Według Deloitte tylko 15 proc. firm z regionu EMEA będzie gotowe na czas do RODO (unijne rozporządzenie o ochronie danych osobowych, GDPR), które zacznie obowiązywać 25 maja br. Kary dla firm za naruszenie nowych regulacji sięgają 4 proc. rocznego globalnego obrotu, ale istotą zagrożeń jest ryzyko częstego łamania przepisów przez złą organizację firmowego IT – twierdzi Martyna Waluśkiewicz, radca prawny SAP Polska.

Ze względu na rosnącą masę przechowywanych danych z jednej strony, a z drugiej z uwagi na rosnące cyberzagrożenia, bez odpowiednich zabezpieczeń i procedur biznes w najbliższych latach będzie coraz bardziej narażony na problemy związane z cyfrowymi danymi. Według eksperta konieczna jest strategia zarządzania danymi osobowymi.

Nawet pół roku potrzeba na analizę

Jak szacują eksperci SAP, na dogłębną analizę stanu baz danych i ich zgodności z przepisami przedsiębiorstwa powinny zarezerwować od 3 do 6 miesięcy.

Równie długi czas może zajmować wdrożenie rozwiązań w oparciu o wnioski z audytu. Biorąc pod uwagę datę wejścia w życie RODO, dla firm przetwarzających dane osobowe ostatni dzwonek już mija – zaznacza ekspert. Obecnie dostępne oprogramowanie umożliwia jednak także szybkie zabezpieczenie firmy na okres przejściowy przed wdrożeniem kompleksowych rozwiązań.  

Konieczne kontrole

Według ekspert normą powinny być wewnętrzne kontrole i audyty bezpieczeństwa danych osobowych. Zarówno zaplanowane w stałych odstępach czasu, jak i doraźne.

Bardzo ważną rolę odgrywa także podział ról w firmie i wyznaczenie osób, odpowiedzialnych za zarządzanie danymi osobowymi.

Kolejny element to hermetyczność danych w przedsiębiorstwie i zróżnicowanie dostępu różnych osób do posiadanych przez firmę baz. Np. inne uprawnienia będzie miał administrator systemu, inne główny księgowy, a inne specjalista odpowiedzialny tylko za obsługę płatności. O tym wszystkim trzeba myśleć już na etapie projektowania zmian – podkreśla Martyna Waluśkiewicz.

Ogromna skala i odpowiedzialność

Skala zasięgu rozporządzenia jest ogromna, a w świetle nowych przepisów na firmach będzie ciążyć obowiązek wykazania, że nie naruszyły postanowień RODO – przypomina radca prawny SAP Polska.
Nowe regulacje nakładają na przedsiębiorstwa m.in. obowiązek skrupulatnej ochrony informacji o pracownikach i klientach. Szczególnemu nadzorowi i kontroli będą podlegać np. imiona i nazwiska, PESEL, adresy mailowe, numery telefoniczne lub IP, zdjęcia, transakcje czy CV, jak również dane geolokalizacyjne gromadzone np. w aplikacjach instalowanych w samochodach firmowych, urządzeniach nawigacyjnych czy telefonach oraz dane pozyskiwane w wyniku tzw. profilowania.

Jak w praktyce RODO będzie przekładać się na codzienne funkcjonowanie firm? Literalnie traktowane przepisy mogą prowadzić do dużych trudności dla biznesu. Przykładem mogą być choćby CV. Jeśli wśród setek życiorysów kandydatów przechowywanych przez firmę, w jednym zabraknie zgody na przetwarzanie danych, to niezależnie od tego, czy ta osoba zostanie zatrudniona, firma może być posądzona o złamanie przepisów.

Liczy się szybkość

Bardzo ważnym czynnikiem będzie szybkość zarządzania treściami. Przepisy dają bowiem osobom fizycznym jeszcze większe prawa dostępu do danych na swój temat. W centralnym punkcie RODO są osobiste prawa osób, których dane dotyczą.

Możemy wyobrazić sobie sytuację, w której klient telekomu będzie chciał dostać od niego informację, w jakich miejscach przetrzymywane są informacje na jego temat. I będzie miał do tego prawo, co zresztą nie jest nowością – zauważa radca prawny.

Ten sam podmiot może jednak jako klient tej firmy zażądać, aby ta „zapomniała” jego dane. Prawo do bycia zapomnianym jest czymś nowym w sensie prawnym. Kolejnym wypadkiem jest np. wyciek lub kradzież danych osobowych. Nowe regulacje dają firmie zaledwie 72 godziny na poinformowanie o takim przypadku. Dotyczy to zarówno wielkiej firmy jak i np. małego e-sklepu, „gubiącego” dane przez błąd pracownika – dodaje Martyna Waluśkiewicz.