Szykuje się rewolucja, na którą firmy nie są przygotowane

Rozporządzenie o ochronie danych osobowych (RODO) wejdzie w życie za nieco ponad 5 miesięcy. Może się wydawać, że to dużo czasu. Zmian jest jednak tak wiele, że jeśli firmy nie zaczęły jeszcze się przygotowywać, to mogą nie zdążyć.

 

Z nami przygotujesz się do RODO!

Zapoznaj się z ofertą szkoleń: kursów i warsztatów o różnym stopniu zaawansowania uczestników

w znajomość tematyki ochrony danych osobowych.

97 proc. dyrektorów najwyższego szczebla wie, że wkrótce wejdą w życie nowe przepisy dotyczące ochrony danych osobowych i ich firmy będą musiały się do nic dostosować. 9 na 10 deklaruje, że zapoznało się z ich założeniami. 84 proc. respondentów stwierdziło, że ochrona danych osobowych w ich firmach jest na najwyższym poziomie. Na podstawie tej ankiety można wnioskować, że polskie firmy są przygotowane do nowej rzeczywistości legislacyjnej. Niestety, prawda jest zupełnie inna.

Wiele firm musi do 25 maja wdrożyć zupełnie nowe systemy i procedury służące przetwarzaniu danych klientów. Ze świadomością firm na ten temat jest różnie. Optymizm dyrektorów, którzy w znakomitej większości są przekonani, że ich firmy są przygotowane do dostosowania się do nowych przepisów, to jednak w dużej mierze myślenie życzeniowe.

Wdrożenie RODO przez przedsiębiorców idzie bardzo powoli z dwóch powodów. Po pierwsze, konsumenci nie wymagają od nich lepszej ochrony swoich danych osobowych. Po drugie, istniejące już wcześniej przepisy, których realizacja znacząco ułatwiłaby obecne zadanie, nie były w praktyce egzekwowane, co wywołało lekceważący stosunek do całego zagadnienia ochrony prywatności.

Tymczasem sankcje za nieprzestrzeganie przepisów są ogromne. Maksymalna wysokość kary to 20 mln euro lub 4 proc. światowych rocznych obrotów firmy.

Świadomość rośnie wraz z wielkością firmy

Najlepiej z przygotowaniem się do wejścia w życie przepisów radzą sobie największe firmy, bo one też ryzykują największe kary. Firmy średniej wielkości, zatrudniające około 250 osób, właściwie w tym zakresie nie odstają od dużych. Małe i mikro przedsiębiorstwa też mają świadomość, ale odnosimy wrażenie, że czekają na to, co się wydarzy – mówi Magdalena Szymańska z firmy Sage, zajmującej się wdrożeniami informatycznymi.

Zapytana, czy firmy, które jeszcze nie przystąpiły do wdrażania postanowień rozporządzenia, mają szanse zdążyć przed upływem terminu, mówi, że owszem, ale pod warunkiem, że przystąpią do tego natychmiast. Jednak gotowość firmy do wdrożenia to jedno, ale dostępność specjalistów, którzy zlecenie wykonają, drugie.

– Zaprojektowanie wdrożenia Rozporządzenia to trudne zadanie, wymagające wiedzy w obszarze prawa, bezpieczeństwa teleinformatycznego oraz znajomości danej branży. W związku z tym na rynku mało jest specjalistów, którzy przyjmą zlecenie.

Aby obsłużyć wszystkie firmy, które powinny przygotować się do majowych zmian, na rynku powinno działać pięć razy więcej specjalistów, niż jest obecnie. Popyt na ich usługi już przewyższa podaż, więc już dziś odrzucają te zlecenia, które wydają im się niewystarczająco opłacalne finansowo. Godzina pracy specjalisty kosztuje zleceniodawcę co najmniej 200 zł netto. A to dopiero początek.

Złota era dla firm z tego sektora rozpocznie się z chwilą, gdy Prezes Urzędu Ochrony Danych Osobowych, który zastąpi istniejącego obecnie Generalnego Inspektora, nałoży pierwszą wysoką karę. Dopiero wtedy przedsiębiorcy zrozumieją, że nowe przepisy to nie żarty.

Nie da się abstrakcyjnie powiedzieć, ile kosztuje dostosowanie firmy do wymogów rozporządzenia, bo to zależy przede wszystkim od ilości przetwarzanych danych. Cena zależy nie tylko od wielkości firmy, ale też od branży. Możemy mieć ogromną, zrobotyzowaną fabrykę części samochodowych, w której wdrożenie będzie tańsze niż w średniej firmie handlowej z e-sklepem czy usługami marketingu internetowego.

Ochrona danych osobowych napisana od nowa

25 maja w życie wejdzie zupełnie nowa ustawa o ochronie danych osobowych, przy okazji zmieni się kilkanaście aktów prawnych. W wielu miejscach zmiana jest wręcz kolosalna. Po co to wszystko?

Dzisiejsza ustawa kilka miesięcy temu obchodziła 20-lecie wejścia w życie. Od tego czasu rozwój technologii poszedł zdecydowanie naprzód. Dotychczasowe przepisy są niedostosowane do takich obszarów jak przykładowo wykorzystanie danych biometrycznych. Dlatego ustawa o ochronie danych osobowych została napisana zupełnie od nowa. Przy jej tworzeniu zależało nam na jak najdalej idącym uproszczeniu procedur i dostosowaniu ochrony danych do rzeczywistości ery cyfrowej – wyjaśnia dr Maciej Kawecki, krajowy koordynator reformy.

Żeby przepisy zbyt szybko się nie zestarzały

Coś, co z jednej strony może być odbierane jako zaleta, drugiej może stanowić trudność. Przepisy o RODO są bardzo ogólne, co może powodować trudności interpretacyjne, lecz jednocześnie taka elastyczność była zamierzeniem jej twórców. Dotychczas obowiązująca ustawa była bardzo szczegółowa i w związku z tym bardzo się zdezaktualizowała – po prostu nie nadążyła za zmianami technologicznymi, z których korzystamy na co dzień.

W wymaganiach wobec przetwarzających dane bardziej skupiono się nie na mogących się zdezaktualizować metodach, tylko celach, jakie mają być nimi osiągane.

Kto musi znać nową regulację

Adresatami nowego rozporządzenia są nie tylko firmy, ale także szpitale, instytucje samorządowe i rządowe – a więc wszystkie podmioty, które gromadzą dane. Nie wszystkie będą jednak musiały podjąć taki sam wysiłek, by się do nowego prawa dostosować – ilość pracy będzie zależała od tego, ile danych organizacja gromadzi.

Żadna firma nie powinna jednak optymistycznie zakładać, że skoro gromadzi niewiele danych, to może przygotowywać się do wdrożenia zasad na kilkanaście dni przed wejściem w życie przepisów. To zdecydowanie za późno, bo obowiązków jest wiele: po pierwsze, trzeba zbudować wśród pracowników świadomość tego, jak od teraz będzie wyglądała ochrona danych. A z kwestii bardziej technicznych, trzeba zidentyfikować miejsca, w których istnieje ryzyko naruszeń przepisów i zaproponować rozwiązania ograniczające to ryzyko.

Dostosowanie się będzie oznaczało konieczność przejrzenia i dostosowania formularzy, klauzul i zgód na przetwarzanie danych osobowych klientów, zweryfikowania wewnętrznych procesów pod kątem bezpieczeństwa tych informacji, wdrożenia infrastruktury IT, utworzenia stanowiska administratora danych osobowych, który będzie czuwał nad przestrzeganiem nowej regulacji.

Nowe podejście do zagadnień prywatności

Rozporządzenie wprowadza nową filozofię myślenia o ochronie danych osobowych klientów i użytkowników usług. Prawidłowo określa się je mianem “privacy by design” oraz “privacy by default”. Ta pierwsza zakłada, że o kwestie ochrony danych osobowych należy zadbać już na etapie projektowania produktu. Druga zakłada, iż ochrona danych jest domyślnym prawem każdego obywatela.

Obecnie niejednokrotnie musimy podawać więcej danych, niż by to wynikało z natury usługi. Po co do doręczenia e-booka nasz adres fizyczny kupującego? Dlaczego ściągając aplikację do edycji zdjęć mamy udzielić dostępu do mikrofonu? Pewnym rozwiązaniem będzie zasada “privacy by default”. Zgodnie z nią prywatność będzie niejako domyślna, a każde konieczne uzyskanie naszych danych będzie musiało być uzasadnione potrzebą funkcjonowania określonej usługi.

Źródło: https://msp.money.pl/wiadomosci/zarzadzanie/artykul/rodo-firmy-rewolucja,255,0,2395647.html