RODO po 3 latach obowiązywania: jakie trudności obserwują firmy?

Wprowadzenie przepisów RODO w znacznym stopniu zrewolucjonizowało podejście do przetwarzania i ochrony danych osobowych. Wpłynęło w oczywisty sposób na funkcjonowanie wielu organizacji. Po 3 latach obowiązywania warto przyjrzeć się problemom i korzyściom, które obserwują przedstawiciele biznesu.

fot. canva.com

Informacje, w tym dane osobowe, odgrywają kluczową rolę na nowoczesnym rynku. Jego globalny charakter i szybki przepływ danych pozwalają na jeszcze szybszy i wydajniejszy rozwój. Z drugiej strony są również narażone na różnego typu zagrożenia, których lista wciąż się zwiększa. W związku z tym tak ważne jest zabezpieczenie danych i umiejętne kontrolowanie ich przetwarzania. Właśnie z tego powodu wprowadzone zostały ujednolicone przepisy RODO, które początkowo oznaczały dla wielu organizacji niemal rewolucję, a spore trudności w implementacji nowych rozwiązań przełożyły się na zróżnicowane problemy i konieczność wypracowania zupełnie nowych mechanizmów działania. Od wejścia w życie przepisów upływają już niemal trzy lata. W związku z tym to dobry moment na podsumowanie dotychczasowych działań i określenie zarówno pojawiających się wciąż problemów, jak i dodatkowych perspektyw na rozwój tego aspektu funkcjonowania działalności.

Ochrona danych osobowych w firmie: zupełnie nowe podejście

Wraz z rozwojem współczesnego rynku wiele aktywności stało się prostsze, a praktycznie nieograniczony przepływ danych sprawia, że podejmowanie decyzji jest zdecydowanie szybsze i sprawniejsze. Z drugiej strony wiąże się to również z dodatkowymi zagrożeniami. Rozporządzenie RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ma skutecznie przeciwdziałać wielu czynnikom ryzyka, na które mogą być narażone dane osobowe, a więc informacje o szczególnym charakterze. Ich naczelnym celem jest przy tym ujednolicenie stosowanych we Wspólnocie przepisów dotyczących danych osobowych oraz dostosowanie ich do wymagań nowoczesnego rynku oraz potrzeb środowiska biznesowego.

RODO, określane w globalnym środowisku jako GDPR (ang. General Data Protection Regulation), zostało wydane 27 kwietnia 2016 roku, jednak weszło ostatecznie w życie 25 maja 2018 roku. Choć, co oczywiste, oznaczało zupełnie nowe obowiązki i regulacje nakładane na firmy i organizacje, jego podstawowym celem stało się zabezpieczenie interesu konsumentów przy jednoczesnym wskazaniu jasnych kryteriów i procedur, które mają wspomagać środowisko biznesowe w realizacji codziennych obowiązków. Warto mieć świadomość, że już na samym początku zakładano, że wprowadzenie RODO umożliwi uzyskanie oszczędności na poziomie 2,3 mld euro rocznie.

RODO wymaga wiedzy

Bez wątpienia implementacja procedur zgodnych z przepisami RODO to spore wyzwanie organizacyjne i prawne dla wielu podmiotów. Wymaga nie tylko wprowadzenia określonych mechanizmów, pozwalających na efektywne działanie w tym zakresie, ale również stałe monitorowanie i egzekwowanie ich wykorzystania oraz doskonalenie procedur w taki sposób, aby z jednej strony skutecznie chroniły przetwarzane dane osobowe, a z drugiej okazywały się istotnym wsparciem w funkcjonowaniu podmiotu. Wdrażanie RODO jest w rzeczywistości zachodzącym nieustannie procesem, a nie jednorazowym działaniem. Doskonałym źródłem wiedzy na ten temat będzie konferencja online RODO - dotychczasowa praktyka organu nadzoru i przedsiębiorców. W jej ramach doświadczeni prawnicy, managerowie i inspektorzy danych osobowych podzielą się sprawdzonymi sposobami na optymalizację zarządzania danymi osobowymi w zgodzie z przepisami RODO.

RODO: próba podsumowania

Oczywiście RODO nie ogranicza się wyłącznie do uchwalonego w kwietniu 2016 roku aktu prawnego. Wręcz przeciwnie: wymaga nieustannego przyglądania się podejmowanym działaniom i doskonalenia strategii. Robi to również, zgodnie z zapowiedziami, Komisja Europejska. Już po dwóch latach od wdrożenia RODO wydała rozbudowany raport na ten temat. Jednym z problemów natury politycznej, który zauważyli eksperci, jest przede wszystkim pewna dowolność w kształtowaniu niektórych przepisów przez konkretne państwa członkowskie, odbiegające niekiedy również od standardów wprowadzonych przez rozporządzenie RODO. To przekłada się natomiast na problemy o naturze czysto gospodarczej, zwłaszcza w relacjach pomiędzy podmiotami reprezentującymi różne kraje członkowskie.

Zdaniem specjalistów KE przepisy RODO są dostosowane do wymogów nowoczesnego rynku, skupionych również na rozwiązaniach cyfrowych. Z drugiej strony autorzy zauważają jednak potrzebę wypracowania szczególnego podejścia i bardziej zaawansowanych regulacji w przypadku podmiotów, które korzystają z najbardziej innowacyjnych technologii, takich jak sztuczna inteligencja, blockchain czy Internet Rzeczy (IoT).

Wyzwania dla organizacji

Zagadnieniu RODO i implementacji przepisów warto przyjrzeć się również z drugiej strony. Ciekawych informacji dostarcza raport „Incydenty ochrony danych osobowych 2020”, przygotowany przez Związek Firm Ochrony Danych Osobowych, w którym wzięły udział 454 organizacje, reprezentujące różne branże i sektory. Odnotowano w ich gronie 297 incydentów, wobec czego średnio w ciągu roku zaobserwowano 0,65 incydentu w przeliczeniu na jeden podmiot. Jednocześnie zaledwie co trzeci z nich został zgłoszony do organu nadzorczego, a więc prawdopodobieństwo jego wpływu na prawa lub wolności osób fizycznych zostało określone jako nikłe (rok wcześniej wskaźnik ten był zdecydowanie wyższy i dotyczył 41% naruszeń). Na podobnym poziomie prezentują się również zgłoszenia tego faktu osobom, których dotyczyły incydenty. Jak widać, świadome podejście do przepisów RODO pozwala na zdecydowanie sprawniejsze operowanie i szybkie diagnozowanie zagrożeń, co może okazać się pomocne w minimalizacji potencjalnych konsekwencji. Ta świadomość – wspierana m.in. przez konsultacje z doświadczonymi ekspertami zajmującymi się ochroną danych osobowych – z roku na rok rośnie.

RODO istotne w każdej branży

Zebrane w raporcie dane pokazują ponadto, że ryzyko wystąpienia incydentów związanych z łamaniem procedur RODO jest realne w każdej branży i niezależne np. od wykorzystywanej przez podmiot formy prawnej. Szczególnie narażona na ryzyko tego typu jest branża handlowa, uwzględniająca również intensywnie rozwijający się i w znacznym stopniu powiązany z przetwarzaniem danych osobowych sektor e-commerce. Odpowiada ona aż za 26% wszystkich przypadków. Istotne ryzyka są związane również z działalnością finansową i ubezpieczeniową (8%) oraz przemysłem i produkcją (13%). Większość przypadków wystąpiła przy tym w sektorze prywatnym, jednak – co oczywiste – do incydentów tego typu dochodzi również w jednostkach publicznych.

Przyczyny błędów

Jednocześnie pogłębiona analiza wskazuje jednoznacznie, że najczęściej przyczyna problemów ma charakter wewnętrzny, a więc wynika np. z niewłaściwego działania pracowników lub współpracowników podmiotu (to aż 68% wszystkich przypadków). Co piąty incydent był wynikiem działania czynników zewnętrznych, takich jak chociażby ataki hakerskie, a w 12% przypadków zawinił podmiot przetwarzający dane osobowe na zlecenie administratora. Jednocześnie aż 92% incydentów ma charakter nieumyślny: wynikają np. z błędnego stosowania procedur lub stosunkowo prostych pomyłek i niedopatrzeń, które mogą jednak nieść zdecydowanie poważniejsze konsekwencje. Ponadto 95,5% przypadków zakwalifikowano jako przyczyny osobowe. Wobec tego łatwo ustalić, że zazwyczaj do złamania procedur RODO dochodzi w wyniku nieintencjonalnego działania własnych pracowników.

Autor: Paweł Łaniewski, Redaktor, Puls Biznesu

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.