Nawet 50 proc. polskich przedsiębiorców nie poradziło sobie z pełnym wdrożeniem RODO – szacują eksperci firmy doradczej PwC i kancelarii PwC Legal.

Problemy pogłębia fakt, że wciąż jest brak kompletnych przepisów, mimo iż unijne rozporządzenie weszło w życie 25 maja br. Przepisy zmieniające ok. 200 regulacji sektorowych będą przez parlament procedowane najwcześniej we wrześniu br. Z powodu zbyt ogólnikowych sformułowań pojawiają się różne interpretacje RODO. Ministerstwo Cyfryzacji powołało więc grupę roboczą, która ma wyjaśniać błędy. A duże kary wciąż wiszą nad przedsiębiorstwami – do 20 mln euro lub 4 proc. rocznych obrotów.

Jak dotąd w Polsce UODO nikogo nie ukarał z powodu RODO. Poinformował niedawno, że po wejściu w życie nowych przepisów wpłynęło 2,4 tys. skarg. PwC szacuje, że do końca roku ich liczba wzrośnie co najmniej do 4 tys. Oprócz kar firmy muszą liczyć się z roszczeniami klientów. Kiedy będzie pierwsza spektakularna sprawa w sądzie?

– Spodziewamy się jej już w tym roku – mówi Gerard Karp, partner w kancelarii PwC Legal, lider TMT/IP i ochrony danych osobowych.

Póki co skutki RODO dla polskich przedsiębiorstw już są kosztowne, mimo że nikogo jeszcze nie ukarano. Według PwC po kilku miesiącach od wdrożenia unijnego rozporządzenia firmy narzekają najczęściej na to, że źle wdrożone RODO ogranicza możliwość działań marketingowych i sprzedażowych, a tym samym wzrost ich przychodów. Ponadto proces wejścia produktów i usług na rynek znacznie się wydłuża.

Sygnalizowane jest też nadużywanie praw, a w szczególności prawa do zapomnienia.
Firmom trudno znaleźć odpowiednie osoby na Inspektorów Ochrony Danych, a jest to obowiązek. Zagrożenie stwarza też fala fałszywych kontroli – oszuści powołują się na UODO.

Z kolei dla rynku ICT RODO jest impulsem rozwoju – jego efektem według PwC jest powstawanie nowych rozwiązań z zakresu data discovery (wyszukiwanie i identyfikacja danych), zarządzania danymi osobowymi oraz bezpieczeństwa.

 

Co robić, by zmniejszyć ryzyko

Przedsiębiorcy wciąż muszą dbać o zapewnienie zgodności z przepisami – jest to proces ciągły, a nie jednorazowe działanie – podkreśla PwC. Przypomnijmy, że nowe wymagania obejmują konieczność analizy ryzyka związanego z przetwarzaniem danych, dostosowania dokumentacji i procedur do nowych przepisów oraz uwzględnienia praw osób, których przetwarzane informacje dotyczą.

PwC radzi, by w proces cały czas były zaangażowane działy IT i prawne. Niezbędne jest wypracowanie procedur stwierdzania naruszeń ryzyka.

Każdy nowy produkt i usługa muszą być przemyślane pod kątem RODO. Ryzyko związane z naruszeniem nowych regulacji trzeba przeanalizować przed wypuszczeniem na rynek każdej nowości.

Eksperci zalecają dokumentować każdą czynność dotyczącą przetwarzania danych, co ułatwi kontrolę procesów.

Gdy nie ma IOD-y, warto mieć inną osobę zajmującą się przestrzeganiem RODO w firmie. Administratorzy danych muszą być przygotowani do rozszerzonych obowiązków. Chodzi m.in. o zarządzanie incydentami związanymi z naruszeniem ochrony danych osobowych, prowadzenie rejestru czynności przetwarzania danych, ocenę skutków tych działań i zarządzanie realizacją uprawnień osób – podmiotów danych (jak prawo dostępu, żądanie usunięcia itp.).