Przepisy RODO wciąż niejasne dla firm

opublikowano: 22-05-2019, 22:00

Po roku od startu reformy połowa przedsiębiorców pytanych przez EY nie wie, czy kontrola wypadłaby dla nich pomyślnie

W związku z reformą ochrony danych osobowych, obowiązującą od 25 maja 2018 r., 89 proc. przedsiębiorców musiało wprowadzić w swoich firmach wiele zmian. Dostosowanie prowadzonego biznesu do nowych zasad zajęło pół roku dla grupy 44 proc. respondentów badania EY, a dłużej, czyli rok lub więcej — 33 proc. podmiotów ankietowanych przez tę firmę doradczą. Dla większości, czyli 68 proc. badanych, wdrożenia regulacji unijnego rozporządzenia dotyczącego tej ochrony (RODO) wiązały się z odczuwalnymi wydatkami.

W raporcie z badania „Rok z RODO. Stosowanie RODO w firmach — szanse i zagrożenia” eksperci EY zwracają uwagę, że w 67 proc. firm nie wyznaczono inspektora ochrony danych (IOD). Natomiast w 53 proc. nie przeprowadzono analizy ryzyka związanego z przetwarzaniem danych osobowych, a w 44 proc. nie wprowadzono procedury zgłaszania naruszeń organowi nadzoru.

Autorzy raportu podkreślają, że aż 54 proc. badanych ma wątpliwości, czy ich firmy są przygotowane na ewentualną kontrolę przestrzegania RODO. Źródło tych wątpliwości płynie z niepełnego wdrożenia nowych zasad, trudności z ich zrozumieniem (na co wskazało 68 proc. badanych) oraz niskiej lub bardzo niskiej wiedzy pracowników o przepisach (co przyznało 38 proc. respondentów).

Wciąż zdezorientowani

Przepisy są klarowne tylko dla prawie jednej trzeciej respondentów. Stopień rozumienia tych regulacji jest nieco lepszy w większych podmiotach, ale i tak 59 proc. dużych firm ma problemy z ich interpretacją. W średnich ten wskaźnik wynosi 68 proc. ankietowanych, a w małych, zatrudniających co najmniej 50 pracowników — 76 proc.

Według autorów raportu postrzeganie przepisów RODO za niejasne przez wielu badanych wynika m.in. z samej natury tego rozporządzenia. To — jak tłumaczą — jest zbiór wytycznych wymagających dopiero przełożenia na szczegółowe rozwiązania odpowiednie dla danej firmy. Poza tym część pojęć nie ma jeszcze ustalonej wykładni. Przykładem może być dyskusja o tym, jak rozumieć niewspółmiernie duży wysiłek spełnienia obowiązku informacyjnego. Właśnie na tę niewspółmierność powoływał się przedsiębiorca, który nie wywiązał się z tego obowiązku w pełni, m.in. z uwagi na związane z tym koszty, za co prezes Urzędu Ochrony Danych Osobowych nałożył na niego wysoką karę finansową.

Dla większości przedsiębiorstw podstawowym źródłem informacji o RODO były kursy organizowane przez firmy prywatne (81 proc. wskazań), publikacje rządowe (68 proc.) oraz materiały dziennikarskie na portalach (61 proc.). 39 proc. badanych wynajęło wyspecjalizowaną firmę, a 17 proc. zdało się na wiedzę nowo zatrudnionego specjalisty. Tylko 12 proc. skorzystało ze szkoleń organizowanych przez stronę rządową.

Swoich ludzi przeszkoliły niemal wszystkie badane firmy. 67 proc. z nich zamierza to robić także w przyszłości, a co trzeci nie przewiduje ponowienia takich działań.

Kłopot czy inwestycja

RODO w zasadzie jest oceniane jako potrzebny akt. Jednak według 75 proc. badanych powoduje rozrost biurokracji, a 18 proc. — komplikuje pracę.

Marcin Grott, radca prawny w EY Law, uważa, że jeżeli przedsiębiorcy będą patrzyli na RODO jako na koszt i zagrożenie, to wynikające z niego zasady będą traktowane przez nich w kategorii kłopotów. Ci, którzy spojrzą na te kwestie jak na inwestycję i szansę uzyskania przewagi konkurencyjnej, będą widzieli w wymogach tego aktu sposobność do transformacji firmy zapewniającej nie tylko jej konkurencyjność, ale i zaufanie klientów.

— Zgodność z RODO może pozytywnie wyróżniać firmę wśród konkurentów o podobnych kompetencjach, zwłaszcza w sektorze B2C — mówi Marcin Grott. Zwraca uwagę, że RODO to nie tylko klauzule obowiązku informacyjnego czy zgody.

— Rozporządzenie wymusza podejście procesowe do działalności firmy, optymalizację zasobów i procesów czy zwiększenie bezpieczeństwa informatycznego. Natomiast obowiązek weryfikacji podmiotów przetwarzających dane w imieniu firmy w zakresie spełnienia przez nie wymogów z RODO powoduje, że ekosystem biznesowy, w którym funkcjonuje firma, jest „zdrowszy” — wyjaśnia radca.

Jak mówi, na działaniach zgodnych z RODO jest budowane zaufanie klientów do oferowanych produktów lub usług wymagających przetwarzania danych osobowych.

OKIEM EKSPERTÓW

Rzadki rzetelny audyt

PIOTR CZAJKA radca prawny, GWW

Niestety, stanowisko przyjęte przez wielu przedsiębiorców przy dostosowaniu biznesu do nowych reguł oparło się na założeniu: potrzebujemy dużej liczby dokumentów, żeby pokazać, że wdrożyliśmy RODO. W takich przypadkach wdrożenia polegały na tworzeniu dużej liczby zbędnych polityk czy instrukcji. Dokumentacja ta najczęściej pozostała martwa od chwili jej wprowadzenia. Natomiast zbyt rzadko przedsiębiorcy zwracali uwagę na rzetelny audyt procesów przetwarzania danych i konieczność przeorganizowania ich w sposób gwarantujący bezpieczeństwo i realizację praw podmiotów danych. Upływający rok stosowania rozporządzenia powinien być okresem, po którym przedsiębiorcy dokonają planowych sprawdzeń przyjętych rozwiązań i ich ewentualnych korekt w odpowiedzi na wytyczne kierowane z Urzędu Ochrony Danych Osobowych, choćby w treści jego decyzji. Z pewnością ułatwieniem dla nich nie był dualizm poglądów Ministerstwa Cyfryzacji i urzędu na te same kwestie oraz fakt, że dopiero od kilkunastu dni firmy muszą stosować szczegółowe uregulowania wprowadzone tzw. ustawą wdrażającą RODO.

Minus za niepewność

PIOTR LIWSZIC specjalista ds. ochrony danych, ODO 24

Unijne rozporządzenie wprowadziło nie tyle rewolucję w ochronie danych osobowych, ile ewolucję. Jej plus to np. neutralność technologiczna. Odejście od sztywnych wymagań co do technicznego zabezpieczenia danych pozwala ograniczyć wydatki. RODO podnosi też świadomość. Konsumenci odważniej pytają, po co firmie określone informacje i czy ich przetwarzanie jest niezbędne. Do minusów zaliczyłbym dużą niepewność przy spełnianiu niektórych wymagań, np. obowiązku informacyjnego. Doskonale zobrazowała to dyskusja wywołana pierwszą karą prezesa UODO. Jednak w tym zakresie ustawodawca pomógł mikroprzedsiębiorcom najnowszą aktualizacją ustawy o prawach konsumentów. Pozwala ona spełnić obowiązek informacyjny poprzez wywieszenie treści w miejscu widocznym w siedzibie przedsiębiorcy lub opublikowanie tych informacji na stronie internetowej. Pierwszy rok z RODO był pełen ciężkiej pracy u przedsiębiorców, którzy do tej pory nie interesowali się ochroną danych osobowych. Dużo łatwiej przez ten okres przeszły podmioty, które wciąż stawiały na prawidłowe i rzetelne przestrzeganie norm.

Nie powierzać bez potrzeby

JACEK GRZYWA radca prawny, kierownik Działu Prawnego, Grupa Progres

Nagminną praktyką po wejściu w życie RODO stało się nadużywanie umów o przekazaniu danych osobowych do przetwarzania. Zapewne wszystkim się wydaje, że lepiej zrobić za dużo niż za mało, zwłaszcza że taka umowa jest ważna dla obu stron — powierzający musi mieć podstawę do przekazania danych, a przetwarzający (tzw. procesor) — do pracy na nich czy nawet tylko do ich przechowywania. Jednak jeżeli bez potrzeby powierzymy komuś ich przetwarzanie, ujawnimy je podmiotowi nieuprawnionemu. I odwrotnie — jeżeli ktoś chce zlecić nam takie czynności, a tego nie robimy, niepotrzebnie przyjmujemy na siebie wiele obowiązków. Pracodawca najczęściej będzie administratorem danych swoich pracowników, chociaż w relacji z podmiotem oferującym pakiety medyczne albo karty sportowe może być tylko procesorem. Z perspektywy RODO najważniejsze jest powierzenie danych wyłącznie temu, kto gwarantuje środki techniczne i organizacyjne odpowiednio chroniące prawa osób, których dane dotyczą. Pracodawcy powinni albo zweryfikować oświadczenia firm zewnętrznych w tym zakresie, albo określić warunki do spełnienia.

Sprawdź program konferencji "RODO w instytucjach finansowych", 27-28 czerwca 2019, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu