RODO w małej firmie – najczęstsze naruszenia i jak ich unikać

RODO kojarzy się wielu przedsiębiorcom z dużymi organizacjami, rozbudowanymi procedurami i skomplikowanymi audytami. W praktyce obowiązki związane z ochroną danych osobowych dotyczą również małych firm: sklepów internetowych, gabinetów usługowych, biur rachunkowych, agencji marketingowych, firm budowlanych, placówek medycznych, pracodawców zatrudniających kilku pracowników czy przedsiębiorców prowadzących sprzedaż przez internet.

Naruszenia RODO w małej firmie często nie wynikają ze złej woli, ale z braku procedur, pośpiechu albo przekonania, że „u nas danych jest niewiele”. Tymczasem nawet prosta baza klientów, korespondencja e-mail, dokumentacja pracownicza, formularz kontaktowy na stronie internetowej czy monitoring wizyjny mogą wiązać się z obowiązkami po stronie przedsiębiorcy.

Czym jest naruszenie RODO?

Naruszenie ochrony danych osobowych to sytuacja, w której dochodzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia albo nieuprawnionego dostępu do danych osobowych. Może chodzić zarówno o poważny incydent informatyczny, jak i pozornie zwykły błąd organizacyjny.

Przykłady? Wysłanie faktury do niewłaściwego odbiorcy, zgubienie pendrive’a z danymi klientów, dostęp byłego pracownika do firmowej skrzynki, brak umowy powierzenia z zewnętrznym dostawcą IT, widoczna lista adresów e-mail w masowej wysyłce albo dokumenty pracownicze pozostawione w miejscu dostępnym dla osób postronnych.

1. Brak podstawowej dokumentacji RODO

Jednym z najczęstszych problemów w małych firmach jest brak uporządkowanej dokumentacji. Przedsiębiorca przetwarza dane klientów, kontrahentów, pracowników lub kandydatów do pracy, ale nie posiada rejestru czynności przetwarzania, polityki ochrony danych, procedury obsługi naruszeń czy wzorów klauzul informacyjnych.

Nie każda firma potrzebuje identycznego zestawu dokumentów, ale każda powinna wiedzieć: jakie dane przetwarza, w jakim celu, na jakiej podstawie prawnej, komu je udostępnia, jak długo je przechowuje i jak je zabezpiecza.

Brak dokumentacji jest szczególnie ryzykowny w razie kontroli, sporu z klientem, skargi do Prezesa UODO albo incydentu bezpieczeństwa. W takiej sytuacji przedsiębiorca powinien być w stanie wykazać, że działa zgodnie z zasadą rozliczalności.

2. Nieprawidłowe klauzule informacyjne

Kolejnym częstym błędem są niepełne, nieaktualne albo skopiowane z internetu klauzule informacyjne. Klauzula powinna jasno wyjaśniać osobie, której dane dotyczą, kto jest administratorem danych, w jakim celu dane są przetwarzane, jaka jest podstawa prawna przetwarzania, jak długo dane będą przechowywane, komu mogą być przekazywane oraz jakie prawa przysługują tej osobie.

Problem pojawia się, gdy firma używa jednej uniwersalnej klauzuli do wszystkiego: formularza kontaktowego, rekrutacji, newslettera, umowy z klientem i monitoringu. Każda z tych sytuacji może mieć inny cel, inną podstawę prawną i inny okres przechowywania danych.

W praktyce mała firma powinna mieć klauzule dostosowane do realnych procesów, a nie dokument „na wszelki wypadek”.

3. Wysyłka e-maili z widocznymi adresami odbiorców

To jedno z najbardziej typowych naruszeń w codziennej pracy. Firma wysyła wiadomość do wielu klientów, kontrahentów lub uczestników wydarzenia i wpisuje adresy w polu „Do” albo „DW”, zamiast użyć pola „UDW/BCC” lub profesjonalnego systemu mailingowego.

W efekcie każdy odbiorca widzi adresy e-mail pozostałych osób. W niektórych branżach sam adres e-mail może ujawniać dodatkowe informacje, np. udział w określonym wydarzeniu, korzystanie z konkretnej usługi albo zainteresowanie określoną tematyką.

Aby ograniczyć ryzyko, warto wdrożyć prostą zasadę: masowa wysyłka nie powinna być realizowana z prywatnej lub ogólnej skrzynki pocztowej bez odpowiednich zabezpieczeń i weryfikacji listy odbiorców.

4. Dostęp do danych po zakończeniu współpracy

Częstym naruszeniem jest pozostawienie dostępu do danych osobie, która zakończyła współpracę z firmą. Może to dotyczyć byłego pracownika, zleceniobiorcy, handlowca, księgowej, informatyka albo agencji marketingowej.

Ryzyko pojawia się wtedy, gdy firma nie odbiera dostępów do skrzynek e-mail, systemu CRM, panelu sklepu internetowego, kont reklamowych, dysków w chmurze, systemu kadrowego lub komunikatorów firmowych.

Mała firma powinna mieć prostą procedurę offboardingu: lista systemów, data zakończenia współpracy, osoba odpowiedzialna za odebranie dostępów i potwierdzenie wykonania tej czynności.

5. Brak umów powierzenia danych

Wielu przedsiębiorców korzysta z usług zewnętrznych podmiotów: biura rachunkowego, firmy IT, hostingu, agencji marketingowej, dostawcy newslettera, systemu CRM, firmy kadrowo-płacowej albo podmiotu obsługującego monitoring. Jeżeli taki podmiot przetwarza dane osobowe w imieniu firmy, zwykle potrzebna jest umowa powierzenia przetwarzania danych.

Brak takiej umowy może oznaczać, że przedsiębiorca nie uregulował prawidłowo odpowiedzialności, zakresu przetwarzania, zabezpieczeń oraz obowiązków dostawcy.

Warto regularnie sprawdzać, którzy kontrahenci mają dostęp do danych klientów, pracowników lub użytkowników strony internetowej. Sama faktura za usługę nie zastępuje umowy powierzenia.

6. Zbyt szeroki dostęp do danych

W małych firmach często każdy ma dostęp do wszystkiego: skrzynki mailowej, bazy klientów, dokumentów kadrowych, faktur, reklamacji, danych z formularzy i historii zamówień. Takie rozwiązanie bywa wygodne, ale nie jest bezpieczne.

Zgodnie z zasadą minimalizacji dostęp do danych powinny mieć tylko te osoby, które rzeczywiście potrzebują go do wykonywania swoich obowiązków. Pracownik obsługujący zamówienia nie zawsze musi mieć dostęp do dokumentacji kadrowej, a osoba prowadząca social media nie powinna automatycznie widzieć wszystkich danych klientów.

Praktycznym rozwiązaniem jest nadawanie uprawnień według ról oraz okresowy przegląd dostępów.

7. Przechowywanie danych zbyt długo

RODO wymaga, aby dane osobowe nie były przechowywane dłużej, niż jest to potrzebne do celu, w jakim zostały zebrane. W praktyce wiele małych firm gromadzi dane „na zawsze”: stare CV, dane byłych klientów, archiwalne formularze, listy mailingowe, dokumenty po nieudanych rekrutacjach czy nieaktualne bazy kontaktów.

Problem polega na tym, że im więcej danych firma przechowuje, tym większe ryzyko naruszenia. W razie incydentu przedsiębiorca odpowiada również za dane, których już dawno nie powinien posiadać.

Warto ustalić okresy retencji danych, czyli zasady ich przechowywania i usuwania. Inne terminy będą dotyczyć dokumentów księgowych, inne dokumentacji pracowniczej, inne marketingu, a jeszcze inne korespondencji handlowej.

8. Brak zabezpieczeń technicznych

Naruszenia RODO często wynikają z prostych zaniedbań technicznych. Do typowych błędów należą: słabe hasła, wspólne konta dla kilku osób, brak uwierzytelniania dwuskładnikowego, brak aktualizacji systemów, przechowywanie danych na prywatnych nośnikach, wysyłanie dokumentów bez szyfrowania albo brak kopii zapasowych.

Mała firma nie zawsze potrzebuje zaawansowanych systemów bezpieczeństwa, ale powinna stosować podstawowe zabezpieczenia: indywidualne konta użytkowników, mocne hasła, regularne aktualizacje, kopie zapasowe, kontrolę dostępu, zabezpieczenie urządzeń mobilnych i ostrożność przy korzystaniu z usług chmurowych.

9. Nieprawidłowy monitoring wizyjny

Jeżeli firma korzysta z monitoringu, powinna jasno określić jego cel, zakres, czas przechowywania nagrań i sposób poinformowania osób nagrywanych. Błędem jest instalowanie kamer „wszędzie”, nagrywanie dźwięku bez wyraźnej potrzeby, brak oznaczeń o monitoringu albo przechowywanie nagrań przez nieuzasadniony okres.

Monitoring może służyć bezpieczeństwu osób, ochronie mienia lub kontroli określonych procesów, ale nie powinien prowadzić do nadmiernej ingerencji w prywatność pracowników, klientów czy kontrahentów.

10. Brak procedury reagowania na incydenty

Nawet dobrze zorganizowana firma może doświadczyć naruszenia. Kluczowe jest to, czy wie, jak zareagować. Po wykryciu incydentu należy ustalić, co się stało, jakich danych dotyczy zdarzenie, ilu osób może dotyczyć, jakie są możliwe konsekwencje oraz czy konieczne jest zgłoszenie naruszenia do Prezesa UODO i poinformowanie osób, których dane dotyczą.

Najgorszym rozwiązaniem jest ignorowanie incydentu albo odkładanie decyzji. W wielu przypadkach czas reakcji ma istotne znaczenie, dlatego mała firma powinna mieć prostą procedurę: kto przyjmuje zgłoszenie, kto ocenia ryzyko, kto dokumentuje zdarzenie i kto podejmuje decyzję o dalszych działaniach.

Jak mała firma może ograniczyć ryzyko naruszeń?

Dobrym punktem wyjścia jest krótki audyt RODO. Nie musi on od razu oznaczać rozbudowanego projektu. Czasem wystarczy uporządkować podstawowe procesy: formularze, umowy z dostawcami, dostępy do systemów, klauzule informacyjne, okresy przechowywania danych i procedurę obsługi naruszeń.

W praktyce warto odpowiedzieć na kilka pytań:

• jakie dane osobowe przetwarzamy;
• po co je zbieramy;
• na jakiej podstawie prawnej działamy;
• kto ma do nich dostęp;
• komu je przekazujemy;
• jak długo je przechowujemy;
• jak zabezpieczamy systemy i dokumenty;
• co zrobimy, jeżeli dojdzie do incydentu.

RODO to nie tylko dokumenty

Wdrożenie RODO nie powinno ograniczać się do posiadania segregatora z dokumentami. Najważniejsze jest to, czy zasady ochrony danych działają w codziennej pracy: przy wysyłce e-maili, obsłudze klientów, rekrutacji, korzystaniu z chmury, współpracy z księgowością, przekazywaniu danych firmie IT czy nadawaniu dostępów pracownikom.

Dobrze przygotowane procedury pomagają nie tylko uniknąć naruszeń, ale też szybciej reagować, gdy incydent już wystąpi.

Wsparcie prawne w zakresie RODO

Zakres wsparcia powinien być każdorazowo dostosowany do rodzaju działalności, skali przetwarzania danych i rzeczywistych ryzyk występujących w firmie.

Materiał ma charakter informacyjny i nie stanowi porady prawnej. Ocena konkretnej sytuacji wymaga analizy dokumentów, procesów przetwarzania danych oraz okoliczności danej sprawy.