Kary RODO – jak ustrzec przed nimi firmę?

RODO, czyli rozporządzenie o ochronie danych osobowych, wprowadzono 25 maja 2018 roku. Te przepisy od początku wzbudzały w wielu firmach popłoch, głównie ze względu na to, że nikt do końca nie wiedział, czego się spodziewać i jak się przygotować na nieuchronne zmiany w kwestii przetwarzania danych osobowych. Teraz minęło już kilka lat, więc teoretycznie każda organizacja powinna wiedzieć, jak działać, by nie zasłużyć sobie na grzywnę za naruszenie przepisów. Chcesz się upewnić, czy faktycznie chronisz swoją firmę na wszystkich frontach? Szukasz sposobów na zmniejszenie ryzyka otrzymania kary RODO? Zajrzyj do naszego artykułu.

Jak wysokie mogą być kary RODO?

RODO to skrótowa nazwa dla ogólnego rozporządzenia UE o ochronie danych, wprowadzonego w 2018 roku. W przepisach ustalono maksymalne kwoty obciążeń finansowych, jakie może zapłacić organizacja, która przetwarza dane osobowe i w jakiś sposób naruszyła zasady przetwarzania tych danych.

Decyzje odnośnie nakładania kar za naruszenie, złamanie lub nieprzestrzeganie RODO podejmuje Urząd Ochrony Danych Osobowych (UODO), indywidualnie dla każdego przypadku. W zależności od rodzaju przewiny przedsiębiorstwa mogą zapłacić do 2% lub do 4% całkowitego rocznego obrotu z zeszłego roku.

Wysokość kary zależy od bardzo wielu czynników, w tym: charakteru, wagi i czasu naruszenia; liczby poszkodowanych osób i rozmiaru poniesionych przez nie szkód; kategorii danych osobowych, które zostały naruszone; działań podjętych przez firmę po naruszeniu; stopnia współpracy z organem nadzorczym; tego, czy naruszenie było umyślne, czy nieumyślne.

Od początku wprowadzenia RODO nałożono kary na 35 polskich firm, na łączną kwotę znacznie przekraczającą 2 miliony euro. Najwięcej, bo aż milion euro, zapłaciła spółka energetyczna Fortum Marketing and Sales Polska S.A. Na drugim miejscu plasuje się sklep internetowy Morele.net, sprzedający sprzęt elektroniczny – 660 tys. euro kary. Podium zamyka Virgin Mobile Polska z karą w wysokości 443 tys. euro.

Nie zawsze grzywny są aż tak wysokie. Mniejsze podmioty musiały zapłacić kilka lub kilkanaście tysięcy euro. Tak czy inaczej, kara nałożona przez UODO to spore obciążenie finansowe dla firmy, a także poważne problemy z wizerunkiem i utrata zaufania ze strony klientów. Dlatego warto podjąć działania, które zminimalizują ryzyko naruszenia danych.

Jak zmniejszyć ryzyko naruszenia RODO w firmie?

Oczywiście najważniejszą kwestią jest dobra znajomość przepisów RODO i skrupulatne trzymanie się tych przepisów w swojej firmie, razem z prowadzeniem sumiennej dokumentacji. A co, jeśli nie masz pewności, czy mimo starań udało Ci się zadbać o wszystkie kwestie związane z ochroną danych osobowych? Skorzystaj z zestawu naszych wskazówek.

1. Zapewnij odpowiednie treści na stronie internetowej.

UODO może z ogromną łatwością skontrolować strony www, więc warto, by znalazły się tam takie informacje, jakie znajdować się powinny. Jeżeli wykorzystujesz formularze kontaktowe albo formularze zapisów do newslettera, koniecznie dodaj checkboksy zawierające treść zgody na przetwarzanie danych osobowych. Umieść też zgodę na wykorzystywanie plików cookies.

Jeśli prowadzisz sklep internetowy, nie zapomnij o polityce prywatności i regulaminie. Koniecznie zawrzyj tam cel zbierania i przetwarzania danych osobowych, zasady dostępu każdego użytkownika do jego danych, a także sposoby wycofania się ze zgody na przetwarzanie danych osobowych.

2. Wprowadź w firmie procedury związane z cyberbezpieczeństwem.

W ochronę danych przetwarzanych przez firmę powinni być zaangażowani wszyscy pracownicy, a nie tylko kadra zarządzająca. Dany pracownik może doprowadzić do wycieku danych nieumyślnie, jeśli nie ma wystarczającej wiedzy. Dlatego wprowadź jasne procedury i poinformuj o nich cały personel.

Ustal, które treści są poufne i stanowią tajemnicę firmową. One powinny być priorytetem przy ustalaniu kwestii ochronnych. Zadbaj, by każdy pracownik miał dostęp tylko i wyłącznie do takich informacji, jakich potrzebuje do wykonywania swoich obowiązków.

Wprowadź szereg procedur dotyczących cyberbezpieczeństwa. Przede wszystkim zainwestuj w dobre oprogramowanie antywirusowe i regularnie aktualizuj cały sprzęt. Ustal zasady tworzenia haseł (np. powinny zawierać znaki specjalne i nigdy się nie powtarzać przy kilku różnych kontach). Pilnuj, by nikt nie zostawiał danych dostępowych w widocznym miejscu, na przykład na karteczce przyklejonej do monitora. Poza tym wszędzie, gdzie to możliwe, pracownicy powinni się logować za pomocą uwierzytelniania wieloskładnikowego. Jeśli ktoś pracuje zdalnie, uczul go, by nie logował się do zasobów firmowych z prywatnego sprzętu.

3. Przeprowadź audyt bezpieczeństwa IT.

Żeby upewnić się, czy udało Ci się odpowiednio zadbać o bezpieczeństwo danych, przeprowadź bezpłatny audyt bezpieczeństwa IT, oparty o normę ISO 27001 i standard COBIT. Wykonasz go samodzielnie w około 5-7 minut. Wyniki otrzymasz natychmiast i będziesz mógł je skonsultować z naszym ekspertem ds. cyberbezpieczeństwa.

Audyt bezpieczeństwa Telescope wskaże ewentualne luki we wszystkich obszarach firmowej infrastruktury IT. Dzięki niemu dowiesz się, w jakich punktach może dojść do wycieku danych oraz czy stosowane w firmie procedury ochrony danych są zgodne z odgórnymi regulacjami.

Dzięki audytowi namierzysz obszary, które wymagają natychmiastowej interwencji. Sprawnie i szybko zminimalizujesz ryzyko zagrożeń, a tym samym uchronisz się przed stratami finansowymi, wliczając wynikające z naruszenia RODO.

Co zrobić, by jeszcze skuteczniej zadbać o cyberbezpieczeństwo firmy? Jeśli chcesz dowiedzieć się więcej o kwestiach związanych z cyberochroną, odwiedzaj regularnie naszego bloga, a także fanpage lub profil LinkedIn, gdzie dzielimy się przydatnymi informacjami.

Do usłyszenia!

Zespół Sagenso