Jesteś na przykład: prezesem, dyrektorem lub kierownikiem działu, który podejmuje codziennie strategiczne decyzje? Zarządzasz zasobami, planujesz rozwój, ale nie wiesz lub zastanawiasz się, czy Twoja organizacja jest zgodna z przepisami RODO? W dzisiejszym świecie, w którym dane osobowe to „nowa ropa”, prawidłowe ich przetwarzanie stało się kluczowym elementem nie tylko etycznego, ale i legalnego prowadzenia działalności. Czy jesteś pewien, że nie ryzykujesz otrzymaniem potężnych kar, utratą reputacji firmy i zaufania klientów?
RODO (Rozporządzenie o Ochronie Danych Osobowych) weszło w życie w 2018 roku, ale wiele firm wciąż zmaga się z jego wdrożeniem. Co więcej, niektóre organizacje uważają, że skoro minęły już cztery lata, „burza” minęła. Nic bardziej mylnego! Przypadki głośnych decyzji nakładających kary pokazują, że nie ma miejsca na zaniedbania.
Fortum Marketing and Sales Polska S.A. została ukarana karą pieniężną w wysokości ponad 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego (2022)
Santander Bank Polska S.A. został ukarany karą pieniężną w wysokości 1 mln 440 tys. zł za brak zgłoszenia naruszenia ochrony danych (2024)
American Heart of Poland SA została ukarana karą pieniężną w wysokości prawie 1,5 mln zł za nieprawidłowe oszacowanie ryzyka dla danych, a także nieprzestrzeganie własnej polityki dotyczącej bezpieczeństwa danych (spółka została zaatakowana przez hakerów, którzy wykradli dane) (2024)
Dlaczego powinno Cię to obchodzić?
Nie chodzi tylko o kary finansowe, które, jak widać, mogą być gigantyczne. W erze cyfrowej naruszenie ochrony danych to atak na reputację Twojej firmy. Klienci coraz bardziej zwracają uwagę na to, jak ich dane są przetwarzane. Coraz częściej zgodność z RODO jest warunkiem podjęcia współpracy z kontrahentem (co na gruncie RODO nie powinno dziwić, gdyż jest to jeden z obowiązków).
Jednak co ważniejsze, zgodność z RODO to nie tylko „koszt”. To inwestycja w zaufanie, które może przynieść korzyści na lata. Organizacje, które traktują ochronę danych jako integralny element swojej działalności, budują silniejsze więzi z klientami i partnerami biznesowymi.
Ale przejdźmy do konkretów. Jak sprawdzić, czy Twoja organizacja jest zgodna z RODO?
1. Czy wiesz jakie dane przetwarzasz?
Zacznijmy od podstaw. Wiele firm nie ma pełnej świadomości, jakie dane osobowe przetwarzają. Czy wiesz, gdzie dokładnie gromadzisz dane, kto ma do nich dostęp i kiedy są usuwane? Przykład z życia: Firma X myślała, że przetwarza tylko dane klientów, ale po audycie okazało się, że przechowuje także dane kandydatów na stanowiska, które były zebrane kilka lat wcześniej. Brak ich usunięcia stanowi naruszenie RODO.
Rada dla Ciebie: przeprowadź dokładny audyt danych osobowych. Zbierz zespół, który zmapuje wszystkie miejsca, w których Twoja firma gromadzi, przechowuje i przetwarza dane. Przetwarzanie niektórych danych (np. dotyczących zdrowia lub finansów) wiąże się na gruncie RODO z koniecznością spełnienia dodatkowych wymogów. To może być zaskakująca lekcja.
2. Czy dysponujesz właściwą podstawą prawną do przetwarzania danych?
RODO jasno mówi, że aby przetwarzać dane, musisz dysponować jedną z podstaw prawnych określonych w RODO. Jedną z częściej stosowanych podstaw jest zgoda osoby, której dane dotyczą, ale czy masz pewność, że każda zgoda, jaką uzyskałeś, jest zgodna z wymogami RODO? Na przykład, zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Jeśli uzyskałeś zgody przed 2018 rokiem, mogą one nie spełniać tych wymogów.
Przykład: duża firma e-commerce w Polsce uzyskała zgody na przetwarzanie danych klientów przed wprowadzeniem RODO, jednak po audycie okazało się, że wiele zgód było zbyt ogólnych, co wymusiło na firmie rewizję całego procesu zbierania danych.
Rada dla Ciebie: upewnij się, że dysponujesz jedną z podstaw przetwarzania, które przewiduje RODO. Dodatkowo upewnij się, że spełniłeś wszystkie wymagania, które RODO przewiduje dla przetwarzania danych na konkretnej podstawie. Przykładowo w przypadku zgody będzie to upewnienie się, że zgoda jest dobrowolna, konkretna, świadoma i jednoznaczna, a w przypadku prawnie uzasadnionego interesu będzie to upewnienie się, że przeprowadzono tzw. test równowagi.
3. Czy zabezpieczyłeś dane osobowe swoich klientów?
Dane osobowe są cennym zasobem, ale także łakomym kąskiem dla cyberprzestępców. RODO kładzie duży nacisk m.in. na zabezpieczenie danych przed nieautoryzowanym dostępem. W ostatnim czasie hakerzy są aktywni bardziej niż zwykle, co zdecydowanie należy uwzględnić w analizach ryzyka i doborze odpowiednich środków bezpieczeństwa.
Rada dla Ciebie: regularnie przeprowadzaj analizę ryzyka, aktualizuj swoje systemy bezpieczeństwa. Zainwestuj w silne mechanizmy uwierzytelniania, szyfrowanie danych i monitorowanie ruchu sieciowego. Cyberprzestępczość nie śpi, a jeden wyciek może spowodować lawinę problemów.
4. Czy masz wdrożone mechanizmy zgłaszania naruszeń?
Jednym z kluczowych wymogów RODO jest konieczność zgłaszania naruszeń ochrony danych osobowych w ciągu 72 godzin od ich wykrycia. Czy Twoja firma ma przygotowany plan działania na wypadek takiego zdarzenia? Bez odpowiedniego przygotowania możesz nie zdążyć spełnić tego wymogu.
Przykład: znana sieć sklepów miała wyciek danych, ale wewnętrzne procedury były na tyle niewystarczające, że zgłoszenie do urzędu nadzorczego nastąpiło dopiero po tygodniu. Firma musiała nie tylko zapłacić karę, ale też mierzyć się z negatywnym PR-em.
Rada dla Ciebie: wprowadź mechanizmy zgłaszania naruszeń oraz regularnie przeprowadzaj szkolenia dla pracowników, aby każdy wiedział co robić w razie wycieku.
5. Czy Twoja firma wie jak reagować na wnioski o realizację praw od osób, których dane dotyczą?
RODO gwarantuje szereg praw osobom, których dane dotyczą – m.in. prawo dostępu, sprostowania, cofnięcia zgody. Czy Twoja firma wie jak realizować te prawa?
Przykład: firma telekomunikacyjna otrzymała wniosek o usunięcie danych od klienta, ale proces ten trwał ponad miesiąc. Klient zgłosił skargę do Urzędu Ochrony Danych Osobowych, co w następstwie skutkowało nałożeniem kary za brak realizacji wniosku podmiotu danych.
Rada dla Ciebie: upewnij się, że w firmie wdrożony został mechanizm rozpatrywania takich wniosków. Upewnij się także że pracownicy rozumieją, jakie są obowiązki na gruncie RODO w związku z takimi wnioskami, a także jakie czynności należy wykonać.
6. Czy regularnie przeprowadzasz audyty zgodności?
Wiele firm zapomina, że wdrożenie RODO to proces ciągły. Świat technologii i regulacji zmienia się dynamicznie, a Twoja firma powinna regularnie przeprowadzać audyty, aby sprawdzić, czy nadal działa zgodnie z przepisami.
Rada dla Ciebie: wdrażaj regularne audyty wewnętrzne oraz zewnętrzne. To najlepszy sposób, aby upewnić się, że Twoje systemy są zgodne z RODO.
RODO – Twój sojusznik, nie wróg
Zgodność z RODO może wydawać się złożonym i czasochłonnym procesem, ale jest kluczowym elementem w budowaniu długotrwałej relacji z klientami i partnerami biznesowymi. W dzisiejszym świecie dane osobowe są na wagę złota. Warto upewnić się, że nasza organizacja przetwarza je zgodnie z prawem, czym z pewnością zyska w oczach klientów i kontrahentów.