Zbliżające się wejście w życie przepisów RODO zweryfikuje dojrzałość technologiczną firm nie tylko w Polsce, ale w całej Europie. – zdaniem radcy prawnego z SAP Polska.
Według analiz IDC w globalnym obiegu jest 16 miliardów gigabajtów danych. Do 2025 roku ma ich być dziesięć razy więcej. Ogromną ich częścią zarządzają firmy, zaniedbując bezpieczeństwo. – Zarówno kluczowe procesy biznesowe, jak i poboczne zadania związane z cyfrowymi danymi mogą być dziś źródłem kryzysu. Zbliżające się wejście w życie przepisów RODO zweryfikuje dojrzałość technologiczną firm w całej Europie – komentuje Martyna Waluśkiewicz, radca prawny SAP Polska. Jak podaje Deloitte, tylko 15% firm z regionu EMEA będzie gotowe na czas.
Unijne Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR) zacznie w pełni obowiązywać 25 maja 2018 roku. O tej regulacji napisano już wiele, m.in. straszono karami za naruszenie przepisów, sięgającymi nawet 4% rocznego globalnego obrotu. Istotą zagrożeń dla biznesu – według ekspertów – nie są jednak rekordowe kary, ale ryzyko częstego łamania przepisów przez złą organizację firmowego IT. Nowe regulacje nakładają na przedsiębiorstwa m.in. obowiązek skrupulatnej ochrony informacji o pracownikach i klientach. Szczególnej ochronie i kontroli podlegać będą np. imiona i nazwiska, PESEL, adresy mailowe, numery telefoniczne lub IP, zdjęcia, transakcje czy CV, jak również dane geolokalizacyjne gromadzone np. w aplikacjach instalowanych w samochodach flotowych, urządzeniach nawigacyjnych czy telefonach oraz dane pozyskiwane w wyniku tzw. profilowania.
Jak tłumaczy Martyna Waluśkiewicz, radca prawny w SAP Polska, trudno dziś wyobrazić sobie firmę, która nie dysponuje choć częścią z nich – zwłaszcza w dobie lawinowego przyrostu danych cyfrowych. Skala zasięgu rozporządzenia jest więc ogromna. Co więcej, w świetle nowych przepisów to właśnie na firmach będzie ciążyć obowiązek wykazania, że nie naruszyły postanowień RODO.
– Tym, co łączy cały rynek, jest konieczność ugruntowania dojrzałej i konsekwentnej strategii zarządzania danymi osobowymi. Jak w praktyce RODO będzie przekładać się na codzienne życie firm? Literalnie traktowane przepisy mogą prowadzić do dużych trudności dla biznesu. Przykładem mogą być choćby CV. Jeśli wśród setek życiorysów kandydatów posiadanych przez firmę na dyskach, w jednym zabraknie klauzuli zgody na przetwarzanie danych, to niezależnie od tego czy właśnie ta osoba zostanie przez nas z sukcesem zatrudniona, będziemy mogli być posądzeni o złamanie przepisów. Czy jest to istotne ryzyko? W skali całej gospodarki być może nie, ale w skali pojedynczego przedsiębiorcy może okazać się ono istotne – mówi Martyna Waluśkiewicz.
Bardzo ważnym czynnikiem w kontekście RODO będzie szybkość zarządzania treściami. Przepisy dają bowiem osobom fizycznym jeszcze większe prawa dostępu do danych na swój temat. W centralnym punkcie RODO są osobiste prawa osób, których dane dotyczą.
– Możemy wyobrazić sobie sytuację, w której klient telekomu będzie chciał dostać od niego informację, w jakich miejscach przetrzymywane są informacje na jego temat. I będzie miał do tego prawo, co zresztą nie jest nowością. Ten sam podmiot może jednak jako klient tej firmy zażądać, aby ta „zapomniała” jego dane. Prawo do bycia zapomnianym jest już czymś nowym w sensie prawnym. Kolejnym wypadkiem jest np. wyciek lub kradzież danych osobowych. Nowe regulacje dają firmie zaledwie 72 godziny na poinformowanie o takim przypadku. Dotyczy to zarówno wielkiej firmy FMCG zarządzającej danami milionów osób, atakowanej przez hakerów, jak i małego sklepu internetowego „gubiącego” dane przez błąd pracownika – dodaje Martyna Waluśkiewicz.
Prawnicy podkreślają, że RODO to impuls do budowy spójnych strategii zarządzania cyfrowymi danymi. Dlaczego są one tak ważne? Według badań PwC w 2017 roku 96% polskich średnich i dużych firm odnotowało ponad 50 cyberataków na swoje bazy danych. Bez odpowiednich zabezpieczeń i procedur biznes w najbliższych latach będzie więc narażony na coraz większą liczbę cyfrowych wycieków. Tymczasem według najnowszych badań Deloitte tylko 15% firm w regionie EMEA (Europa, Bliski Wschód, Afryka) szacuje, że będą działać w pełni zgodnie z wymaganiami nowych przepisów w dniu ich wejścia w życie.
– Już dziś nawykiem biznesu powinny być wewnętrzne kontrole i audyty bezpieczeństwa danych osobowych. Zarówno zaplanowane w stałych odstępach czasu, jak i doraźne. Rzeczywistość jednak pokazuje, że w wielu wypadkach tego nawyku nie ma. Bardzo ważną rolę odgrywa także podział ról w firmie i wyznaczenie konkretnych osób, odpowiedzialnych za zarządzanie danymi osobowymi. Kolejny element to hermetyczność danych w przedsiębiorstwie i zróżnicowanie dostępu różnych osób do posiadanych przez nas baz. Na przykład, inne uprawnienia będzie miał administrator systemu, inne główny księgowy, a inne specjalista ds. finansów odpowiedzialny tylko za obsługę płatności. O tym wszystkim trzeba myśleć już na etapie projektowania zmian – komentuje Martyna Waluśkiewicz.
Jak szacują eksperci SAP, na dogłębną analizę stanu baz danych i ich zgodności z przepisami przedsiębiorstwa powinny zarezerwować od 3 do 6 miesięcy. Równie długi czas może zajmować implementacja rozwiązań, które wyegzekwują wnioski z audytu – zwłaszcza technologicznych. Biorąc pod uwagę datę wejścia w życie RODO, dla firm przetwarzających dane osobowe ostatni dzwonek już mija. Obecnie dostępne oprogramowanie umożliwia jednak także szybkie zabezpieczenie firmy na okres przejściowy przed wdrożeniem kompleksowych rozwiązań. Biznes wciąż ma więc możliwości zareagowania na nową sytuację, choć będzie mu coraz trudniej zdążyć przed RODO.