Kiedy w maju 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych, przez świat biznesu przeszła fala paniki. Firmy masowo wysyłały maile z prośbami o ponowną zgodę na przetwarzanie danych, zamykały strony internetowe, zatrudniały konsultantów i prawników. Potem emocje opadły, temat ucichł, a wiele firm zaczęło traktować RODO jako kolejny biurokratyczny wymóg, który można zignorować lub potraktować pobieżnie. To niebezpieczne myślenie. RODO nie zniknęło i organy nadzorcze są coraz aktywniejsze. Kary finansowe mogą sięgać nawet dwudziestu milionów euro lub czterech procent rocznego światowego obrotu. Ale nawet jeśli firma nie trafi na celownik urzędu, naruszenia RODO mogą prowadzić do utraty zaufania klientów, wycieków danych i problemów prawnych, które mogą skutecznie zniszczyć reputację wypracowaną przez lata. Problem polega na tym, że wiele firm nie zdaje sobie sprawy z tego, że łamie przepisy. Naruszenia RODO często wynikają nie ze złej woli, ale z niewiedzy, zaniedbania lub błędnego przekonania, że „nas to nie dotyczy”. Oto trzy niepokojące sygnały ostrzegawcze, które powinny zapalić czerwoną lampkę.

Sygnał pierwszy: Brak jasnej polityki prywatności i zgód na przetwarzanie danych

Firma prowadzi stronę internetową z formularzem kontaktowym. Klienci wypełniają go, podając imię, nazwisko, adres email i numer telefonu. Nikt nigdy nie zastanawiał się, co dzieje się z tymi danymi, gdzie są przechowywane, kto ma do nich dostęp i na jakiej podstawie prawnej firma w ogóle może je zbierać. Na stronie nie ma polityki prywatności albo jest skopiowana z innej witryny i zawiera błędne informacje. Formularz nie zawiera checkboxa z zgodą na przetwarzanie danych. To klasyczne naruszenie RODO, a jednocześnie jeden z najczęstszych błędów popełnianych przez małe i średnie firmy. RODO wymaga, aby każda organizacja przetwarzająca dane osobowe miała jasną podstawę prawną do ich przetwarzania. Podstaw tych jest kilka – zgoda osoby, wykonanie umowy, obowiązek prawny czy uzasadniony interes administratora. Bez określenia tej podstawy, przetwarzanie danych jest po prostu nielegalne. Polityka prywatności to nie opcjonalny dodatek ani formalność. To dokument, który informuje ludzi o tym, co dzieje się z ich danymi osobowymi. Kto je zbiera, w jakim celu, jak długo będą przechowywane, komu mogą zostać udostępnione, jakie prawa przysługują osobom, których dane dotyczą. Brak polityki prywatności lub polityka skopiowana z innej firmy to poważne naruszenie zasady przejrzystości. Jeszcze gorsze jest zbieranie danych bez wyraźnej zgody, gdy zgoda jest wymaganą podstawą prawną. Formularz kontaktowy, newsletter, ankieta – jeśli zbierają dane osobowe, muszą zawierać wyraźną, świadomą i dobrowolną zgodę. Zgoda nie może być domyślnie zaznaczona. Nie można też ukrywać jej w długich regulaminach. Osoba musi wyraźnie zaznaczyć pole wyboru, a tekst zgody musi być zrozumiały i konkretny. Wiele firm używa gotowych narzędzi do zbierania danych – systemy CRM, platformy mailingowe, formularze Google. To ułatwia pracę, ale nie zwalnia z odpowiedzialności. Jeśli dane trafiają do zewnętrznego systemu, trzeba wiedzieć, gdzie są przetwarzane, czy stosuje się odpowiednie zabezpieczenia, czy zawarto umowę powierzenia przetwarzania danych. Bez tej umowy każde przekazanie danych to naruszenie RODO.

Sygnał drugi: Chaotyczne przechowywanie danych i brak kontroli dostępu

Pracownik działu sprzedaży odchodzi z firmy. Nikt nie blokuje jego dostępu do systemu CRM zawierającego tysiące rekordów klientów. Ten sam pracownik przez lata wysyłał sobie mailem bazy klientów na prywatną skrzynkę, żeby mieć do nich dostęp z domu. Dane klientów znajdują się w arkuszach Excel przesyłanych mailem pomiędzy działami, przechowywanych na prywatnych komputerach pracowników, zapisywanych na pendrive’ach pozostawianych na biurkach. To scenariusz, który brzmi jak koszmar, ale jest codziennością wielu firm. Chaotyczne przechowywanie danych osobowych i brak kontroli nad tym, kto ma do nich dostęp, to poważne naruszenie RODO, które naraża zarówno firmę, jak i jej klientów na realne zagrożenia. RODO wymaga, aby dane osobowe były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo. To nie tylko kwestia technicznych zabezpieczeń typu hasła czy szyfrowanie. To przede wszystkim organizacja procesów i świadomość tego, gdzie dane się znajdują i kto może je przeglądać. Wiele firm traktuje dane klientów jako ogólnodostępny zasób. Każdy pracownik ma dostęp do wszystkiego, bez względu na to, czy potrzebuje tych danych do wykonywania swojej pracy. Osoba odpowiedzialna za wysyłkę produktów ma dostęp do pełnej historii zakupów i danych finansowych klientów. To naruszenie zasady minimalizacji danych. Dostęp do danych osobowych powinien być ograniczony wyłącznie do osób, które faktycznie ich potrzebują do wykonywania swoich obowiązków. Każda osoba powinna mieć dostęp tylko do tych danych, które są niezbędne do realizacji jej zadań. Równie problematyczne jest przechowywanie danych w niekontrolowany sposób. Arkusze Excel z bazami klientów przesyłane mailem są szczególnie niebezpieczne. Mail może trafić do niewłaściwej osoby, dane mogą wyciec w wyniku włamania na skrzynkę pocztową. Przechowywanie danych na prywatnych urządzeniach pracowników to kolejne zagrożenie. Firmy muszą wiedzieć, gdzie znajdują się dane osobowe, w jakich systemach są przechowywane, kto ma do nich dostęp i jak są zabezpieczone. To wymaga stworzenia rejestru czynności przetwarzania – dokumentu, który opisuje wszystkie procesy związane z przetwarzaniem danych osobowych w organizacji.

Sygnał trzeci: Ignorowanie praw osób, których dane dotyczą

Klient wysyła maila z prośbą o usunięcie swoich danych z bazy firmy. Mail ląduje w skrzynce ogólnej i ginie wśród dziesiątek innych wiadomości. Nikt nie odpowiada, nikt nie podejmuje działań. Po kilku tygodniach klient otrzymuje newsletter od tej samej firmy. Jego dane wciąż są w systemie, wciąż są przetwarzane, a firma nawet nie wie, że popełnia naruszenie. RODO przyznaje osobom, których dane dotyczą, szereg uprawnień. Prawo dostępu do danych, prawo do ich sprostowania, prawo do usunięcia, prawo do ograniczenia przetwarzania, prawo do sprzeciwu wobec przetwarzania. To nie są teoretyczne koncepcje ani opcjonalne przywileje. To prawnie egzekwowalne uprawnienia, których realizacja jest obowiązkiem każdej firmy przetwarzającej dane osobowe. Wiele firm kompletnie ignoruje te prawa, licząc na to, że nikt się nie upomni. To bardzo niebezpieczna strategia. Skarga do organu nadzorczego to kwestia kilku kliknięć na stronie Urzędu Ochrony Danych Osobowych. A kontrola ze skargi to nieprzyjemne doświadczenie.

Trzy niepokojące sygnały – brak jasnej polityki prywatności i zgód, chaotyczne przechowywanie danych i ignorowanie praw osób – to czerwone lampki ostrzegawcze, których nie można ignorować. RODO nie jest przeszkodą w prowadzeniu biznesu. To ramy zapewniające bezpieczeństwo danych i budujące zaufanie między firmami a ich klientami. Organizacje, które traktują ochronę danych poważnie, zyskują przewagę konkurencyjną, unikają kosztownych problemów prawnych i budują reputację godnych zaufania partnerów.