Jeszcze kilka lat temu RODO było uważane przez wielu przedsiębiorców za „chwilową modę” lub biurokratyczną przeszkodę. Dzisiaj już wiemy, że jest to jeden z najważniejszych elementów bezpieczeństwa prawnego w firmie. Niestety w dalszym ciągu kwestia odpowiedniego wdrożenia RODO często jest zaniedbywana.
Z pozoru wszystko wydaje się proste: masz politykę prywatności, politykę ochrony danych osobowych, rejestry i klauzule informacyjne, wprowadziłeś procedury. Problem w tym, że realne błędy w ochronie danych osobowych bardzo rzadko wynikają z braku dokumentów, a częściej z ich niewłaściwego stosowania w codziennej pracy.
A kary za naruszenie RODO potrafią być dotkliwe – nawet do 20 milionów euro lub do 4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Poniżej przedstawiamy 7 najczęstszych błędów, które widzimy w praktyce podczas doradzania przedsiębiorcom oraz sposoby by ich uniknąć.
1. RODO wdrożone „na start” i zapomniane
Wielu przedsiębiorców potraktowało wdrożenie RODO jako jednorazowy projekt.
Jaki jest tego skutek? Firmy posiadają nieaktualne procedury, które są niedostosowane do faktycznego zakresu działalności organizacji, rejestry nie są prowadzone na bieżąco, a pracownicy nie są odpowiednio przeszkoleni z zasad ochrony danych osobowych.
Pamiętać należy, że wraz z rozwojem firmy, wprowadzaniem nowych technologii, poszerzaniem zakresu działalności, niezbędna jest ocena dotychczas posiadanej dokumentacji i procedur oraz ich aktualizacja.
Rozwiązanie: dokonywanie raz w roku przeglądu dokumentacji i procedur RODO oraz ich aktualizacja w przypadku wprowadzenia w firmie zmian (np. wprowadzenie w firmie nowych usług).
2. Brak realnego szkolenia pracowników z zasad RODO
Dokumenty mogą być perfekcyjne, ale jeśli zespół nie zostanie przeszkolony z obowiązujących w firmie zasad ochrony danych osobowych, ryzyko ich naruszenia jest duże.
Przykład z praktyki: pracownik wysłał do niewłaściwego klienta maila, do którego został załączony plik z umową zawierającą dane osobowe innego klienta. Plik z umową nie został zaszyfrowany hasłem, ponieważ pracownik nie wiedział jak go zaszyfrować lub zapomniał, że plik należy zabezpieczyć hasłem. W efekcie dane osobowe zostały ujawnione osobie nieupoważnionej.
Rozwiązanie: szkolenia dla nowych pracowników oraz okresowe, praktyczne szkolenia z zasad ochrony danych osobowych, przeprowadzane zarówno dla nowych jak i dla stałych pracowników.
3. Zbieranie zbyt wielu danych a przepisy RODO
Wielu przedsiębiorców zbiera dane osobowe „na zapas”, bo może się kiedyś przydadzą. Zbieranie danych osobowych bez podstawy prawnej i celu przetwarzania stanowi naruszenie przepisów RODO, w tym narusza zasadę minimalizacji danych i może być podstawą do nałożenia kary finansowej.
Rozwiązanie: zbieraj wyłącznie te dane, które są niezbędne do konkretnego celu biznesowego lub prawnego.
4. Brak procedury w przypadku wycieku danych osobowych
Wyciek danych osobowych może wystąpić zarówno w dużej firmie, jak i u podmiotu prowadzącego jednoosobową działalność gospodarczą. Problem w tym, że wiele firm nie ma przygotowanego planu reakcji na wypadek wystąpienia incydentu ujawnienia danych osobowych.
Rozwiązanie: opracuj procedurę zgłaszania incydentów, wskaż osoby odpowiedzialne za rozpatrzenie zgłoszenia incydentu i terminy, w jakich należy wykonać czynności.
Zgodnie z przepisami RODO, naruszenie ochrony danych osobowych musi zostać zgłoszone do PUODO nie później niż w ciągu 72 h po stwierdzeniu naruszenia.
5. Umowy powierzenia „na kolanie”
Podwykonawca, księgowość, firma IT – jeśli przetwarzają dane osobowe w Twoim imieniu, musisz mieć z nimi zawartą umowę powierzenia przetwarzania danych osobowych. Często w praktyce spotykamy się z sytuacjami korzystania przez firmy ze wzorów umów pobranych z Internetu, które nie zawierają niezbędnych postanowień, a także nie zabezpieczają firmy przed wieloma ryzykami
Rozwiązanie: treść każdej umowy powierzenia zweryfikuj z prawnikiem lub zleć prawnikowi jej przygotowanie, aby mieć pewność, że umowa powierzenia jest dostosowana do zakresu współpracy i zabezpiecza firmę przed ewentualnymi ryzykami.
6. Publiczne udostępnianie danych
Niezamierzone udostępnienie danych osobowych może wystąpić np. na skutek wysłania zbiorczego maila do wielu kontrahentów z widocznymi adresami w polu „Do”. Niby drobiazg, ale to również naruszenie RODO.
Rozwiązanie: stosuj opcję „UDW” (ukryte do wiadomości), szyfruj pliki, używaj bezpiecznych platform wymiany dokumentów.
7. Brak audytu dostawców IT
Przechowujesz dane w chmurze? Korzystasz z systemu CRM? Wiele firm zakłada, że dostawca „na pewno ma wszystko zgodne z RODO”. Czasem dopiero kontrola ujawnia, że serwery są poza UE, o czym wcześniej dostawca nie informował, lub brakuje podstaw prawnych do transferu danych do państw trzecich.
Rozwiązanie: weryfikuj dostawców, pytaj o lokalizację serwerów, certyfikaty bezpieczeństwa i procedury ochrony danych.
Dlaczego RODO jest takie ważne?
RODO to nie tylko ochrona przed karami finansowymi. To także zaufanie klientów, kontrahentów i pracowników. Jedno naruszenie może zniszczyć reputację, którą budowałeś latami.
W praktyce biznesowej najdroższe błędy to te, które można było łatwo przewidzieć i zapobiec im prostymi działaniami. Dlatego stała współpraca z prawnikiem, który monitoruje zgodność firmy z RODO, to nie koszt. To inwestycja w bezpieczeństwo.
RODO w praktyce przedsiębiorcy | Podsumowanie
Wdrożenie RODO nie jest jednorazowym projektem, lecz procesem, który wymaga stałej uwagi. Aktualizowane procedury, świadomy i przeszkolony zespół, a także regularne audyty mogą oszczędzić Tobie problemów, stresu i wysokich kar finansowych.
Jeśli chcesz mieć pewność, że Twoja firma działa zgodnie z RODO, warto powierzyć ten obszar profesjonalistom. To gwarancja nie tylko zgodności z prawem, ale też przewagi konkurencyjnej.
Masz pytania o RODO w swojej firmie? Skontaktuj się z naszą kancelarią. Przeprowadzimy audyt, wskażemy ryzyka i przygotujemy rozwiązania szyte na miarę Twojego biznesu
