Wielu przedsiębiorców traktuje RODO jak segregator z dokumentami, który „trzeba mieć". Tymczasem ochrona danych to system odpowiedzialności - administracyjnej, cywilnej i wizerunkowej - który działa niezależnie od tego, czy segregator istnieje.
Trzy poziomy ryzyka
- Administracyjne - Prezes UODO może nałożyć karę do 20 mln euro lub 4% rocznego obrotu; w praktyce polskie kary sięgają od kilku tysięcy do kilku milionów złotych,
- Cywilne - każda osoba, której dane wyciekły lub były przetwarzane niezgodnie z prawem, może żądać odszkodowania i zadośćuczynienia (art. 82 RODO),
- Wizerunkowe - obowiązek zawiadomienia osób o naruszeniu oznacza, że o wycieku dowiadują się klienci.
Najczęstsze grzechy małych i średnich firm
- Brak rejestru czynności przetwarzania i analizy ryzyka - dokumenty „z internetu" nieprzystające do realnych procesów.
- Brak umów powierzenia z biurem rachunkowym, hostingodawcą, dostawcą CRM.
- Skrzynki mailowe pracowników pełne danych klientów, bez zasad retencji.
- Monitoring wizyjny bez oznaczeń i klauzul.
- Brak procedury na wypadek naruszenia - a zgłoszenie do UODO ma termin 72 godzin.
Od czego zacząć
Od audytu zerowego: co przetwarzamy, po co, na jakiej podstawie, komu przekazujemy i jak chronimy. Dopiero na tej mapie buduje się dokumentację, która broni firmę w razie kontroli - zamiast tylko zalegać w segregatorze. Jeżeli organizacja ma obowiązek wyznaczenia IOD (lub chce mieć wsparcie eksperta bez etatu), rozwiązaniem jest outsourcing funkcji inspektora ochrony danych.