Od wprowadzenia RODO minęło już pięć lat – Jakie wnioski można wyciągnąć z pięcioletniego doświadczenia z RODO?

Od wprowadzenia RODO minęło już pięć lat. Rewolucyjny akt prawny zmienił sposób w jaki przedsiębiorstwa i organizacje zarządzają danymi osobowymi, a ochrona danych osobowych stała się wartością ekonomiczną. Firmy musiały przystosować się do rygorystycznych przepisów RODO, dostosowując swoje procedury i systemy do zapewnienia ochrony danych osobowych. Wraz z procesem pojawiały się jednak nie tylko nowe wyzwania, lecz i szanse, które wpływają na sposób prowadzenia biznesu i relacje z klientami.

O unijnym rozporządzeniu RODO słyszał każdy przedsiębiorca. Obowiązki wskazane w ustawie dotyczą w końcu zarówno gigantów technologicznych, jak i małych sklepów e-commerce. Wdrożenie obowiązujących przepisów w życie często bywa niełatwym zadaniem. Zwłaszcza, że ochrona danych to proces wymagający ciągłej uwagi. Dynamiczny rozwój technologii i ewolucja cyber-zagrożeń wymagają stałej adaptacji i doskonalenia praktyk ochrony danych. Gotowych, dedykowanych rozwiązań, z których łatwo skorzystać, niestety, nadal nie widać… Jakie wnioski można wyciągnąć z pięcioletniego doświadczenia z RODO?

 

Spóźniony przepis

Chociaż Rozporządzenie o Ochronie Danych Osobowych obowiązuje w Polsce (i w całej Europie) od 25 maja 2018 roku jego historia jest oczywiście zdecydowanie dłuższa. Za początek prac nad ustawą RODO można przyjąć czerwiec 2011 roku. To właśnie w tym roku Europejski Inspektor Ochrony Danych opublikował opinię na temat „Kompleksowego podejścia do ochrony danych osobowych w UE” stając się tym samym trybikiem, który wprawił w ruch Komisję Europejską. Na odpowiedź nie trzeba było długo czekać. Już w styczniu 2012 roku Komisja Europejska zaproponowała kompleksową reformę unijnych przepisów o ochronie danych z 1995 roku, które miały wzmocnić prawa do prywatności w Internecie i pobudzić europejską gospodarkę cyfrową. Tak, może choć trudno w to uwierzyć, dyrektywa w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu danych (95/46/WE) nie była zmieniana od końca XX wieku, czyli czasu, gdy Internet jaki znamy obecnie był jeszcze w powijakach.

Dla wielu firm wdrożenie nowych unijnych regulacji faktycznie oznaczało konieczność wprowadzenia dużych zmian, zarówno natury formalnej, jak i praktycznej. Niektóre organizacje, na przykład te, których podstawowa działalność obejmowała regularne i systematyczne monitorowanie danych osobowych lub wrażliwych na dużą skalę, a także organizacje sektora publicznego, musiały wyznaczyć inspektora ochrony danych w celu zapewnienia zgodności z RODO.

 

„W rozwiązaniach technologicznych dedykowanych medycynie główny nacisk kładziemy na bezpieczeństwo przechowywanych danych, które podnosi standard i jakość obsługi pacjentów. W tym zakresie RODO jest podstawowym elementem procedur dotyczących przetwarzania danych medycznych.” – mówi Krzysztof Mędrala, CEO MedApp S.A.

 

Nie taki wilk straszny…?

Chociaż RODO obowiązuje w Polsce już od kilku lat, przestrzeganie rozporządzenia wciąż bywa problematyczne dla niektórych przedsiębiorców. Obawy są uzasadnione. Nieprzestrzeganie postanowień RODO może w przypadku niektórych naruszeń prowadzić do nałożenia wysokich kar, sięgających nawet 20 mln euro lub 4 proc. światowego obrotu firmy. Ponadto organ ochrony danych może nakazać dodatkowe środki naprawcze, takie jak zaprzestanie przetwarzania danych osobowych… Niemniej jednak przeglądając administracyjne kary nakładane przez polski organ nadzorczy na przestrzeni ostatnich kilku lat można odnieść wrażenie, że zdecydowanie częściej używana jest marchewka, niż kij… oczywiście z kilkoma wyjątkami.

 

Rekordowe liczby

Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2022 roku wynosiła niemal 5 mln złotych, była to także rekordowa suma nałożona przez polski organ nadzorczy. W ubiegłym roku Urząd Ochrony Danych Osobowych nałożył łącznie 13 kar finansowych, o wartości ponad 6 mln złotych. Dla porównania w 2021 roku wydano 14 kar pieniężnych, których łączna suma była równa ponad 2,2 mln zł, a w 2020 roku było ich 10, a ich łączna suma nie przekroczyła 3,5 mln zł. Warto mieć także na uwadze, że kary zostały nałożone zarówno na podmioty publiczne oraz prywatne, tak więc nikt nie może więc czuć się bezkarny.

2022 był także kolejnym rekordowym rokiem pod względem nałożonych kar finansowych. Ich łączna wartość wyniosła 1,64 mld EUR i była aż 50 proc. wyższa niż suma kar zgłoszonych w 2021 roku. Zgodnie z przewidywaniami ekspertów w ubiegłym roku najbardziej prześwietlani zostali giganci w sektorze mediów społecznościowych. Nie ma w tym nic dziwnego. Ekosystem online nieustannie ewoluuje i staje się coraz bardziej złożony, a gromadzenie danych osobowych przez dostawców usług internetowych to nadal stosunkowo kontrowersyjny temat. Stawka jest wysoka, a prawo w tej dziedzinie pozostaje dalekie od uregulowania, odwołania od decyzji urzędów regulujących będą więc nieuniknione.

 

Rosnąca presja napędza rynek

Eskalacja przepisów dot. prywatności danych oraz rosnąca presja prowadzi także do konieczności zwiększenia liczby osób pracujących w branży. Czy pojedyncza osoba pełniąca funkcję inspektora ochrony danych bądź zbliżoną rolę jest w stanie ręcznie zarządzać, nadzorować i wdrażać przepisy o ochronie danych bez zespołu lub przynajmniej jednego asystenta? Ponadto stanowi to także pole do radykalnego ograniczenia pracy ręcznej.

W 2020 roku rynek ochrony danych jako usługi (Data-Protection-as-a-Service) został wyceniony na 7,61 mld USD. Oczekuje się, że w latach 2021-2026 osiągnie 18,96 mld USD do 2026 r., odnotowując CAGR na poziomie 17,1 proc. Naruszenia oraz postępująca migracja danych do chmury w celu uzyskania elastyczności i sprawności oraz optymalizacji oszczędności kosztów to kluczowe czynniki przyczyniające się do wzrostu rynku.

 

„O RODO mówiło się z początku w kontekście uciążliwego obowiązku, finalnie wdrożenie przepisów okazało się dla biznesu wymierną korzyścią. Spełnianie jednolitych na całym unijnym rynku przepisów, uwiarygadnia firmę, odzwierciedlając jej podejście wobec danych klientów, plus jest jej przewagą rynkową w odróżnieniu od graczy spoza UE.podkreśla Robert Paszkiewicz, odpowiedzialny za region CEE w OVHcloud. Dopełnienie przepisów wymaga dodatkowych nakładów pracy i środków, co doceniają klienci, operujący zawłaszcza we „wrażliwych”, jeśli chodzi o dane, branżach, jak sektor opieki zdrowotnej, podmioty finansowe czy ubezpieczeniowe. Dzięki rygorystycznym przepisom zabezpieczającym prywatność klientów oraz transparentnym zasadom przetwarzania danych możemy zyskać ich zaufanie, co owocuje często większą lojalnością oraz lepszą reputacją firmy.”

 

OVHcloud ogłasza zwycięzcę globalnego konkursu Startup Program Showcase Contest w ramach uruchomionej inicjatywy Fast Forward Accelerator