Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie za nieco ponad 5 miesięcy. Może się wydawać, że to dużo czasu. Zmian jest jednak tak wiele, że jeśli firmy nie zaczęły jeszcze się przygotowywać, to mogą nie zdążyć.
97 proc. dyrektorów najwyższego szczebla wie, że wkrótce wejdą w życie nowe przepisy dotyczące ochrony danych osobowych i ich firmy będą musiały się do nic dostosować. 9 na 10 deklaruje, że zapoznało się z ich założeniami. 84 proc. respondentów stwierdziło, że ochrona danych osobowych w ich firmach jest na najwyższym poziomie. Na podstawie tej ankiety można wnioskować, że polskie firmy są przygotowane do nowej rzeczywistości legislacyjnej. Niestety, prawda jest zupełnie inna.
Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie za nieco ponad 5 miesięcy. Może się wydawać, że to dużo czasu. Zmian jest jednak tak wiele, że jeśli firmy nie zaczęły jeszcze się przygotowywać, to mogą nie zdążyć. Wiele z nich musi do 25 maja wdrożyć zupełnie nowe systemy i procedury służące przetwarzaniu danych klientów. Ze świadomością firm na ten temat jest różnie. Zacytowane dane pochodzą z badania przeprowadzonego przez firmę Trend Micro. Optymizm dyrektorów, którzy w znakomitej większości są przekonani, że ich firmy są przygotowane do dostosowania się do nowych przepisów, to jednak w dużej mierze myślenie życzeniowe.
- Wdrożenie RODO przez przedsiębiorców idzie bardzo powoli z dwóch powodów - mówi Szymon Matylla, ekspert ds. ochrony danych osobowych, związany z firmąLexDigital. Po pierwsze, konsumenci nie wymagają od nich lepszej ochrony swoich danych osobowych. Po drugie, istniejące już wcześniej przepisy, których realizacja znacząco ułatwiłaby obecne zadanie, nie były w praktyce egzekwowane, co wywołało lekceważący stosunek do całego zagadnienia ochrony prywatności.
Wróćmy do ankiety przeprowadzonej przez Trend Micro, w której dyrektorzy tak ochoczo potwierdzili, że ich firmy są przygotowane na wejście w życie przepisów. Odpowiedzi na kolejne pytania kazały wątpić, czy ankietowani naprawdę rozumieją, czym jest RODO. Gdy przyszło do konkretów, stan wiedzy był znacznie niższy.
"54 proc. ankietowanych nie wiedziało, że do kategorii wymagających ochrony danych umożliwiających identyfikację osób należy data urodzenia klienta.
49 proc. nie wzięłoby pod uwagę baz danych marketingowych używanych w kampaniach, a 43 proc. – adresów e-mail. Wynika z tego, że firmy nie są ani tak bezpieczne, ani tak dobrze przygotowane do nowych wymagań, jak im się wydaje".
Tymczasem sankcje za nieprzestrzeganie przepisów są ogromne. Maksymalna wysokość kary to 20 mln euro lub 4 proc. światowych rocznych obrotów firmy. Niewykluczone, że dobry nastrój przepytanych dyrektorów wynikał z tego, że 76 proc. z nich nie zdaje sobie sprawy z ich wysokości.
Świadomość rośnie wraz z wielkością firmy
- Najlepiej z przygotowaniem się do wejścia w życie przepisów radzą sobie największe firmy, bo one też ryzykują największe kary. Firmy średniej wielkości, zatrudniające około 250 osób, właściwie w tym zakresie nie odstają od dużych. Małe i mikro przedsiębiorstwa też mają świadomość, ale odnosimy wrażenie, że czekają na to, co się wydarzy – mówi Magdalena Szymańska z firmy Sage, zajmującej się wdrożeniami informatycznymi.
Zapytana, czy firmy, które jeszcze nie przystąpiły do wdrażania postanowień rozporządzenia, mają szanse zdążyć przed upływem terminu, mówi, że owszem, ale pod warunkiem, że przystąpią do tego natychmiast. Matylla jest jednak sceptyczny – bo gotowość firmy do wdrożenia to jedno, ale dostępność specjalistów, którzy zlecenie wykonają, drugie.
- Zaprojektowanie wdrożenia Rozporządzenia to trudne zadanie, wymagające wiedzy w obszarze prawa, bezpieczeństwa teleinformatycznego oraz znajomości danej branży. W związku z tym na rynku mało jest specjalistów, którzy przyjmą zlecenie - wyjaśnia.
Jego zdaniem, aby obsłużyć wszystkie firmy, które powinny przygotować się do majowych zmian, na rynku powinno działać pięć razy więcej specjalistów, niż jest obecnie. Popyt na ich usługi (a bierzmy poprawkę na to, że wielu przedsiębiorców nie podjęło jeszcze żadnych działań w tym kierunku!) już przewyższa podaż, więc już dziś odrzucają te zlecenia, które wydają im się niewystarczająco opłacalne finansowo. Godzina pracy specjalisty kosztuje zleceniodawcę co najmniej 200 zł netto. A to dopiero początek.
- Złota era dla firm z tego sektora rozpocznie się z chwilą, gdy Prezes Urzędu Ochrony Danych Osobowych, który zastąpi istniejącego obecnie Generalnego Inspektora, nałoży pierwszą wysoką karę – mówi. – Dopiero wtedy przedsiębiorcy zrozumieją, że nowe przepisy to nie żarty.
Nie da się abstrakcyjnie powiedzieć, ile kosztuje dostosowanie firmy do wymogów rozporządzenia, bo to zależy przede wszystkim od ilości przetwarzanych danych.
*- *Cena zależy nie tylko od wielkości firmy, ale też od branży. Możemy mieć ogromną, zrobotyzowaną fabrykę części samochodowych, w której wdrożenie będzie tańsze niż w średniej firmie handlowej z e-sklepem czy usługami marketingu internetowego. Dobre oprogramowanie kadrowo-płacowe obsługujące założenia RODO można mieć naprawdę tanio w abonamencie – wyjaśnia Magdalena Szymańska z Sage.
Ochrona danych osobowych napisana od nowa
25 maja w życie wejdzie zupełnie nowa ustawa o ochronie danych osobowych, przy okazji zmieni się kilkanaście aktów prawnych. W wielu miejscach zmiana jest wręcz kolosalna. Po co to wszystko?
- Dzisiejsza ustawa kilka miesięcy temu obchodziła 20-lecie wejścia w życie. Od tego czasu rozwój technologii poszedł zdecydowanie naprzód. Dotychczasowe przepisy są niedostosowane do takich obszarów jak przykładowo wykorzystanie danych biometrycznych. Dlatego ustawa o ochronie danych osobowych została napisana zupełnie od nowa. Przy jej tworzeniu zależało nam na jak najdalej idącym uproszczeniu procedur i dostosowaniu ochrony danych do rzeczywistości ery cyfrowej – wyjaśnia w rozmowie z money.pl dr Maciej Kawecki, krajowy koordynator reformy.
Technologie rozwijają się zawsze szybciej niż prawo. Przykładowo, mamy obecnie przepisy nadające obowiązek zmiany haseł zabezpieczających co 30 dni – ale dzisiaj to nie jest żadne zabezpieczenie! – dodaje Kawecki.
Żeby przepisy zbyt szybko się nie zestarzały
Coś, co z jednej strony może być odbierane jako zaleta, drugiej może stanowić trudność. Przepisy o RODO są bardzo ogólne, co może powodować trudności interpretacyjne, lecz jednocześnie taka elastyczność była zamierzeniem jej twórców.
Dotychczas obowiązująca ustawa była bardzo szczegółowa i w związku z tym bardzo się zdezaktualizowała – po prostu nie nadążyła za zmianami technologicznymi, z których korzystamy na co dzień.
- Aby nie dopuścić do szybkiego „zestarzenia” się nowej regulacji, celowo będzie ona bardziej ogólna. W wymaganiach wobec przetwarzających dane bardziej skupiono się nie na mogących się zdezaktualizować metodach, tylko celach, jakie mają być nimi osiągane – dodaje radca prawny Tomasz Palak z gdyńskiej kancelarii Profit Plus.
Kto musi znać nowa regulację
Adresatami nowego rozporządzenia są nie tylko firmy, ale także szpitale, instytucje samorządowe i rządowe – a więc wszystkie podmioty, które gromadzą dane. Nie wszystkie będą jednak musiały podjąć taki sam wysiłek, by się do nowego prawa dostosować – ilość pracy będzie zależała od tego, ile danych organizacja gromadzi.
Żadna firma nie powinna jednak optymistycznie zakładać, że skoro gromadzi niewiele danych, to może przygotowywać się do wdrożenia zasad na kilkanaście dni przed wejściem w życie przepisów. To zdecydowanie za późno, bo obowiązków jest wiele: po pierwsze, trzeba zbudować wśród pracowników świadomość tego, jak od teraz będzie wyglądała ochrona danych. A z kwestii bardziej technicznych, trzeba zidentyfikować miejsca, w których istnieje ryzyko naruszeń przepisów i zaproponować rozwiązania ograniczające to ryzyko.
Dostosowanie się będzie oznaczało konieczność przejrzenia i dostosowania formularzy, klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa tych informacji, wdrożenia infrastruktury IT, utworzenia stanowiska administratora danych osobowych, który będzie czuwał nad przestrzeganiem nowej regulacji.
Nowe podejście do zagadnień prywatności
Rozporządzenie wprowadza nową filozofię myślenia o ochronie danych osobowych klientów i użytkowników usług. Prawidłowo określa się je mianem "privacy by design" oraz "privacy by default". Ta pierwsza zakłada, że o kwestie ochrony danych osobowych należy zadbać już na etapie projektowania produktu – wyjaśnia mecenas Tomasz Palak.
Druga zakłada, iż ochrona danych jest domyślnym prawem każdego obywatela.
- Obecnie niejednokrotnie musimy podawać więcej danych, niż by to wynikało z natury usługi. Po co do doręczenia e-booka nasz adres fizyczny kupującego? Dlaczego ściągając aplikację do edycji zdjęć mamy udzielić dostępu do mikrofonu? Pewnym rozwiązaniem będzie zasada "privacy by default". Zgodnie z nią prywatność będzie niejako domyślna, a każde konieczne uzyskanie naszych danych będzie musiało być uzasadnione potrzebą funkcjonowania określonej usługi – dodaje.
