Upominki i życzenia, czyli świąteczny test dla danych osobowych

Świętowanie w firmie pod rygorem przepisów

Wiele firm wysyła z okazji świąt drobne podarunki klientom, dostawcom, współpracownikom. W takim przypadku RODO obowiązuje w pełni. Trudno bowiem uznać, że jest to działalność niepozostająca w związku z działalnością zawodową lub handlową. Nie zawsze jednak w takich sytuacjach przetwarzamy dane osobowe. Jeżeli przesyłamy czekoladki kontrahentowi, który jest spółką z o.o. czy spółką akcyjną, bez wskazywania konkretnego członka personelu, nie musimy się martwić o RODO. Podobnie jest, gdy adresatem jest np. dział marketingu tej spółki. Inaczej wygląda sytuacja, gdy kontrahent prowadzi jednoosobową działalność gospodarczą – wtedy już operujemy na danych osobowych.

Prezenty wysyłane na adres prywatny…

A co z wysyłką kartki lub podarunku konkretnemu, wskazanemu z imienia i nazwiska członkowi personelu firmy na jego adres prywatny? Tego robić nie powinniśmy. Musimy pamiętać o zasadzie zgodności z prawem, rzetelności i przejrzystości. Zapewne w ramach oficjalnej relacji z kontrahentem wymieniliśmy się danymi osób do kontaktu, np. w umowie.

Zakres tych danych powinien zostać ograniczony wyłącznie do tych niezbędnych do realizacji celów umowy (np. świadczenia określonych usług, realizowania oraz rozliczenia projektów), takich jak: imię, nazwisko, służbowy adres e-mail, służbowy numer telefonu, ewentualnie miejsce pracy rozumiane jako siedziba kontrahenta. Prywatne dane nie powinny znaleźć się na tej liście, a jeżeli pozyskaliśmy je w inny sposób (np. w prywatnej rozmowie o miejscu zamieszkania), nie należy wykorzystywać ich w relacji służbowej.

…i służbowy

Pojawia się dodatkowo pytanie – czy wysyłka podarunku dla wskazanej z imienia i nazwiska osoby na adres służbowy, czyli siedziby spółki jest zakazana? Tu również należy zachować ostrożność. Jeżeli uznamy, że przetwarzanie danych osobowych jest konieczne, musimy określić cel i podstawę prawną. W tym przypadku przetwarzanie danych można by ewentualnie uznać za prawnie uzasadniony interes administratora danych polegający na utrzymywaniu dobrych relacji biznesowych. Powinniśmy się upewnić, czy:

• powiadomiliśmy tę konkretną osobę, jakie jej dane osobowe, w jaki sposób, jak długo i w jakim celu przetwarzamy,
• podtrzymywanie relacji biznesowej zostało ujęte w tej klauzuli informacyjnej.

W przypadku zaangażowania w tym celu innych podmiotów powinni oni zostać wskazani w klauzuli jako procesorzy. Jak widać, nie jest to prosta sprawa.

Miłe gesty i niechciane konsekwencje

„Chcieliśmy być mili, a pracownik kontrahenta po otrzymaniu od nas prezentu zapytał, na jakiej podstawie przetwarzaliśmy jego dane osobowe i komu je przekazaliśmy”. Trudno mu się dziwić – ma do tego prawo. Zwłaszcza, gdy jego dane osobowe pojawią się na spersonalizowanych gadżetach, materiałach z wydarzeń firmowych (np. zawierających zdjęcia), potwierdzeniach wpłaty w akcjach charytatywnych, listach odbiorców przekazanych kurierom i innym dostawcom przygotowującym i doręczającym upominki.

W takich sytuacjach pracownik ma prawo czuć obawy: kto ma dostęp do jego danych, w jakim celu i na jak długo. Telefony od telemarketerów przez najbliższy rok czy informacja o wycieku danych mogą popsuć każdą niespodziankę. Trzeba więc uważać, komu i w jakim celu przekazujemy dane, udzielamy zgód marketingowych, na co się zgadzamy. Poza tym ze względu na wzmożony ruch zakupowy częściej niż zwykle dochodzi do pomyłek. Grudzień to również okres, w którym uaktywniają się oszuści, którzy chcą wyłudzić dane i pieniądze. „Niestety nie mogliśmy doręczyć ci przesyłki. Kliknij w poniższy link, by dowiedzieć się, jak możesz ją odebrać” albo „Czeka na ciebie przesyłka. Link ze szczegółowymi informacjami poniżej”. Brzmi to nie tylko znajomo, ale też niebezpiecznie.

Gdy mikołaj okazuje się phisherem

Warto więc powtórzyć zasady radzenia sobie z phishingiem. Oszuści wykorzystują fakt wzmożonego zamawiania przez nas paczek i związanej z tym dezorientacji (często nie pamiętamy, od jakiego dostawcy i kiedy powinna przyjść dana przesyłka). Dlatego trzeba zachować szczególną czujność.

Zamawiając prezenty dla bliskich, nie należy korzystać ze służbowych skrzynek, a służbowy adres e-mail podawać tylko przy zamawianiu przesyłek służbowych. Nie należy też otwierać maili i załączników, jeśli nie ma się pewności co do nadawcy wiadomości. Otrzymując podejrzaną wiadomość, warto:

1. przeanalizować, czy nadawca i domena są zgodne;
2. sprawdzić, czy e-mail został oznaczony przez system pocztowy tagiem ***SPAM***;
3. zweryfikować, czy występują literówki w adresie e-mail (np. zamiast „m” – „rn”), jak również czy mail jest napisany poprawnie pod kątem językowym (nieodmienione lub nieprzetłumaczone słowa, niepoprawna polszczyzna);
4. zwrócić uwagę, czy wiadomość jest skierowana bezpośrednio do konkretnego nadawcy, czy bardzo ogólnie (np. Drogi Użytkowniku, Drogi Kliencie);
5. przypomnieć sobie, czy np. była zamówiona jakaś przesyłka u tego konkretnego dostawcy;
6. sprawdzić, czy nazwy załączników (bez ich otwierania) nie mają podejrzanie brzmiących nazw i czy linki nie prowadzą do podejrzanych stron (np. stron dotyczących nieposiadanych kont, stron, które nie zaczynają się od: „https://”);
7. zweryfikować rozszerzenie załącznika za pomocą opcji włączenia rozszerzenia plików – najniebezpieczniejsze są np. .vbs, .exe, .msi, .scr, .bat, .com.

Procesorzy jako elfy

Wreszcie ostatnia, ale bynajmniej nie błaha kwestia. Jeżeli przekazujesz dane osobowe innym podmiotom (np. spółce, która zajmuje się kompletowaniem prezentów i ich dostarczaniem wskazanym adresatom), zweryfikuj, czy są to podmioty godne zaufania. Procesorów można określić jako elfy, ale te muszą być rzetelne i odpowiedzialne. Sprawdź, czy nie można zrealizować tego celu bez przekazywania im danych osobowych lub przy ograniczeniu ich do minimum. A jeżeli te dane dotyczą twoich współpracowników lub członków personelu kontrahenta, klienta, podwykonawcy, konieczne jest zawarcie umów powierzenia przetwarzania. Świąteczny nastrój nie zwalnia z tego obowiązku. ©℗