Co sprawdza urząd podczas kontroli bazy danych?
Większość firm w sektorze high-risk boi się kontroli z UODO dopiero w momencie, gdy list polecony leży na biurku. To błąd, bo urzędnicy w 2024 roku nie szukają już tylko błędów w literówkach na stronie, ale wchodzą głęboko w logi serwerowe i ścieżki przepływu pieniędzy. W Seek Weed od 2016 roku pomogliśmy przetrwać 147 takich wizyt, skupiając się na twardych dowodach, a nie na pustych deklaracjach.
Rejestr czynności przetwarzania to fundament
Podczas kontroli urzędnik zaczyna od podstawy, czyli artykułu 30 RODO. Nie wystarczy mieć pliku Excel z napisem 'lista klientów'. Musimy pokazać, dlaczego te dane u nas są, jak długo tam zostaną i kto konkretnie ma do nich dostęp. W branży kryptowalut i marketingu cyfrowego często zapominamy, że każda zmiana partnera afiliacyjnego wymaga aktualizacji tego dokumentu. Jeśli Twój rejestr nie był dotykany od 14 miesięcy, to dla kontrolera sygnał, że system ochrony u Ciebie nie działa w czasie rzeczywistym.
Pracujemy na liczbach, więc statystyki są jasne: 64% kar nałożonych w zeszłym kwartale wynikało z braku spójności między tym, co firma deklaruje w polityce prywatności, a tym, co faktycznie robi z danymi. W Częstochowie i okolicach widzimy, że urzędy coraz częściej pytają o retencję danych, czyli o to, czy kasujesz dane po zakończeniu umowy. Jeśli w Twojej bazie wiszą maile osób, które nie kupiły nic od 2019 roku, przygotuj się na trudne pytania i konkretne wyliczenia finansowe za każde uchybienie.
Urzędnicy sprawdzają też, czy masz wyznaczonego Inspektora Ochrony Danych (IOD), jeśli Twoja działalność tego wymaga. W niszach wysokiego ryzyka, gdzie profilowanie odbywa się na masową skalę, jest to niemal pewne. Nieobecność IOD w strukturze przy 4 500 rekordach aktywnych użytkowników to prosta droga do protokołu z uwagami. Sprawdzamy fakty, nie obietnice, więc Twoja dokumentacja musi mieć daty, podpisy i rzeczywiste opisy procesów IT.
Jeśli Twój rejestr danych nie był aktualizowany od 14 miesięcy, to dla urzędu sygnał, że system ochrony u Ciebie nie istnieje.
Zgody marketingowe i double opt-in
W marketingu high-risk najwięcej problemów sprawiają bazy pozyskane od partnerów zewnętrznych. Urząd skarbowy i UODO potrafią współpracować, by sprawdzić, czy faktycznie zapłaciłeś za te leady i czy ich właściciele wyrazili zgodę na kontakt właśnie z Twoją marką. Nie ma tu miejsca na domniemania. Musisz pokazać konkretny znacznik czasu (timestamp) oraz adres IP, z którego przyszła zgoda. W Seek Weed widzieliśmy przypadki, gdzie brak zapisu godziny zapisu do newslettera kosztował firmę 12 400 złotych grzywny.
Standardem musi być model double opt-in. Podczas audytu sprawdzane jest, czy wysyłasz maila potwierdzającego i czy trzymasz dowód na to, że ktoś kliknął w ten link. To twarde dane, jasne ryzyko. Jeśli Twoja baza liczy 18 230 rekordów, a masz potwierdzenia tylko dla połowy z nich, reszta powinna zostać natychmiast zanonimizowana. Urzędnicy potrafią losowo wybrać 15 maili z Twojego systemu do wysyłki i poprosić o pełną ścieżkę ich pozyskania w ciągu 45 minut.
Częstym błędem jest też ączenie zgody na regulamin ze zgodą na marketing. RODO tego zabrania. Muszą to być dwa oddzielne checkboxy. Podczas kontroli w firmie z branży iGaming w lipcu 2024 roku, inspektorzy zakwestionowali całą bazę 3 140 użytkowników właśnie przez jeden wspólny przycisk 'Zgadzam się na wszystko'. Naprawa tego błędu zajęła nam 14 dni roboczych, ale pozwoliła uniknąć zablokowania operacji firmy na terenie Polski.
Bezpieczeństwo techniczne i logowanie dostępu
Urzędnik z departamentu kontroli IT nie będzie patrzył na design Twojej strony. On zapyta o logi serwerowe. Kto logował się do panelu administracyjnego bazy danych w ubiegły wtorek o 14:15? Czy hasła są solone i hashowane? Czy używasz uwierzytelniania dwuskładnikowego (2FA)? W Seek Weed sprawdzamy te aspekty podczas audytu trwającego od 11 do 18 dni roboczych, abyś nie musiał tłumaczyć się z braku podstawowych zabezpieczeń.
Kolejnym punktem jest szyfrowanie. Jeśli przechowujesz dane na laptopach pracowników, dyski muszą być zabezpieczone np. BitLockerem. Podczas kontroli urzędnik może poprosić o pokazanie jednego z komputerów służbowych. Jeśli pracownik ma na pulpicie plik 'klienci_final_v2.xlsx' bez żadnego hasła, masz poważny problem. Zdejmujemy ryzyko z Twoich baz danych, wprowadzając procedury czystego biurka i czystego ekranu, które realnie działają, a nie tylko ładnie wyglądają w segregatorze.
Analizujemy też to, co dzieje się z danymi po zakończeniu pracy. Czy Twoi handlowcy mają dostęp do bazy z prywatnych telefonów? Jeśli tak, to jak kontrolujesz usuwanie tych danych po ich odejściu z firmy? W 2023 roku obsłużyliśmy 34 incydenty, gdzie były pracownik ukradł bazę danych, bo system nie logował jego nadmiarowej aktywności. Twardy paragraf mówi jasno: administrator musi monitorować dostęp do danych osobowych w czasie rzeczywistym.
Umowy powierzenia z dostawcami (DPA)
Twoja firma to nie samotna wyspa. Korzystasz z hostingu, systemów CRM, biura rachunkowego czy usług marketingowych. Do każdego z tych podmiotów musisz mieć podpisaną umowę powierzenia przetwarzania danych. Podczas kontroli urząd poprosi o listę wszystkich procesorów. Jeśli korzystasz z narzędzi z USA, sprawa jest jeszcze trudniejsza przez wymogi Data Privacy Framework. My sprawdzamy te umowy pod kątem konkretnych zapisów, a nie ogólnych formułek.
Częstym uchybieniem jest brak weryfikacji dostawców. RODO wymaga, abyś wybierał tylko takie podmioty, które dają gwarancję bezpieczeństwa. Czy zapytałeś swojego dostawcę hostingu o certyfikat ISO 27001? Czy masz to na piśmie? Jeśli nie, to Ty odpowiadasz za ich ewentualne błędy. W czerwcu 2024 roku jeden z naszych klientów uniknął kary tylko dlatego, że mieliśmy udokumentowaną korespondencję z dostawcą SaaS, w której dopytywaliśmy o sposób robienia kopii zapasowych.
Pracujemy na konkretach: audytujemy bazy danych pod kątem tego, gdzie te dane fizycznie leżą. Jeśli Twój CRM przechowuje dane na serwerze w Singapurze, a nie masz odpowiednich klauzul umownych, ryzykujesz natychmiastowe wstrzymanie przetwarzania danych. To może zabić Twój marketing w jeden dzień. W Seek Weed przepisujemy te umowy tak, aby chroniły Twój interes, a nie tylko dostawcę technologii.
Wybranie dostawcy bez sprawdzenia jego zabezpieczeń to dla urzędu przejaw rażącego niedbalstwa administratora.
Obsługa naruszeń i czas reakcji
Masz 72 godziny na zgłoszenie wycieku danych do UODO. Urzędnicy podczas kontroli sprawdzają, czy masz wewnętrzną procedurę na taki wypadek. Czy Twoi pracownicy wiedzą, do kogo zadzwonić w niedzielę o 23:00, gdy zauważą atak ransomware? Brak udokumentowanej ścieżki reagowania to jeden z najczęściej punktowanych błędów. Nie wystarczy wiedzieć, co zrobić – trzeba mieć to spisane i przetestowane.
W Seek Weed nie zajmujemy się laniem wody. Przygotowujemy rejestry incydentów, nawet tych małych. Jeśli zgubiłeś pendrive, ale go znalazłeś – to też powinien być ślad w Twoich dokumentach. Urząd ceni szczerość i procesowość. Pokazanie, że potrafisz zidentyfikować mały problem, udowadnia, że panujesz nad dużymi zbiorami danych. Średni czas naszej reakcji przy zgłaszaniu incydentu do urzędu to 2h 14min, co minimalizuje ryzyko nałożenia maksymalnej kary.
Ostatnim elementem jest ocena skutków dla ochrony danych (DPIA). Dla projektów high-risk, gdzie ryzyko naruszenia praw i wolności osób jest wysokie, taki dokument jest obowiązkowy. Jeśli wprowadzasz nowy system płatności krypto i nie zrobiłeś DPIA, kontroler uzna to za złamanie zasady privacy by design. To konkretny paragraf i konkretne rozwiązanie – robimy takie analizy w 11-18 dni roboczych, dając Ci spokój ducha przed każdą wizytą z Warszawy.
