Ogólne rozporządzenie o ochronie danych (RODO) stosowane jest od 25 maja 2018 roku, jednak mimo tego wielu przedsiębiorców nadal popełnia te same błędy dotyczące RODO, które niestety mogą okazać się kosztowne. Praktyka pokazuje, że niewłaściwe lub niepełne wdrożenie wymogów wynikających z przepisów RODO może prowadzić do poważnych konsekwencji, w tym finansowych, wizerunkowych i prawnych.
Najczęstsze błędy dotyczące RODO popełniane przez przedsiębiorców
Poniżej przedstawione zostały najbardziej typowe błędy związane z ochroną danych osobowych wraz z sugestiami, w jaki sposób można ich unikać.
Błąd 1. Brak odpowiednich zabezpieczeń technicznych i organizacyjnych służących ochronie danych osobowych
Nieodpowiednie zabezpieczenie danych osobowych to problem, który dotyczy wielu podmiotów, zarówno administratorów danych, jak i podmiotów przetwarzających. Problem ten wynika często z systemowych zaniedbań po stronie podmiotów, które przetwarzają dane osobowe w ramach prowadzonej działalności. Typowym przykładem takiego zaniedbania jest brak przeprowadzenia oceny ryzyka, wymaganej przez art. 24 ust. 1 RODO i art. 32 RODO.
Brak takiej analizy, którego konsekwencją jest niedostosowanie technicznych i organizacyjnych środków ochrony danych osobowych do występujących zagrożeń, sam w sobie stanowi naruszenie przepisów RODO. Poza tym w takich przypadkach zdecydowanie zwiększa się ryzyko wystąpienia naruszeń ochrony danych osobowych, które mogą skutkować w szczególności utratą ich poufności lub dostępności, o czy boleśnie przekonało się już wiele firm.
Warto przy tym pamiętać, że Prezes UODO nie nakłada administracyjnych kar pieniężnych za sam fakt wystąpienia naruszenia ochrony danych osobowych, które może zdarzyć się w każdej organizacji, ale właśnie za brak adekwatnych technicznych lub organizacyjnych środków ochrony danych osobowych.
Błąd 2. Brak pełnej identyfikacji procesów przetwarzania danych osobowych
Brak zidentyfikowania wszystkich procesów przetwarzania danych osobowych wbrew pozorom nie jest zjawiskiem rzadkim. Występuje on zarówno w małych, jak i w dużych podmiotach, zwłaszcza o złożonej strukturze organizacyjnej, które zatrudniają wiele osób. Brak identyfikacji występujących w organizacji procesów przetwarzania danych osobowych znacząco utrudnia, a niekiedy wręcz uniemożliwia prawidłowe spełnienie wymogów wynikających z RODO. Jeśli procesy przetwarzania danych osobowych w organizacji nie zostaną odpowiednio zidentyfikowane i zagregowane nie jest m.in. możliwe opracowanie rejestru czynności przetwarzania.
Błąd 3. Brak odpowiednich polityk i procedur
RODO (w przeciwieństwie do poprzednio obowiązujących przepisów) nie wprowadza wprawdzie obowiązku posiadania określonej dokumentacji, niemniej jednak w praktyce spełnienie wielu wymogów wynikających z RODO bez odpowiednich polityk i procedur nie jest możliwe. Warto pamiętać też, że na obowiązek wdrożenia tego typu dokumentacji pośrednio wskazuje art. 24 ust. 2 RODO. Zgodnie z tym przepisem, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
Brak stosownej dokumentacji znacząco utrudnia także wykazanie rozliczalności (art. 5 ust. 2 RODO). W praktyce trudno wyobrazić sobie sprawne spełnienie obowiązków związanych np. z naruszeniami ochrony danych osobowych, które w ciągu 72 godzin od stwierdzenia naruszenia należy zgłaszać do organu nadzorczego, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Czytaj więcej: Dlaczego należy wprowadzić procedurę reagowania na incydenty dotyczące ochrony danych osobowych
Błąd 4. Brak szkoleń wewnętrznych
Osoby zaangażowane w procesy przetwarzania danych osobowych powinny być nie tylko formalnie upoważnione do takich czynności, ale również powinny zostać odpowiednio przeszkolone. Obowiązek szkolenia personelu uczestniczącego w operacjach przetwarzania jest jednym z głównych zadań inspektora ochrony danych. Niezależnie od tego, czy taki inspektor został powołany, stosowne szkolenia powinien zapewnić i tak administrator danych. Szkolenie personelu (zarówno wstępne, jak i okresowe) jest niewątpliwe jednym z istotnych środków organizacyjnych służących zapewnieniu odpowiedniego poziomu ochrony danych osobowych. Warto pamiętać, że błąd ludzki stanowi w praktyce jedną z głównych przyczyn naruszeń ochrony danych osobowych. Nie wszystkich błędów da się uniknąć, jednak odpowiednie przeszkolenie personelu może znacząco wpłynąć na zmniejszenie częstotliwości ich występowania.
Błąd 5. Nieprzygotowanie organizacji na realizację praw podmiotów danych
Właściwe reagowanie na żądania kierowane przez osoby, których dane dotyczą, sprawia kłopoty wielu administratorom danych. Problemem jest nie tylko respektowanie przysługujących podmiotom danych uprawnień, ale również terminowe udzielanie odpowiedzi (zgodnie z art. 12 ust. 3 RODO odpowiedzi powinny być udzielane, co do zasady, w terminie miesiąca). Wiele organizacji nie jest odpowiednio przygotowanych na realizację praw podmiotów danych, co skutkuje nierespektowaniem przysługujących takim osobom uprawnień lub odpowiadanie takim osobom z opóźnieniem.
Błąd 6. Brak odpowiedniej weryfikacji podmiotów przetwarzających dane
W motywie 81 RODO jednoznacznie wskazano, że należy korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. W dobie szeroko wykorzystywanego outsourcingu usług wiele kluczowych operacji przetwarzania danych osobowych realizowanych jest w praktyce poza strukturami administratora. Może to dotyczyć bardzo różnych czynności, takich jak obsługa informatyczna, obsługa procesów marketingowych, HR, etc. Niestety nie wszyscy administratorzy odpowiednio weryfikują podmioty przetwarzające dane zarówno przed nawiązaniem współpracy, jak i w trakcie jej trwania. Nawet jeśli jakaś weryfikacja jest w praktyce przeprowadzana, to nie zawsze ma ona charakter sformalizowany.
Administratorzy nie zawsze mają przy tym świadomość, że umowne powierzenie przetwarzania danych osobowych podmiotowi zewnętrznemu nie zwalnia ich z obowiązku zapewnienia ochrony danych osobowych, w tym nadzoru nad takimi podmiotami.
Błąd 7. Brak odpowiednich umów powierzenia przetwarzania danych osobowych
Art. 28 RODO jednoznacznie wskazuje, że powierzenie przetwarzania danych osobowych musi być uregulowane umową lub innym instrumentem prawnym. W przypadku procesów związanych z powierzeniem przetwarzania danych osobowych z reguły zawierane są umowy, które regulują te kwestie. Dbają o to bowiem nie tylko administratorzy danych, ale również podmioty przetwarzające, które świadczą na rynku różnego rodzaju wyspecjalizowane usługi związane z przetwarzaniem danych osobowych.
Nadal jednak zdarzają się w praktyce przypadki, w których umowy powierzenia przetwarzania danych osobowych nie są w ogóle zawierane lub też nie spełniają one wymogów określonych w art. 28 ust.3 RODO (przykładowo nawet obecnie umowy zawierają niekiedy postanowienia dotyczące powierzenia przetwarzania danych osobowych odnoszące się do poprzedniego stanu prawnego, tj. do nieobowiązującej już ustawy o ochronie danych osobowych z 1997 roku). W takich przypadkach bardzo łatwo wykazać jest niezgodność z RODO w razie kontroli. Warto pamiętać przy tym, że odpowiedzialność za taki stan rzeczy może ponieść zarówno administrator, jak i podmiot przetwarzający.
Czytaj więcej: Powierzenie przetwarzania danych osobowych – jakie obowiązki są związane z tym procesem
Błąd 8. Przechowywanie danych osobowych „na zapas”
Brak właściwej retencji danych osobowych jest w praktyce jednym z często spotykanych problemów. Wiele organizacji przechowuje dane „na wszelki wypadek”, nawet jeśli nie znajduje to uzasadnienia (np. po upływie okresu przedawnienia potencjalnych roszczeń). Zasada ograniczenia czasowego przechowywania danych (art. 5 ust. 1 lit. e RODO) pozostaje też jedną z najbardziej niezrozumianych zasad przez laików. W efekcie wiele organizacji albo ma problem z ustaleniem właściwych okresów przechowywania danych osobowych (przyjmując okresy zbyt długie lub zbyt krótkie) albo w ogóle takich okresów nie ustala.
Błąd 9. Nieprawidłowe zgody (zwłaszcza zgody marketingowe)
Wiele podmiotów działających na rynku ma problemy z właściwym zbieraniem/stosowaniem zgód na przetwarzanie danych osobowych. Do najczęstszych błędów związanych ze zgodami należy zaliczyć:
- zbieranie zgód, które w ogóle nie są potrzebne (np. w sytuacji, gdy przetwarzanie danych osobowych jest niezbędne co celów zawarcia i realizacji umowy);
- łączenie zgód, które powinny być udzielane osobno (np. zgód na różne cele przetwarzania danych osobowych lub zgód na przetwarzanie danych osobowych ze zgodami na marketing bezpośredni z wykorzystaniem konkretnych kanałów komunikacji elektronicznej/telefonicznej);
- zbieranie zgód, które nie spełniają wymogów przewidzianych w RODO (tj. nie są dobrowolne, konkretne, świadome i jednoznaczne);
- brak wyodrębnienia zgód i zamieszczanie zgód w treści innych dokumentów (np. regulaminów, umów, itp.);
- utrudnianie lub uniemożliwienia wycofania raz udzielonej zgody.
Błąd 10. Nieaktualne lub nieczytelne klauzule informacyjne/polityki prywatności
Wiele podmiotów wprowadziło klauzule informacyjne lub polityki prywatności przy okazji rozpoczęcia stosowania RODO, ale od tamtej pory nie aktualizowało tych treści. To niestety dosyć powszechny błąd. Trzeba pamiętać, że działalność każdego podmiotu zmienia się z czasem, co może dotyczyć także realizowanych procesów przetwarzania danych osobowych (np. pojawiają się nowe narzędzia, dostawcy, cele przetwarzania danych osobowych, etc.)
Poza tym w trakcie prowadzenia działalności mogą powstawać zupełnie nowe procesy przetwarzania danych osobowych, które wymagają opracowania nowych klauzul informacyjnych, co nie zawsze udaje się wychwycić w toku prowadzonej działalności.
Powszechnym problemem jest poza tym stosowanie klauzul, które są nieprzejrzyste, ogólnikowe lub zawierają niespójne informacje.
Błędy dotyczące RODO – Jak ich unikać ?
Każda organizacja powinna na bieżąco monitorować procesy przetwarzania danych osobowych realizowane w ramach prowadzonej działalności. Trzeba mieć także na uwadze, że nie jest możliwe „jednorazowe” wdrożenie RODO w organizacji (np. przeprowadzenia oceny ryzyka w celu doboru adekwatnych środków ochrony danych osobowych nie ma charakteru jednorazowego, tylko ciągły). Szczególnej uwadze powinny podlegać przy tym modyfikacje istniejących procesów przetwarzania danych osobowych lub wprowadzenie procesów nowych. Pomóc mogą także regularne przeglądy stosowanych klauzul, polityk oraz funkcjonujących procedur i zawieranych umów, które powinny zminimalizować stosowanie nieaktualnej dokumentacji.
Zalecane jest także, aby każda organizacja raz na jakiś czas przeszła kompleksowy audyt dotyczący ochrony danych osobowych. Taki audyt może przeprowadzić np. inspektor ochrony danych osobowych w ramach obowiązków, o których mowa w art. 38 ust. 1 lit. b RODO. Z uwagi na to, że inspektor ochrony danych osobowych musi realizować też inne spoczywające na nim obowiązki, audyty które on przeprowadza, z reguły mają jednak charakter cząstkowy (np. dotyczą wybranego procesu). Warto zatem rozważyć przeprowadzenie kompleksowego audytu przez niezależny podmiot zewnętrzny, który posiada w tym zakresie niezbędne doświadczenie.
Czytaj więcej: Dlaczego należy przeprowadzić audyt ochrony danych osobowych
Jakie mogą być konsekwencje
Prezes Urzędu Ochrony Danych Osobowych regularnie nakłada administracyjne kary pieniężne za naruszenie przepisów RODO. Tylko w 2024 roku Prezes UODO skorzystał z uprawnienia do zastosowania administracyjnej kary pieniężnej w 22 sprawach, nakładając na 27 podmiotów łącznie 27 administracyjnych kar pieniężnych w całkowitej kwocie 13 907 740,96 zł. Należy także pamiętać o możliwości potencjalnego dochodzenia roszczeń cywilnoprawnych, jeśli w związku z naruszeniem przepisów RODO konkretna osoba fizyczna poniosłaby szkodę majątkową lub niemajątkową.
Poza tym równie bolesna może okazać się utrata zaufania ze strony klientów lub kontrahentów (szkody reputacyjne), czy paraliż organizacji w przypadku niespodziewanego naruszenia związanego z ochroną danych osobowych. Ryzyka naruszeń ochrony danych osobowych nigdy nie da się całkowicie wyeliminować, jednak odpowiednie przygotowanie organizacji, w tym pod kątem organizacyjnym, znacząco zmniejsza ryzyko ich występowania.
Najczęstsze błędy dotyczące RODO – Jak możemy pomóc?
Kancelaria specjalizuje się w praktycznym wdrażaniu wymogów wynikających RODO i ochronie danych osobowych. Pomagamy eliminować najczęstsze błędy dotyczące RODO, które mogą prowadzić do kar finansowych i problemów prawnych.
Oferujemy m. in.:
- audyty zgodności z RODO
- wdrażanie RODO, w tym przygotowywanie niezbędnej dokumentacji
- szkolenia personelu
- bieżące doradztwo prawne w obszarze ochrony danych osobowych
Więcej informacji na temat usług świadczonych przez Kancelarię można znaleźć w zakładce Usługi .
Jeśli jesteś zainteresowany wsparciem prawnym w obszarze ochrony danych osobowych zapraszamy do kontaktu.
