8 lat RODO okiem IOD-a – czego nauczyły nas kary, kontrole i praktyka

8 lat RODO okiem IOD-a – czego nauczyły nas kary, kontrole i praktyka

autor
Nadchodzi kolejna rocznica RODO… Dla wielu organizacji maj 2018 był momentem intensywnego wdrażania nowych obowiązków, tworzenia dokumentacji i porządkowania procesów związanych z ochroną danych osobowych. Po ośmiu latach można jednak powiedzieć, że rzeczywistość zweryfikowała wiele początkowych założeń.
 
RODO nie okazało się jednorazowym projektem ani wyłącznie zestawem formalnych wymagań. Chociaż część instytucji, organizacji tak właśnie chciała/zakładała. Ochrona danych osobowych stała się elementem codziennego funkcjonowania organizacji, a doświadczenia ostatnich lat – kary, kontrole oraz nasza praktyka Inspektorów Ochrony Danych – pozwalają wyciągnąć kilka bardzo konkretnych wniosków.
 
RODO przestało być nowością, a stało się codziennością
Pierwsze lata obowiązywania RODO były okresem dużej niepewności. Wiele pytań, które dostawaliśmy podczas audytów czy szkoleń dotyczyło przede wszystkim wysokości potencjalnych kar oraz tego, w jakiś sposób organy nadzorcze będą podchodzić do nowych obowiązków.
 
Dzisiaj okazuje się, że perspektywa jest znacznie szersza.
Co prawda w Polsce od 2018 r. nałożono już ponad 100 administracyjnych kar pieniężnych związanych z naruszeniami RODO. Praktyka pokazuje jednak, że same kary stanowią jedynie fragment obrazu, znacznie większe znaczenie mają konsekwencje organizacyjne oraz reputacyjne: incydenty bezpieczeństwa, postępowania wyjaśniające, konieczność reorganizacji procesów ale przede wszystkim utrata zaufania klientów i partnerów.
 
Z perspektywy Inspektora Ochrony Danych widać wyraźnie, że największym problemem organizacji nie jest już brak wiedzy o istnieniu RODO. Problemem pozostaje skuteczne wdrożenie zasad ochrony danych do codziennej działalności, a przede wszystkim utrzymanie wysokiego poziomu świadomości pracowników w zakresie aktualnych zagrożeń, które mogą prowadzić do nieuprawnionego dostępu do danych osobowych.
 
Nabiera to szczególnego znaczenia, gdy przyjrzymy się wybranym, szeroko komentowanym sprawom, które zakończyły się nałożeniem wysokich sankcji.
 
Wybrane losowo kary – czyli kiedy RODO boli najbardziej
Europa:
Meta (Facebook) – 1,2 mld euro za nielegalne transfery danych do USA
Amazon – 746 mln euro za profilowanie bez właściwej zgody
TikTok – ponad 500 mln euro za naruszenia związane z danymi użytkowników
Polska:
DPD Polska sp. z o.o. – ponad 11 mln – przetwarzanie danych odbywało się bez odpowiednich środków organizacyjnych i właściwego systemu upoważnień, co doprowadziło do naruszenia zasad poufności i rozliczalności (Aktualności – UODO).
Fortum – ok. 4,9 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak weryfikacji podmiotu przetwarzającego (Aktualności – UODO).
ING Bank Śląski – 18,4 mln za przetwarzanie bez podstawy prawnej skanów dowodów osobistych (Aktualności – UODO).
 
Czego naprawdę dotyczą kary?
Analiza decyzji Prezesa UODO prowadzi do interesującego wniosku – wysokie kary rzadko wynikają z jednego prostego błędu.
Najczęściej mamy do czynienia z połączeniem kilku zaniedbań.
Przykładami są:
  • brak adekwatnych środków bezpieczeństwa
  • niewłaściwie zabezpieczone systemy,
  • brak kontroli nad uprawnieniami,
  • nieaktualne oprogramowanie,
  • brak wieloskładnikowego uwierzytelniania,
  • niewystarczający monitoring incydentów,
  • brak szyfrowania urządzeń lub nośników danych.
 
W wielu przypadkach organizacje posiadały ogólne polityki bezpieczeństwa, które nie przekładały się na wdrożenie odpowiednich zabezpieczeń technicznych.
 
Dla Administratora danych jest to jedna z najważniejszych lekcji ostatnich lat: dokumentacja nie zabezpiecza danych – robią to wdrożone i działające środki organizacyjne oraz techniczne.
 
W tym miejscu warto na chwilę wrócić do kwestii dokumentacji. Wiele organizacji przyjęło bowiem założenie, że jej opracowanie stanowi zarówno początek, jak i zwieńczenie działań związanych z RODO.
W pierwszych latach obowiązywania przepisów koncentrowano się głównie na tworzeniu polityk, rejestrów i klauzul informacyjnych, co było naturalnym etapem porządkowania obszaru ochrony danych.
Doświadczenia z kontroli oraz prowadzonych postępowań wyraźnie jednak pokazały, że samo posiadanie dokumentów nie oznacza jeszcze faktycznej zgodności z przepisami.
 
Z perspektywy outsourcingowego IOD-a często obserwujemy ten sam schemat:
  • polityki stworzone kilka lat temu,
  • brak aktualizacji po zmianach organizacyjnych,
  • rejestry czynności przetwarzania nieodzwierciedlające rzeczywistych procesów,
  • procedury incydentowe, których nikt nigdy nie testował,
  • upoważnienia i nadane dostępy funkcjonujące równolegle, lecz niespójnie.
 
W praktyce często obserwuje się, że administratorzy pomijają ten aspekt, podczas gdy naszą rolą jako zewnętrznych Inspektorów Ochrony Danych jest konsekwentne przypominanie oraz doradzanie, że organ nadzorczy w toku kontroli nie ogranicza się do oceny formalnej jakości dokumentacji. Kluczowym przedmiotem weryfikacji pozostaje to, jak przyjęte procedury funkcjonują w codziennej działalności organizacji oraz na ile są faktycznie stosowane. 
 
To stanowi zasadniczą różnicę, bowiem dokumentacja może spełniać wymagania formalne, jednak z perspektywy zgodności decydujące znaczenie ma jej faktyczne stosowanie oraz skuteczność w praktyce.
 
W tym kontekście warto zwrócić uwagę na jeszcze jeden istotny element „inspektorskich” refleksji, jakim jest rola analizy ryzyka. W mojej ocenie pozostaje ona obszarem wciąż niedocenianym, mimo że to właśnie od rzetelnej identyfikacji i oceny ryzyk powinny rozpoczynać się realne działania w zakresie ochrony danych. Jest to oczywiście temat bardzo szeroki i zasługujący na odrębne opracowanie, niemniej postaram się w dużym skrócie przedstawić moje spojrzenie.
 
O roli Analizy ryzyka – która w mojej ocenie jest obszarem wciąż niedocenianym
W wielu organizacjach nadal spotyka się podejście polegające na tworzeniu analizy ryzyka jednorazowo – najczęściej przy wdrożeniu RODO – bez jej późniejszej aktualizacji.
 
Tymczasem ryzyko nie jest przecież wartością stałą.
Zmieniają się:
  • systemy IT,
  • modele pracy,
  • dostawcy usług,
  • procesy biznesowe,
  • skala przetwarzania danych,
  • zagrożenia cyberbezpieczeństwa.
 
Co za tym idzie, brak aktualnej analizy ryzyka często prowadzi do błędnej oceny potrzebnych zabezpieczeń, a w konsekwencji – do incydentów.
Z punktu widzenia IOD-a, analiza ryzyka nie jest formalnością wymaganą przez przepisy.
To narzędzie zarządzania bezpieczeństwem i podejmowania racjonalnych decyzji.
 
Chcę podkreślić jeszcze jedną ważną kwestię: Incydent nie zawsze oznacza karę – reakcja ma znaczenie.
Jednym z mitów funkcjonujących wokół RODO jest przekonanie, że każdy incydent automatycznie prowadzi do wysokiej sankcji.
Praktyka pokazuje coś innego.
Organ nadzorczy ocenia nie tylko sam fakt naruszenia, ale również sposób działania administratora po jego wykryciu.
Znaczenie mają między innymi:
  • czas identyfikacji incydentu,
  • sposób ograniczenia skutków,
  • prawidłowa analiza ryzyka dla osób, których dane dotyczą,
  • terminowość zgłoszenia,
  • jakość współpracy z organem,
  • działania naprawcze.
W praktyce dobrze przygotowana organizacja może przejść przez poważny incydent znacznie bezpieczniej niż podmiot, który przez lata ignorował kwestie ochrony danych.
To kolejna ważna lekcja ośmiu lat RODO – problemem często nie jest sam incydent, lecz brak gotowości do jego obsługi.
 
Przeglądając wybrane kary warto jeszcze na koniec wspomnieć o obowiązku informacyjnym i legalności przetwarzania.
Choć przepisy obowiązują od lat, kontrole nadal ujawniają błędy związane z podstawami przetwarzania i obowiązkiem informacyjnym.
Najczęstsze problemy obejmują:
  • wybór niewłaściwej podstawy prawnej,
  • automatyczne powoływanie się na zgodę,
  • nadmierny zakres przetwarzanych danych,
  • nieaktualne klauzule informacyjne,
  • niepełne informacje przekazywane osobom, których dane dotyczą.
Z perspektywy praktyki IOD-a szczególnie istotne jest rozróżnienie pomiędzy formalnym posiadaniem klauzuli a rzeczywistym spełnieniem obowiązku informacyjnego.
Ochrona danych nie sprowadza się do przekazania dokumentu – chodzi o zapewnienie przejrzystości i rozliczalności procesu.

 

8 lat RODO – 8 praktycznych wniosków dla organizacji

Po latach pracy z administratorami danych można sformułować kilka praktycznych obserwacji.
  1. RODO nie jest projektem jednorazowym.
    Zgodność wymaga regularnego przeglądu.
  2. Dokumentacja nie wystarczy.
    Liczy się wdrożenie i praktyczne funkcjonowanie procedur.
  3. Analiza ryzyka wymaga aktualizacji.
    Zmieniające się procesy oznaczają zmieniające się ryzyko.
  4. Cyberbezpieczeństwo i RODO są ze sobą nierozerwalnie związane.
    Problemy techniczne szybko stają się problemami ochrony danych.
  5. Szkolenia pozostają kluczowe.
    Znaczna część incydentów nadal wynika z błędów ludzkich.
  6. Incydenty są nieuniknione.
    Kluczowe jest przygotowanie organizacji na właściwą reakcję.
  7. IOD powinien uczestniczyć w procesach biznesowych, a nie jedynie opiniować dokumenty.
    Skuteczna ochrona danych wymaga zaangażowania na etapie projektowania zmian.
  8. Outsourcing funkcji IOD coraz częściej wynika z potrzeby specjalizacji.
    Rosnąca złożoność regulacyjna, rozwój usług cyfrowych i zależność od systemów IT powodują, że organizacje potrzebują stałego dostępu do praktycznej wiedzy i doświadczenia 
Co dalej?
Po ośmiu latach RODO weszło w etap dojrzałości, nie oznacza to jednak stabilizacji. Dynamiczny rozwój sztucznej inteligencji, rosnąca skala cyberzagrożeń, coraz szersze wykorzystanie usług chmurowych oraz nowe obowiązki w obszarze cyberbezpieczeństwa sprawiają, że organizacje i instytucje mierzą się z coraz bardziej złożonymi wyzwaniami.
Jednocześnie po ośmiu latach jedno pozostaje niezmienne, skuteczna ochrona danych nie zaczyna się od kary ani kontroli. Zaczyna się od świadomego zarządzania ryzykiem, codziennych decyzji podejmowanych w organizacji oraz realnej świadomości pracowników. Bo to właśnie ich działania, wiedza i czujność w praktyce przesądzają o poziomie bezpieczeństwa danych – nie dokumenty, lecz ludzie.
 
Osiem lat obowiązywania RODO pokazało, że zgodność z przepisami nie kończy się na przygotowaniu dokumentacji. Ochrona danych wymaga bieżącego nadzoru, aktualizacji procedur, analizy ryzyka oraz wsparcia przy incydentach i zmianach organizacyjnych.
Dlatego coraz więcej organizacji decyduje się na outsourcing funkcji Inspektora Ochrony Danych – nie tylko ze względu na wymogi formalne, ale przede wszystkim z potrzeby zapewnienia stałego dostępu do praktycznej wiedzy i niezależnego wsparcia eksperckiego.
Naszym celem nie jest tworzenie dokumentacji „na półkę”, lecz budowanie rozwiązań, które wspierają bezpieczeństwo i zgodność w codziennym funkcjonowaniu organizacji.
 
Dlatego, serdecznie Was zapraszamy do zapoznania się z https://www.comp-net.pl/oferta/
Autor:
Ewa Sobczyk

Senior Expert/Audytor Wiodący ISO/IEC 27001:2022

Źródła:
  1. National Cybersecurity Alliance
  2. Podsumowanie Miesiąca CERT Polska CSIRT NASK nr 1 2025
  3. NASK – Państwowy Instytut Badawczy
  4. Cyberportret polskiego biznesu
  5. Firmy chcą suwerenności cyfrowej, ale wciąż zaniedbują podstawy cyberbezpieczeństwa