xyz.com lub firma@gmail.com, natomiast takimi danymi może być już adres jan.kowalski@gmail.com.

Chociaż tutaj też można dyskutować, ponieważ ilu jest Janów Kowalskich? Jednakże, jeżeli pan Jan jest twoim klientem i podaje ci swoje dalej idące dane do wystawienia faktury, to niewątpliwie dane osobowe przetwarzasz.

Dane osobowe na Facebooku

Michał: Czy prowadząc grupę na Facebooku również przetwarzam dane osobowe?

Wojciech: Facebook to jeszcze dalej idący przykład niż komentarze, bo o ile już same komentarze mogą wydać się niektórym abstrakcyjnym przykładem zbierania danych osobowych, o tyle Facebook może być zupełnie niezrozumiały.

Bardzo łatwo założyć, że skoro wszystkie czynności przetwarzania odbywają się w ramach serwisu społecznościowego, to na mnie nie spoczywają żadne obowiązki. Nie jest to jednak prawdą.

Trybunał Sprawiedliwości UE stwierdził, że każdy kto prowadzi fanpage w celach związanych z prowadzoną działalnością, jest współadministratorem danych osobowych razem z Facebookiem.

Facebook a dane osobowe — Prowadzisz fanpage? Pamiętaj o RODO.

Zatem jeżeli prowadzisz fanpage lub grupę, to masz dostęp do danych osobowych użytkowników obserwujących cię.

Naturalnie wydaje się, że takie przetwarzanie danych nie podlega żadnym regulacjom, ale jednak w świetle orzeczenie trybunału, należy tutaj stosować RODO.

Przygotowując dokumentację z zakresu ochrony danych osobowych dla naszych klientów, wyodrębniamy osobną czynność przetwarzania jaką jest obsługa mediów społecznościowych.

Dane osobowe a regulamin konkursu

Michał: Dosyć często spotykam się z tym, że dla konkursów organizowanych w social mediach udostępniany jest regulamin. Czemu tak jest? Czy to potrzebne?

Wojciech: W konkursach również pojawia się wątek danych osobowych, ponieważ każdy konkurs wiąże się ze zbieraniem danych uczestników.

Ciężko wyobrazić sobie konkurs, w którym można zgłosić udział, a organizator nie wiem, kim jest uczestnik.

Organizator konkursu praktycznie zawsze będzie przetwarzał dane osobowe, stąd m.in. regulamin i stosowne postanowienia w tym zakresie.

Ciebie, jako grafika zakładam, że ten problem nie dotyczy, ponieważ nie organizujesz konkursów, ewentualnie w nich uczestniczysz.

Nawet jeżeli tylko uczestniczysz w konkursie, zawsze warto zwrócić uwagę na wątek informacyjny. Należy sprawdzić w regulaminie jakie dane są przetwarzane oraz w jakim celu.

Zalecam również upewnić się, czy aby nie umieszczono w regulaminie zgody na marketing lub przekazywanie danych do podmiotów trzecich.

Często konkurs jest wpisany w szerszą kampanię, w której chodzi o zebranie dużej puli danych osobowych, tak aby później móc kierować do osób przekaz marketingowy lub sprzedawać dane dalszym podmiotom.

Konkurs a dane osobowe — Bierzesz udział w konkursie? Sprawdź, co dzieje się z twoimi danymi.

Zdarza się zatem, że konkurs na Facebooku wiąże się z dalszymi działaniami marketingowymi, co zdecydowanie wymaga uwagi ze względu na RODO.

Jak zabezpieczyć się pod kątem RODO?

Michał: Ustaliliśmy, że zbieram dane swoich klientów oraz osób komentujących. Co teraz mogę praktycznie zrobić, aby się zabezpieczyć pod względem RODO?

Wojciech: Bardzo mnie cieszy, że pytasz o aspekt praktyczny, ponieważ nie chciałbym teraz przerabiać całego wdrażania ochrony danych osobowych.

Ponadto, nie będę omawiał wszystkich środków bezpieczeństwa jakie powinna zaimplementować wielka korporacja, tylko skupię się na mikroprzedsiębiorcy.

Przede wszystkim, RODO ma na celu zapewnienie, że dane są bezpieczne.

Pierwszy praktyczny krok to sprawdzenie, czy narzędzia, w których przetwarzasz dane rzeczywiście są bezpieczne.

To wydaje się trywialne i banalne, ale zaskakująco dużo przedsiębiorców nadal korzysta z poczty wp, interie, buziaczek itp. dla przechowywania i prowadzenia korespondencji z klientami.

Przypominam, że takie poczty z założenia nie są bezpieczne, ponieważ sam ich regulaminem wskazuje, iż poczta może skanować wiadomości w celu tworzenia profili marketingowych.

Poza samą pocztą, często wydaje się przedsiębiorcom, że ich dane znajdujące się na notebooku są bezpieczne, ponieważ nikt inny z niego nie korzysta.

Spójrzmy przykładowo na case wycieku danych zgromadzonych na notebooku wykładowcy SGGW. Początkowo niektórzy bagatelizowali sprawę mówiąc, że to ledwie kilka arkuszy w excelu, a później mieliśmy aferę o skali ogólnopolskiej.

Okazało się, że wyciekły PESEL-e, adresy, dane studentów.

Wobec tego, jeżeli masz jakieś sprzęt, w którym przetwarzasz dane osobowe, to warto pomyśleć o jego zabezpieczeniu.

Notebook a bezpieczeństwo danych osobowych — Twoja firma to twój notebook? Tym bardziej zachowaj ostrożność.

Rekomendowane jest szyfrowanie dysków, stworzenie silnych haseł, wprowadzenie dwuskładnikowego logowania tam gdzie to możliwe.

Jeżeli używasz działających w chmurze systemów do fakturowania lub CRM, dobrze jest stosować dwuskładnikowe logowanie.

Jak wdrożyć RODO?

Wojciech: Wdrażając środki zabezpieczenia danych musimy odpowiedzieć sobie na dwa pytania – jak mogę dane zabezpieczyć oraz jak mogę to opisać.

Właśnie na etapie opisu będziemy mogli wykazać się wszystkich środkami, które wdrożyliśmy. Obowiązki opisu wynikają z zasady rozliczalności opisanej w RODO.

Oznacza to, że musimy być w stanie wykazać w razie kontroli, że odpowiednio zabezpieczamy dane. Możemy to wykazać właśnie przez posiadanie odpowiedniej dokumentacji.

Musimy zatem stworzyć dokumenty, w których opisujemy te nasze środki bezpieczeństwa, wskazujemy czynności przetwarzania, tworzymy rejestry, zasady przetwarzania.

Generalnie, tworzymy dokumentację, która ma zapewnić nam możliwość wykazania dopełnienia obowiązków z RODO.

Komplet dokumentacji RODO dla grafika wchodzi w skład Pakietu dla Grafika.

Mówiąc o dokumentacji RODO nie mogę nie powiedzieć o tym, że wielu przedsiębiorców ma pokusę ograniczyć wdrożenie RODO do zakupu od prawnika odpowiedniej dokumentacji, wydrukowanie jej i zakończenie na tym.

Moje ulubione zapytanie oferta to „Panie Wojtku, ja bym chciał kupić RODO”.

Nie sprzedaję RODO, ale oferuję realną pomoc przy wdrażaniu procedur ochrony danych osobowych.

Dokumentacja ochrony danych osobowych — Papier przyjmie wszystko, ale nie o to chodzi.

Na pierwszym etapie wdrażamy środki bezpieczeństwa, a dopiero później je opisujemy.

Z punktu widzenia RODO sama dokumentacja, za którą nie idą realne środki bezpieczeństwa, jest nic nieznacząca.

Jak zrobić i zapomnieć?

Pytałeś o to, co zrobić, aby mieć spokój. Takie jest generalne podejście wielu osób – zrobić i móc o tym zapomnieć.

Niestety odpowiedź jest mało pocieszająca. RODO to akt prawny, który ma stałą treść, ale ochrona danych osobowych nieustannie ewoluuje. To, że coś dzisiaj jest aktualne, nie znaczy, że również takie będzie za kilka miesięcy.

Może się zdarzyć, że dołożysz nowe narzędzia, zatrudnisz kolejne osoby mające dostęp do danych, przeniesiesz swoje biuro.

To wszystko musi się znaleźć w dokumentacji. RODO polega na nieustannym myśleniu, co jeszcze możesz zrobić lepiej, jak jeszcze możesz to wszystko dopracować.

Pisałem o tym szczegółowo tutaj: Nie wystarczy raz wdrożyć RODO.

RODO „na zewnątrz”

Wojciech: To co dotąd omówiliśmy dotyczyło tzw. „strefy wewnętrznej”. Tłumacząc klientowi te zagadnienia, zawsze wyróżniam dwie sfery wdrożenia RODO:

sfera wewnętrzna,
sfera zewnętrzna.

Ta wewnętrzna jest dużo bardziej pracowita i nie należy o niej zapominać.

Natomiast warstwą zewnętrzną powinien się zainteresować absolutnie każdy.

Sfera zewnętrzna to to, co widzą osoby, których dane przetwarzasz.

Spójrzmy na to na konkretnym przykładzie, to powinno lepiej wyjaśnić zagadnienie.

Przychodzi do ciebie klient, zawierasz z nim umowę i w związku z tym otrzymujesz jego dane. Musisz przetwarzać te dane, aby móc zrealizować umowę, jest to niezbędne m.in. dla komunikacji.

Wobec tego spoczywa na tobie obowiązek informacyjny, czyli poinformowanie klienta co z jego danymi się dzieje. Może się to wydawać abstrakcyjne, ponieważ zakładamy, że klient wie, co robimy z jego danymi.

RODO jednak nakłada formalny obowiązek informacyjny. Nie będę teraz szczegółowo analizował, co musi się znaleźć w tym obowiązku, ponieważ wszystko już opisałem na swoim blogu. Zachęcam do zapoznania się: Obowiązek informacyjny – czym jest i jak go zrealizować?

Co więcej, szablon obowiązku informacyjnego zawarty jest w bonusie dla uważnych.

Prawo dla grafika – materiał bonusowy

W ramach nieodpłatnego materiału bonusowego do programu szkoleniowego znajdują się szczegółowe informacje dotyczące realizacji obowiązku informacyjnego, wraz z szablonem odpowiedniego dokumentu.

Jeżeli jesteś subskrybentem newslettera, powinna już być u ciebie wiadomość z dodatkiem. Jeżeli jeszcze nie jesteś na mojej liście, zapisz się teraz, a otrzymasz dodatkowy dokument prosto na swoją skrzynkę e-mail.

Chciałbym jednak wyraźnie zaznaczyć ogólną zasadę, że w każdym momencie, w którym zbieramy dane, musimy wykonać obowiązek informacyjny.

Możemy to zrealizować w treści umowy lub poprzez osobny załącznik.

Tworzymy zatem kolejny dokument, który dołączany jest do każdej umowy.

Tak samo jeżeli masz jakąś swoja stronę internetową, to formularz kontaktowy, formularz składania zamówienia lub formularz zapisu do newslettera powinien być opatrzony informacją o przetwarzaniu danych osobowych.

Najczęściej przyjmuje to formę polityki prywatności, która jest podlinkowana w stopce strony lub w odpowiednim miejscu na fanpage. Każdy kto jest zainteresowany może tam zajrzeć.

To samo można zrobić w przypadku wiadomości e-maili. Przykładowo, w naszej kancelarii funkcjonuje to w ten sposób, że w każdym mailu jest informacja „Dane przetwarzane są na zasadach opisanych w polityce prywatności”.

Zdaję sobie sprawę, że to sztuka dla sztuki i nikt tego nie czyta. Natomiast gdyby ktoś chciał mi zaszkodzić, to mógłby mówić, że zajmuję się danymi osobowymi, a sam się nie stosuję do zaleceń.

W związku z tym nie zapominajmy o formalnościach i starajmy się mieć dobrze przygotowaną politykę prywatności na stronach lub inne dokumenty z obowiązkiem informacyjnym.

Grafik jak podmiot przetwarzający

Wojciech: Twój naturalny odruch był taki, że nie przetwarzasz danych osobowych.

Chciałbym zwrócić uwagę, że może być tak, że nie tylko przetwarzasz dane klienta, ale również dane przekazane ci przez klienta.

Przykładowo, klient dostarcza ci listę pracowników, dla których masz stworzyć wizytówki.

Inny przykład, uzyskujesz dostęp do danych zgromadzonych na stronie w związku z realizacją projektu dla tej strony.

Wtedy powstaje relacja, w której nie jesteś administratorem względem przekazanych danych, ale działasz jako podmiot przetwarzający.

Wynika to z tego, że nie przetwarzasz tych danych w swoich celach, ale w tych wskazanych przez klienta.

Dla regulacji takiego stosunku z klientem musisz zawrzeć umowę powierzenia danych osobowych.

Jest to kolejna formalność, ale wspominam o tym, aby grafik nie był zdziwiony, gdy nagle klient, w szczególności duże korporacje, przy projekcie stworzenia wizytówek prześle draft umowy powierzenia danych.

Taki klient może również przesłać ankietę dla podmiotu przetwarzające, tak aby móc stwierdzić, czy dajesz odpowiednie gwarancje zabezpieczenia danych.

Wykorzystanie chmury przez grafika

Działa to również w druga stronę. Jeżeli korzystasz z rozwiązań chmurowych do przechowywania plików, np. Dropbox lub Google Drive, to również prawdopodobnie powierzasz dane osobowe.

Taka sytuacja będzie zachodziła, gdy do chmury wprowadzisz dokumenty zawierające dane osobowe.

Decydując się zatem na przekazanie komuś danych osobowych, dokonujesz ich powierzenia podwykonawcy. Należy uregulować ten stosunek poprzez umowę powierzenia danych osobowych.

RODO-szczegóły

Generalnie jest tego wszystkiego bardzo dużo. Myślę, że nie będziemy już wchodzić głębiej, aby nie przytłoczyć odbiorców kursu.

Powiem tylko, że na blogu jest dużo wyczerpujących materiałów poświęconych RODO.

Również w pakiecie grafika, który przygotowałem, znajdą się informacje dotyczące bezpieczeństwa danych osobowych.

Każdy będzie mógł się z tym uporać.

Indywidualna pomoc prawna

Potrzebujesz indywidualnego wsparcia w twojej sprawie? Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

RODO checklista dla grafika

Michał: Czy mógłbyś w ramach podsumowania zebrać to wszystko i powiedzieć w kilku punktach, o co musi zadbać grafik?

Wojciech: Możemy to przedstawić w formie następującej checklisty.

Sprawdź, czy dane są bezpieczne od strony sprzętowej i organizacyjnej.
Stwórz podstawowe dokumenty z zakresu ochrony danych osobowych tj. rejestr czynności przetwarzania, polityka ochrony danych osobowych oraz podobne dokumenty.
Zawrzyj umowy powierzenia z dostawcami narzędzi, w których dane osobowe się znajdują.
Raz na jakiś czas kontroluj aktualność dokumentacji, zalecane jest robienie tego nie rzadziej niż raz w roku.
Wykonuj obowiązki informacyjne przy zbieraniu danych osobowych.

To oczywiście mocne uproszczenie. Komplet dokumentacji pozwalającej na wdrożenie RODO zawarty jest w Pakiecie dla Grafika.

Jeżeli masz jakiekolwiek pytania dotyczące RODO, możesz zadać je w komentarzu poniżej lub przesłać bezpośrednio do mnie na adres wojciech.wawrzak@prakreacja.pl.