RODO (GDPR) jest z nami już od ponad 7 lat, ale nadal wywołuje duże zamieszanie. Oto najczęstsze błędy popełniane przez przedsiębiorców. 

1. Brak realizacji obowiązku informacyjnego

Dlaczego to błąd? RODO nakazuje, aby każda osoba, której dane są przetwarzane, została poinformowana o zakresie, celu i podstawie prawnej tego przetwarzania. W praktyce oznacza to konieczność przekazania klauzul informacyjnych każdemu klientowi, kontrahentowi czy pracownikowi. Wiele małych firm traktuje to jako zbędną formalność.

Wystarczy przypomnieć dwa przypadki. Pierwszy dotyczy firmy Bisnode Polska, która zebrała dane z publicznych rejestrów, ale nie poinformowała ponad 6 mln osób o ich przetwarzaniu. Urząd Ochrony Danych Osobowych wymierzył za to karę 943 470 zł. Firma tłumaczyła, że koszt wysyłki informacji byłby zbyt wysoki. Organ nadzorczy uznał, że koszty nie mogą być usprawiedliwieniem dla naruszenia prawa.

Druga historia zdarzyła się w Hiszpanii – tam agencja marketingowa rozsyłała SMS-y reklamowe, nie informując klientów o źródle pozyskania numerów i celu przetwarzania danych. Kara wyniosła 30 tys. euro.

Wielu przedsiębiorców zapomina, że obowiązek informacyjny nie jest pustym formalizmem. Zaniedbania w tym obszarze oznaczają nie tylko niezadowolenie klientów, ale i wysokie sankcje.

Czytaj także: ​Księgi wieczyste tylko po zalogowaniu. Tak ministerstwo chce chronić dane osobowe

2. Udostępnienie danych osobowych bez zapewnienia bezpieczeństwa

Dane osobowe należy chronić przed dostępem osób nieuprawnionych. Małe firmy często nie mają procedur kontroli dostępu ani świadomości, że publikacja list czy dokumentów w internecie może być poważnym naruszeniem.

Tu przypomnijmy kolejne dwa przypadki. Dolnośląski Związek Piłki Nożnej umieścił na stronie internetowej listę sędziów wraz z numerami PESEL i adresami. UODO wymierzył karę 55 750 zł, uznając, że wrażliwe dane nie mogą być publicznie dostępne.

Zaś na Węgrzech szkoła opublikowała listę uczniów z ocenami i frekwencją. Rodzice złożyli skargę, a organ nadzorczy nałożył grzywnę 15 tys. euro.

Nawet niewielka instytucja, publikując dane w internecie, może narazić się na karę. Brak świadomości, że PESEL czy oceny to dane chronione, bywa częstym błędem.

3. Zaniedbanie bezpieczeństwa technologicznego - wyciek danych klientów

W dobie cyfryzacji podstawowym wymogiem jest wdrożenie odpowiednich zabezpieczeń IT - od szyfrowania, przez aktualizacje, po systemy monitorowania. Dla małych firm bywa to kosztowne, więc często odkładają te inwestycje na później. Skutki bywają katastrofalne.

Szerokim echem odbiła się polska historia portalu morele.net, który padł ofiarą ataku hakerskiego. W jego wyniku ujawniono dane klientów, w tym numery telefonów i adresy e-mail. Kara sięgnęła 2,83 mln złotych.

Zaś fińska Vastaamo (klinika psychoterapii) straciła dane 30 tys. pacjentów. Wyciek obejmował notatki z sesji terapeutycznych, co było szczególnie wrażliwe. Kara wyniosła 608 tys. euro, a firma praktycznie upadła.

Wnioski - brak zabezpieczeń technologicznych to prosta droga do utraty reputacji i bankructwa.

4. Utrudnianie realizacji praw - brak funkcji wycofania zgody

RODO gwarantuje osobom fizycznym prawo do wycofania zgody, dostępu do swoich danych i ich usunięcia. Małe firmy często nie oferują prostych narzędzi (np. linku do wypisania się z newslettera), co jest traktowane jako naruszenie.

O tym zapomniała spółka ClickQuickNow, która nie zapewniła skutecznych mechanizmów wycofania zgody ani prawa do bycia zapomnianym. Kara wyniosła 201 559 zł.

A Carrefour France utrudniał klientom rezygnację z newsletterów i niejasno informował o przetwarzaniu danych marketingowych. Otrzymał karę 2,25 mln euro.

Pamiętać więc należy, że brak prostych narzędzi dla klientów oznacza nie tylko skargi, ale też ryzyko wielomilionowych sankcji.

5. Niewłaściwe relacje z inspektorem danych (DPO) i brak dokumentacji

Prawo nakazuje, żeby inspektor ochrony danych (IOD, DPO) był niezależny i miał realny wpływ na politykę prywatności w firmie. Wiele małych przedsiębiorstw traktuje tę rolę jako formalność, powierzając ją np. informatykom czy księgowym.

Przytoczmy historię Toyota Bank Polska, który umieścił inspektora danych w strukturze IT, co podważało jego niezależność. Dodatkowo nie ujęła profilowania klientów w rejestrach przetwarzania. Kara: 132 tys. euro.

Berliński samorząd zainstalował monitoring w szkołach, nie przeprowadzając oceny skutków przetwarzania danych (DPIA). Kara: 195 tys. euro.

Nie trzeba chyba więcej przykładów, żeby zilustrować jak brak rzetelnej dokumentacji i niezależności DPO prowadzi do wysokich sankcji i utraty zaufania obywateli.

6. Brak nadzoru nad podmiotami przetwarzającymi dane (processor oversight)

Dlaczego to błąd? Firmy często korzystają z usług zewnętrznych dostawców IT czy marketingowych. RODO wymaga, by każdy taki podmiot działał zgodnie z przepisami. Przedsiębiorca odpowiada za ich zaniedbania.

Oto kolejne sprawy:
McDonald’s Polska powierzył dane pracowników zewnętrznej firmie, która błędnie skonfigurowała serwery. Skutkiem był wyciek danych i kara 3,89 mln euro.

Historia z Holandii - Booking.com zapłacił 475 tys. euro za zbyt późne zgłoszenie naruszenia spowodowanego oszustwem partnera hotelowego.

Małe firmy często ufają podwykonawcom w ciemno. To ryzykowna strategia, bo odpowiedzialność spada na zleceniodawcę.

 

Nowość
Bestseller
RODO dla AI
-10%
Nowość
Bestseller
RODO dla AI

Dominik Lubasz

Sprawdź  

Cena promocyjna: 179.1 zł

|

Cena regularna: 199 zł

|

Najniższa cena w ostatnich 30 dniach: 139.29 zł


7. Opóźnione zgłoszenie naruszenia lub brak raportowania

RODO nakazuje zgłaszanie naruszeń w ciągu 72 godzin. Wielu przedsiębiorców nie ma planu awaryjnego i nie wie, jak reagować na incydenty.

Pewna polska instytucja szkoleniowa zbyt późno zgłosiła wyciek danych 50 tys. osób. Kara: 22 200 euro.

Włoski UniCredit Bank spóźnił się ze zgłoszeniem wycieku danych 700 tys. klientów. Kara: 600 tys. euro.

Prawnicy powiedzą to każdemu - brak szybkiej reakcji często zwiększa karę, bo pokazuje brak odpowiedzialności.

8. Niewłaściwe udostępnianie dokumentów i brak kontroli dostępu

Przedsiębiorstwa prywatne (ale nie tylko) często przesyłają dane w prostych załącznikach mailowych albo przez publiczne linki, co prowadzi do utraty kontroli nad nimi. A to prosta droga do nadużyć.

Polski pracownik urzędu wysłał dane mieszkańców do niewłaściwego adresata i nie poinformował UODO. Kara: 40 tys. zł.

Zaś irlandzka firma biurowa udostępniła dane klientów przez publiczny link, który pojawił się na forach internetowych. Kara: 50 tys. euro.

Tak proste błędy ludzkie, jak źle zaadresowany mail, mogą mieć poważne konsekwencje, jeśli firma nie ma zabezpieczeń i procedur.

Podsumowanie: czego unikać, a co stosować

Najczęstsze błędy małych przedsiębiorców to:

  • Niewypełnianie obowiązku informacyjnego
  • Udostępnianie danych osobowych bez zabezpieczeń
  • Utrudnianie realizacji praw osób, których dane dotyczą
  • Brak transparentnych relacji z DPO i dokumentacji
  • Zaniedbanie nadzoru nad podwykonawcami
  • Opóźnienia w zgłaszaniu naruszeń
  • Brak kontroli dostępu do dokumentów

Rekomendacje jak temu przeciwdziałać są relatywnie proste, a oto ich lista:

  1. Informować jasno o przetwarzaniu danych.
  2. Szyfrować i ograniczać dostęp do danych.
  3. Ułatwiać wycofywanie zgód i korzystanie z prawa do usunięcia danych.
  4. Powoływać DPO z realnymi kompetencjami i niezależnością.
  5. Kontrolować podwykonawców i zawierać umowy zgodne z RODO.
  6. Zgłaszać naruszenia w ciągu 72 godzin.
  7. Korzystać z narzędzi umożliwiających śledzenie i cofanie dostępu do dokumentów.

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.