Jednym z najczęściej karanych uchybień jest zaniechanie analizy ryzyka – a co za tym idzie, brak odpowiednich środków technicznych i organizacyjnych. To podstawa systemu ochrony danych.

Dobrym przykładem jest sprawa, którą rozstrzygnął PUODO dnia 4 listopada 2024 r. – w dwóch instytucjach miejskich w Kutnie nałożono kary w wysokości 15 000 zł i 20 000 zł za brak właściwych zabezpieczeń technicznych i organizacyjnych. Doszło tam do zgubienia nieszyfrowanego pendrive’a zawierającego dane osobowe ponad 500 osób. Administratorzy nie mieli procedur dotyczących zabezpieczania danych na przenośnych nośnikach, co naraziło dane na poważne ryzyko wycieku.

Co robić?

• Regularnie przeprowadzać analizę ryzyka – uwzględniając nowe procesy i zmiany w środowisku technicznym.
• Dopasowywać środki ochrony do wyników tej analizy – nie każdy proces wymaga tego samego zestawu zabezpieczeń.

Inspektor Ochrony Danych (IOD) to nie tylko formalność. Wciąż jednak zdarza się, że IOD pełni funkcje konfliktowe – np. podlega bezpośrednio osobie decydującej o celach i środkach przetwarzania.

Przykład – Toyota Bank Polska zapłaciła ponad 260 tys. zł kary, bo IOD podlegał dyrektorowi bezpieczeństwa (który równocześnie był jego zastępcą).

Rada:

• IOD musi działać niezależnie. Warto już dziś zweryfikować, czy rzeczywiście jest „wolny od konfliktów”.

Klauzula informacyjna to obowiązek, a jednocześnie – jeden z łatwiejszych elementów do poprawnego wdrożenia. Mimo to wciąż spotykamy błędy, np. brak tłumaczenia na język lokalny (za co firma KASPR została ukarana przez CNIL aż na 240 tys. euro). To pokazuje, że nie wystarczy „mieć klauzulę” – musi ona być zrozumiała i adekwatna.

Praktyczna wskazówka:

• Rekomendujemy zweryfikować, czy klauzule informacyjne w firmie są napisane językiem dostosowanym do odbiorcy.

RODO nie jest „raz na zawsze”. Środowisko prawne, wytyczne organów i zagrożenia ewoluują. Administratorzy często zapominają o tym, że procedury wymagają cyklicznych przeglądów i aktualizacji.

Dla przykładu – sprawa Res-Gastro i kara 240 tys. zł za brak testowania i poprawiania procedur.

Co warto robić?

• Szkolenia – minimum raz w roku, z aktualizacją wiedzy.
• Audyty – cykliczne, najlepiej zewnętrzne, by spojrzeć na procedury świeżym okiem.

Każde przetwarzanie danych musi być legalne – to podstawa. Często jednak administratorzy wybierają „byle jaką” podstawę albo mylą jej zakres.

Jak tego uniknąć?

• Każde przetwarzanie trzeba zacząć od pytania: na jakiej podstawie to robimy?
• Sprawdzić, czy zgoda lub inna przesłanka rzeczywiście obejmuje dany cel.

Zbyt często administratorzy próbują „przemilczeć” incydenty – albo nie doszacowują ryzyka dla osób, których dane wyciekły. Niestety, takie podejście zazwyczaj kończy się wysoką karą. Jak w przypadku MBanku, który za błędną ocenę naruszenia (i brak zawiadomienia klientów) zapłacił aż 4 mln zł.

Co robić?

• Rzetelnie oceniać ryzyko dla osób, których dane dotyczą, a jeśli zajdzie taka potrzeba – zgłaszać.
• Procedura zarządzania naruszeniami powinna być gotowa „na już”.

Siedem lat z RODO to dobry moment, by przyjrzeć się naszym praktykom i upewnić, że unikamy najczęstszych błędów. Choć nie ma organizacji wolnej od potknięć, warto zrobić wszystko, aby zminimalizować ryzyko – zarówno dla siebie, jak i dla osób, których dane przetwarzamy.

W kancelarii od lat wspieramy naszych klientów w budowaniu skutecznych i zgodnych z prawem systemów ochrony danych.

Oferujemy:

✅ audyty RODO dostosowane do specyfiki Twojej działalności,
✅ przygotowanie dokumentacji i procedur,
✅ szkolenia dla pracowników i kadry zarządzającej,
✅ bieżące doradztwo w trudnych przypadkach.

Porozmawiajmy już dziś o tym, jak możemy pomóc Twojej organizacji!