Większość najczęściej występujących naruszeń, które wystawiają organizację na ryzyko kar za RODO albo roszczenia poszkodowanych, nie jest trudna do usunięcia. Warto pamiętać, że w zasadzie w każdym przypadku ważne jest szkolenie pracowników z zakresu ochrony danych.

Oto najczęstsze naruszenia ochrony danych i rady, jak ich uniknąć – według ODO24.

  1. Mail (lub pismo) wysłane na niewłaściwy adres

Jedno z typowych naruszeń. Także wprowadzenie w polu odbiorcy wiadomości wielu adresów mailowych zdradzających tożsamość innych osób może prowadzić do problemów, np. możemy zdradzić listę klientów firmy. Taki błędy można wyeliminować przez szkolenia pracowników z zakresu ochrony danych.

  1. Pomylone dokumenty w wysyłanych paczkach

Zdarza się, że e-sklepy dołączają do wysyłki towaru rachunki czy faktury zawierających dane innego klienta, a nie tego, który nie jest adresatem dostawy. W tym przypadku ważne jest stworzenie szczegółowej procedury przygotowywania wysyłki towaru.

  1. Naruszenia związane z niewłaściwym zabezpieczeniem IT, w tym ataki hakerskie

Warto zadbać o szkolenia pracowników z zakresu bezpieczeństwa cyfrowego, aby np. unikali ryzykownych zachowań (jak otwieranie załączników w mailach niewiadomego pochodzenia). Trzeba wdrażać także aktualizacje oprogramowania i zabezpieczenia adekwatne do zagrożeń. Warto rozważyć stworzenie procedury postępowania z hasłami dostępu. Inne sposoby to szyfrowanie pamięci urządzeń/plików z danymi osobowymi, dodatkowe mechanizmy weryfikacji użytkownika jak hasło czy PIN.

  1. Zagubienie dokumentów przez pracowników

Najczęściej zdarza się to w sytuacjach, kiedy firmowe materiały są zabierane poza biuro.

„Jeżeli jest taka możliwość, najlepiej przewozić dokumentację w formie elektronicznej. Elektroniczne nośniki oczywiście też można zgubić, dlatego oprócz ich szyfrowania warto prowadzić również ich ewidencję, zawierającą informacje komu i kiedy nośnik został wydany oraz numer seryjny sprzętu” – radzi Katarzyna Szczypińska, specjalista ds. ochrony danych, ODO 24.

  1. Niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji

Dane, którym minął okres zgodnego z prawem przechowywania, trzeba usunąć lub co najmniej zanonimizować. Naruszenie w tym obszarze może polegać przykładowo na przekazaniu telefonów służbowych firmie utylizującej sprzęt o wątpliwej renomie na rynku, bądź też przekazanie ich bez odpowiednich zapisów umownych. Tutaj zalecane jest wprowadzenie szczegółowych instrukcji postępowania z dokumentami i nośnikami zawierającymi dane (w tym metod anonimizacji), które nie są już potrzebne.

  1. Udostępnianie nagrań z monitoringu „bez żadnego trybu”

Częstym naruszeniem w sieciach handlowych jest niefrasobliwość personelu sklepu w zakresie nie tylko przekazywania nagrań z monitoringu, ale także jego okazywania, bez refleksji nad celowością oraz podstawą prawną takiego działania.

„Bardzo ważne jest, żeby udostępnienie/okazanie nagrań było szczegółowo uregulowane w procedurach sieci handlowej (np. na czyje polecenie ochroniarz może udostępnić nagranie, czy ma to być kierownik sklepu, czy osoba z centrali wyznaczona do koordynowania działań związanych z ochroną danych osobowych). Najlepiej, gdyby takie procedury były wydrukowane i wywieszone tuż przy stanowiskach, na których następuje okazywanie/udostępnianie nagrania” – wskazuje Katarzyna Szczypińska.