Nie wszystkie firmy zdążą z RODO

Przetwarzanie danych osobowych przeszło drogę od segregatora z kwitami do zaawansowanych systemów IT. Ich złożoność nie ułatwia wdrożenia nowych zasad

Analizy wskazują jasno, że nie wszyscy przedsiębiorcy zdążą z dostosowaniem działalności do wymogów unijnego rozporządzenia o ochronie danych osobowych (RODO). W praktyce w życie wchodzi ono już 25 maja. Czasu jest coraz mniej, a tylko 3 proc. krajowych firm we właśnie ogłoszonym badaniu PwC, zrealizowanym jesienią 2017 r. na potrzeby raportu „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępczością liczą na szczęście”, zadeklarowało pełną gotowość. Połowa jest w jednej trzeciej drogi, a 20 proc. jeszcze w ogóle nie rozpoczęło przygotowań. Analizy KPMG prowadzone w podobnym czasie są nieco bardziej optymistyczne, choć na ich podstawie można wysnuć podobne wnioski. Raport „Barometr cyberbezpieczeństwa” wskazuje, że wymogi RODO wdrożyło 24 proc. firm (u 9 proc. potwierdził to audyt), natomiast do braku jakichkolwiek działań w tym zakresie przyznało się 12 proc. respondentów, a 6 proc. wybrało w ankiecie odpowiedź „nie wiem/trudno powiedzieć”.

Wyświetl galerię [1/2]

W TOKU: Analizy PwC wskazują, że obecnie przygotowania do RODO w firmach często są ograniczane do „rozwiązań operacyjnie najprostszych”. Rozporządzenie — jak zaznacza Marcin Makusak, dyrektor zespołu zarządzania ryzykiem w PwC — nie definiuje jednak tego, jakie zmiany należy wykonać w systemach informatycznych lub jakie rozwiązania wdrożyć. Fot. Marek Wiśniewski

Luki do sprawdzenia

— Firmy są na różnym etapie przygotowań do wdrożenia RODO — od stosunkowo dobrze przygotowanej branży finansowej po mniejszych przedsiębiorców, którzy dopiero teraz zaczynają proces dostosowawczy. Część z nich może jednak nie zdążyć, choć wiele w tym zakresie zależy od wielkości organizacji i tego, jak bardzo rozbudowane są jej procesy wewnętrzne, poziom świadomości w zakresie ochrony danych osobowych, a także od specyfiki i formuły działalności — B2B lub obsługi tysięcy klientów indywidualnych — zaznacza Marcin Makusak, dyrektor zespołu zarządzania ryzykiem w PwC. W badaniu KPMG gotowość do RODO najczęściej deklarowały mniejsze podmioty.

— Prawdopodobnie takie, których model biznesowy i struktura wewnętrzna nie wymagały głębokich analiz. Jednocześnie w tej grupie znajdowało się też najwięcej przedsiębiorców, którzy nie rozumieli, jakich zmian wymaga od nich nowe rozporządzenie. Konieczne do wprowadzenia zmiany i tak stanowią największe wyzwanie dla firm, w których dane osobowe są przetwarzane w wielu obszarach działalności — od pracowników, zarówno już zatrudnionych, jak i rekrutowanych, poprzez dostawców, aż po klientów, obecnych i potencjalnych, w tym również takich, których dane są pozyskiwane w ramach bieżących kampanii marketingowych — dodaje Krzysztof Radziwon, partner w dziale usług doradczych KPMG.

Dla przypomnienia: niewywiązanie się z narzuconych przez nowe przepisy obowiązków grozi nałożeniem kar finansowych — do 20 mln EUR lub 4 proc. wartości rocznego globalnego obrotu przedsiębiorstwa.

Dane w systemie IT

Krzysztof Radziwon nadmienia, że RODO stanowi duży przeskok w stosunku do przepisów dyrektywy z 1995 r. Od tego czasu środowisko, w jakim przetwarzane są dane osobowe, mocno się zmieniło i przeszło przez próg cyfryzacji. Dotychczas obowiązująca dyrektywa nie nadąża za obecną rzeczywistościątechnologiczną i nie uwzględnia ogromnych zmian w sposobie dzielenia się danymi osobowymi, choćby w kontekście rewolucji, jaka zaszła za sprawą rozwoju mediów społecznościowych.

— Od papierowych kartotek i rejestrów w dużej mierze przeszliśmy do przetwarzania danych w nowoczesnych systemach informatycznych. Problem jednak w tym, że rozporządzenie nie określa, z jakiego katalogu zabezpieczeń należy skorzystać. To na administratorze danych spoczywa obowiązek dokonania oceny zagrożeń i dobrania mechanizmów ochrony — wyjaśnia ekspert KPMG.

RODO definiuje prawa jednostki, której dane są przetwarzane, i zasady, w tym „privacy by default” (prywatności w ustawieniach domyślnych) oraz „privacy by design” (prywatności w fazie projektowania). Oznaczają one konieczność zadbania o ochronę danych osobowych na każdym etapie oferowania produktów czy realizacji usług.

— Zobrazować może to działanie aplikacji mobilnej na smartfony — dostawca rozwiązania, który chce wykorzystywać geolokalizację użytkowników, np. w celu identyfikacji preferencji konsumenckich, musi zadbać o takie jej zaprojektowanie, aby można było tę funkcję włączyć lub wyłączyć, a użytkownik, który zgadza się na gromadzenie i wykorzystywanie informacji o sobie, powinien zostać poinformowany przez dostawcę, w jakim zakresie jego dane będą przetwarzane — podaje Marcin Makusak.

Cel przetwarzania

W dużych organizacjach, dla zachowania zgodności z regulacją, potrzebne będą np. narzędzia wspierające utrzymanie aktualnego rejestru czynności przetwarzania danych osobowych.

 Skorzystać można tu z rozwiązań klasy „data discovery”, które wyszukują odpowiednie dane w systemach czy na dyskach sieciowych i powiadamiają właściwe jednostki w organizacji o identyfikacji nowych zbiorów, dla których powinny zostać zastosowane odpowiednie wymagania i zdefiniowany cel przetwarzania — podpowiada Marcin Makusak.

Jego zdaniem, istotnym zagadnieniem zdefiniowanym w rozporządzeniu jest również „data portability” (przenoszalność danych). Klient, np. banku, ma prawo poprosić o przeniesienie swoich danych do konkurencyjnej instytucji finansowej, co bez wdrożenia odpowiednich narzędzi, które umożliwią zebranie danych z organizacji oraz udostępnienie ich konsumentowi, będzie trudne do wykonania.

— Ponadto niezwykle ważne jest zastosowanie odpowiednich narzędzi zabezpieczających organizację przed wyciekiem danych osobowych czy identyfikacji korelacji zdarzeń w systemach, które umożliwią działania prewencyjne. Organizacje coraz częściej wspierają się w tym obszarze narzędziami klasy DLP [ochrona przed utratą danych — przyp. red.] czy SIEM (systemy do zarządzania informacją i zdarzeniami bezpieczeństwa) — wylicza Marcin Makusak.

 

30 proc. Na tyle swoją gotowość do wdrożenia RODO ocenia połowa firm badanych przez PwC.

 

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Anna Bełcik

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Inwestora / Nie wszystkie firmy zdążą z RODO