Aż 67% polskich firm deklaruje, że posiada program przygotowujący do wypełnienia wymagań Rozporządzenia o Ochronie Danych Osobowych. Jest to najlepszy wynik spośród wszystkich krajów uczestniczących w badaniu „Firmy i RODO” realizowanym przez Ipsos na zlecenie Microsoft[1].
Główne statystyki dotyczące polskich firm:
- 42 proc. firm ma gotowy proces rozpoznawania danych osobowych i ich klasyfikacji.
- 35 proc. firm jest w pełni gotowa do przechowywania zapisów odpowiedzi udzielonych na zapytania dotyczące danych.
- 58 proc. firm posiada odpowiednie procedury i technologie pozwalające na usunięcie danych osobowych, czyli zapewnienie prawa do bycia zapomnianym.
- 54 proc. firm posiada formalny proces informowania regulatora w ciągu 72 godzin w przypadku naruszenia danych osobowych.
Wchodzące w życie 25 maja 2018 roku Rozporządzenie o Ochronie Danych Osobowych nakłada na firmy obowiązek odpowiedniej ochrony danych osobowych, niezależnie od tego czy dotyczą one pracowników, klientów czy partnerów biznesowych. Do tego celu niezbędne jest wypracowanie właściwych procedur wewnątrz organizacji. Zgodnie z założeniami rozporządzenia, powinny one być odpowiednio udokumentowane.
Zarządzanie danymi zgodnie z RODO
Wyniki badania „Firmy i RODO” wskazują, że stopień dostosowania do wytycznych RODO jest zróżnicowany w poszczególnych krajach. Najgorzej wypada Grecja, gdzie jedynie 27 proc. firm zadeklarowało pełną gotowość proceduralną. Kolejne miejsca zajęły Czechy i Węgry, odpowiednio 36 proc. i 39 proc. Najwięcej twierdzących odpowiedzi na pytanie dotyczące wprowadzenia polityki ochrony danych osobowych udzieliły firmy z Rosji i Polski.
Badania wskazują również, że jedna na trzy firmy jest w pełni gotowa do przechowywania zapisów swoich odpowiedzi na zapytania dotyczące danych. W Polsce potwierdza to 35% respondentów. Utrzymanie prawidłowej dokumentacji kontaktu z klientem jest niezwykle istotne, gdyż wchodzące w maju RODO daje im np. prawo żądania okazania kopii danych, czy żądania przekazania swoich danych osobowych innemu podmiotowi oraz uzyskania szeregu informacji np. jakie dane są przetwarzane oraz czy nastąpiło naruszenie w przetwarzaniu. Ponad 50 proc. firm biorących udział w badaniu przynajmniej częściowo przygotowała schemat kategoryzacji danych. W Polsce wynik ten sięga aż 80 proc. – 42 proc. ma już gotowy, a 38 proc. częściowo przygotowany odpowiedni schemat postępowania. Co więcej, niemal połowa wszystkich uczestników badania deklaruje, że posiada formalny proces informowania regulatora w ciągu 72 godzin w sytuacji naruszenia danych osobowych. W przypadku polskich firm odsetek ten jest wyższy, bo sięga 54% badanych organizacji. Najgorzej przygotowane okazują się firmy węgierskie, zaś najwyższy poziom zaawansowania deklarują firmy rosyjskie.
„Kluczowe jest wykorzystanie potencjału technologii do inwentaryzacji, ochrony i zarządzania danymi, a także oceny ryzyka zdarzeń dotyczących bezpieczeństwa informacji. Rozwiązania chmurowe zapewniają przedsiębiorstwom dużo łatwiejsze sprostanie tym wyzwaniom” – przekonuje Michał Jaworski, Członek Zarządu i dyrektor strategii technologicznej w polskim oddziale Microsoft.
Wypracowanie procedur wymaga czasu
Jednym z głównych wyzwań, związanych z RODO jest fakt, że w rozporządzeniu nie wskazano precyzyjnie, jakie polityki i procedury należy stworzyć oraz jakie zabezpieczenia wdrożyć. Organizacje mają zatem pewną dowolność, jednak ich obowiązkiem jest zapewnienie objaśnienia zasad polityki ochrony prywatności przejrzystym i zrozumiałym językiem.
„Ustawodawca nie podaje konkretnie jakie procedury oraz zabezpieczenia należy wdrożyć. Wskazuje pożądany stan rzeczy i cel wprowadzanych zmian. Istotne jest stworzenie systemu ochrony danych osobowych adekwatnego do zagrożeń oraz dostosowanego do struktury, wielkości oraz charakteru działalności firmy – tłumaczy Michał Jaworski. „Należy pamiętać, że jest to zwykle długotrwały proces dlatego organizacje, które do tej pory nie wypracowały odpowiednich procedur powinny niezwłocznie zacząć je opracowywać. Współpraca z zaufanymi podmiotami przetwarzającymi, takimi jak Microsoft, to jedno z rozwiązań. Również dlatego, że czasu zostało już bardzo mało” – dodaje.
Procedury dotyczące ochrony danych osobowych powinny obejmować m.in.:
- Definicję ról i obowiązków związanych z zapewnieniem dostępu, zarządzaniem i wykorzystaniem danych osobowych.
- Lokalizację i klasyfikację danych.
- Zarządzanie cyklem przetwarzania danych, w szczególności czasu przetwarzania oraz zgód na przetwarzanie.
- Zapobieganie, wykrywanie i reagowanie na czynności stwarzające wysoki poziom ryzyka i podejrzane postępowanie.
- Implementację rozwiązań zabezpieczających przed cyberzagrożeniami, w tym m.in. przesyłanych pocztą elektroniczną złośliwych załączników lub linków do witryn internetowych umożlwiających uzyskanie dostępu do danych osobowych organizacji.
- Zarządzanie zapytaniami osób fizycznych, które dotyczą danych przetwarzanych w przedsiębiorstwie.
- Zarządzanie procesem zgłaszania naruszeń w przetwarzaniu danych osobowych
- Dokumentowanie działań mających na celu zapobieganie ponownemu wystąpieniu danego, niepożądanego zdarzenia.
[1] W badaniu wzięło udział 250 firm z 5 krajów europejskich (Węgry, Czechy, Grecja, Rosja, Polska), które zatrudniają powyżej 250 pracowników. Badanie było prowadzone wśród menedżerów wysokiego szczebla odpowiedzialnych za ochronę danych osobowych w firmie. Polskę reprezentowały 52 firmy. Badania były realizowane w listopadzie 2017 r.
