Checklista zgodności z RODO – 7 kroków dla pośrednika finansowego

1. Zidentyfikuj, jakie dane przetwarzasz i po co

Przygotuj rejestr czynności przetwarzania – nawet w formie prostego arkusza. Zapisz w nim:

• Jakie dane przetwarzasz (np. dane kontaktowe, dane finansowe, dane osobowe współmałżonka),
• W jakim celu (np. przygotowanie wniosku kredytowego, kontakt z klientem, marketing),
• Na jakiej podstawie prawnej (np. zgoda, obowiązek prawny, wykonanie umowy),
• Jak długo dane są przechowywane i kto ma do nich dostęp.

Ten krok to fundament kontroli UODO – nie warto go pomijać.

2. Zadbaj o podstawy prawne przetwarzania

Nie każde przetwarzanie danych wymaga zgody klienta. Czasem podstawą może być:

• wykonanie umowy (np. zawarcie umowy pośrednictwa),
• obowiązek prawny (np. przechowywanie danych do celów AML, podatkowych),
• uzasadniony interes (np. obrona przed roszczeniami).

Nie zbieraj zgód „na zapas” – to częsty błąd!

3. Zapewnij klauzule informacyjne – przejrzystość przede wszystkim

Każdy klient powinien otrzymać klauzulę informacyjną w momencie zbierania danych – niezależnie od tego, czy doszło do podpisania umowy. W klauzuli powinny się znaleźć:

• dane administratora,
• cele i podstawy przetwarzania,
• prawa osoby, której dane dotyczą,
• informacje o odbiorcach danych i okresie ich przechowywania.

Najlepiej mieć osobny dokument z podpisem lub elektroniczne potwierdzenie jego akceptacji.

4. Zadbaj o bezpieczeństwo danych – fizyczne i cyfrowe

Upewnij się, że:

• komputer, telefon i system CRM mają aktualne zabezpieczenia (antywirus, hasła, dostęp tylko dla Ciebie),
• dokumenty papierowe są zamykane w szafach lub segregatorach z dostępem tylko dla uprawnionych,
• nie wysyłasz danych klientów przez niezabezpieczone kanały (np. zwykły e-mail bez szyfrowania).

Wycieki danych najczęściej wynikają z zaniedbań technicznych, nie ataków hakerskich.

5. Ureguluj relacje z partnerami – umowy powierzenia danych

Jeśli korzystasz z:

• usług księgowości,
• zewnętrznych systemów CRM,
• marketingowców,
• kancelarii prawnych,

musisz podpisać z nimi umowy powierzenia przetwarzania danych. To Ty jako administrator odpowiadasz za ich działania wobec Twoich klientów.

Brak takiej umowy to naruszenie RODO, nawet jeśli partner działa zgodnie z prawem.

6. Zadbaj o realizację praw klientów

Klient ma prawo m.in. do:

• dostępu do swoich danych,
• ich poprawienia,
• żądania ograniczenia przetwarzania,
• usunięcia (w określonych sytuacjach),
• przeniesienia danych.

Miej wzory odpowiedzi i procedury – nie trzeba spełniać każdego żądania, ale trzeba wiedzieć, jak reagować.

7. Opracuj prostą politykę prywatności i procedurę reagowania na naruszenia

Dla własnego bezpieczeństwa przygotuj dokumenty wewnętrzne:

• Politykę prywatności – do wglądu dla klientów (np. na stronie lub w PDF),
• Procedurę zgłaszania naruszeń – czyli co zrobić, gdy np. wyślesz dane omyłkowo do innego klienta.

Brak reakcji lub niezgłoszenie naruszenia może skutkować dotkliwymi karami.

Podstawy prawne i źródła

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000
• Wytyczne UODO i EROD – dostępne na https://uodo.gov.pl

Podsumowanie

RODO to nie jednorazowy obowiązek, lecz proces. Dobrze zorganizowany pośrednik finansowy powinien mieć uporządkowaną dokumentację, świadomość podstaw prawnych i wdrożone minimum procedur ochrony danych. Nasza 7-punktowa checklista może być punktem wyjścia – lub bazą do audytu zgodności. RODO nie musi być koszmarem – wystarczy działać systematycznie.