Choć rozporządzenie o ochronie danych osobowych (RODO) obowiązuje od 2018 r., to polskie firmy nadal mają trudności z wdrażaniem procedur zapewniających ochronę tych danych. Potwierdzają to wyniki kontroli przeprowadzonych przez Urząd Ochrony Danych Osobowych (UODO). Jak podaje Grant Thornton, łączna kwota kar nałożonych w ubiegłym roku przez ten organ wyniosła aż 14 mln zł. Natomiast z raportu „Cyberportret polskiego biznesu. Bezpieczeństwo cyfrowe oczami ekspertów i pracowników”, opracowanego przez laboratorium antywirusowe Eset i firmę Dagma Bezpieczeństwo IT, wynika, że 32 proc. badanych pracowników nie ma pewności, czy ich firma spełnia wymogi RODO.
Nowe obowiązki
Jak wynika z badań, podejście do przepisów o ochronie danych osobowych w dużej mierze zależy od wielkości przedsiębiorstwa.
- W przypadku tych zatrudniających przynajmniej 51 pracowników właściwe wdrożenie rozwiązań wynikających z RODO deklaruje 71 proc. respondentów. Ale wśród małych firm odsetek ten spada do 51 proc. Równocześnie niemal dwie trzecie przedsiębiorstw deklaruje transparentność w zbieraniu i przetwarzaniu danych osobowych klientów i kontrahentów oraz stosowanie ograniczonego i dodatkowo zabezpieczonego dostępu pracowników do firmowych zasobów zawierających dane szczególnej kategorii. Zastanawiać może fakt, że jedna trzecia ankietowanych nie postrzega swojego pracodawcy jako podmiotu przestrzegającego kwestii związanych z RODO – mówi Kamil Sadkowski, analityk Eset.
Eksperci zwracają uwagę, że wiele firm wciąż nie wdrożyło ochrony danych osobowych, a już czekają na nie kolejne obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) W lutym opublikowano piątą wersję projektu jej nowelizacji. Przepisy wspomnianej ustawy mają wdrożyć unijną dyrektywę NIS2 w zakresie bezpieczeństwa cyfrowego. Zdaniem ekspertów przedsiębiorcy stoją przed dużym wyzwaniem. Mowa tutaj m.in. o ewentualnych trudnościach związanych z reagowaniem na incydenty i sytuacje kryzysowe z obszaru cyberbezpieczeństwa.
Dotkliwe sankcje
Kary przewidziane w nowelizacji ustawy o KSC za niewykonanie obowiązków narzuconych przez przepisy odpowiadają minimalnym sankcjom określonym w dyrektywie. Dla podmiotów kluczowych, takich jak np. przedsiębiorstwa energetyczne, kary mogą sięgnąć nawet 10 mln EUR lub 2 proc. przychodów osiągniętych przez firmę w roku poprzednim. Z kolei dla podmiotów ważnych górna granica to 7 mln EUR lub 1,4 proc. przychodów. Kto należy do tej grupy?
- O ile w przypadku pierwszej grupy mówimy o najważniejszych, krytycznych podmiotach, o tyle w drugiej grupie znajdzie się wiele przedsiębiorstw z branż takich jak IT, usługi pocztowe, kurierskie, przedsiębiorstwa gospodarujące odpadami, produkcja i dystrybucja żywności, produkcja urządzeń elektrycznych czy produkcja samochodów oraz sprzętu transportowego. Regulacja NIS, czyli poprzedniczka NIS2, spowodowała szereg inwestycji w cyberbezpieczeństwo w sektorach objętych jej przepisami. Podobna fala inwestycji w obliczu NIS2 i zapowiadanych kar jest nieunikniona. Wśród obszarów, które uważamy za kluczowe w tym kontekście, należy wymienić: właściwe zarządzanie cyberbezpieczeństwem, wdrożenie odpowiednich systemów ochrony, a także wykrywanie i reagowanie na incydenty z obszaru cyberbezpieczeństwa – mówi Kamil Sadkowski.