Polscy menedżerowie mają bardzo wysoką świadomość istnienia Rozporządzenia o Ochronie Danych Osobowych (RODO) oraz konieczności sprostania wynikającym z niego wytycznym, w porównaniu z ich kolegami reprezentującymi spółki z innych krajów europejskich. Badanie dotyczące RODO[1], przeprowadzone przez Ipsos dla Microsoft pokazało również, że przedstawiciele biznesu, poza ogólną wiedzą nie znają szczegółowych wytycznych, terminów, kar, czy konkretnych procedur zgodności z RODO.
Kluczowe statystyki dotyczące Polski:
- Tylko 13 proc. menedżerów zna dokładnie termin wejścia z życie RODO, podczas gdy 87 proc. respondentów błędnie wskazuje lub nie zna tego terminu.
- 33 proc. uczestników badania wskazało poprawnie, że rozporządzenie dotyczy firm z UE oraz wszystkich spółek, które prowadzą wymianę handlową z UE.
- Plany w zakresie szkoleń dla pracowników na temat RODO ma aż ¾ firm.
- 73 proc. firm chce podnieść inwestycje związane z bezpieczeństwem IT w związku z RODO.
- 40 proc. firm uczestniczących w badaniu planuje zatrudnić eksperta ds. ochrony danych osobowych.
W Polsce wszystkie ankietowane firmy miały świadomość istnienia RODO (100 proc). To napawa optymizmem szczególnie w kontekście poziomu świadomości w innych spośród badanych krajów, gdzie wyniki te wynoszą: 98 proc. dla Rosji, 90 proc. dla Czech, 88 proc. dla Grecji i 66 proc. dla Węgier. Niestety mimo wysokiego stopnia świadomości wprowadzanych zmian prawnych wśród polskich firm, jedynie 38 proc. respondentów poprawnie określiło wysokość kar związanych z naruszeniem zapisów o ochronie danych osobowych, które mogą sięgnąć aż 4 proc. obrotów. 62 proc. jest przekonana, że kary są mniejsze, albo nie mają oni szczegółowej wiedzy na temat ich obowiązywania.
Z badań wynika również, że wiele organizacji wciąż nie ma pewności kogo dotyczą zmiany określone przez RODO. W przypadku polskich firm jedynie 33 proc. wskazało poprawnie, że rozporządzenie dotyczy firm z UE oraz wszystkich spółek, które prowadzą wymianę handlową z UE. Reszta respondentów albo nie znała odpowiedzi na to pytanie, albo ograniczała te zasady tylko do firm z obszaru Unii Europejskiej. Dla porównania, poprawną odpowiedź na to pytanie wskazało aż 94 proc menedżerów w Rosji.
Przedstawiciele polskich organizacji mają najmniejszą wiedzę spośród wszystkich uczestników badania w zakresie terminu obowiązywania zapisów RODO. Jedynie 13 proc. respondentów z Polski wskazało, że na przygotowanie ma mniej niż 4 m-ce. 64 proc. uczestników badania deklaruje, że zostało od 6 do 12 m-cy lub więcej czasu. Całkowity brak wiedzy w kwestii terminów wykazuje 19 proc. respondentów z Polski. Najbardziej świadomi w tym zakresie są Grecy (77 proc. właściwych odpowiedzi).
– Wprowadzenie Rozporządzenia o Ochronie Danych Osobowych wiąże się z koniecznością spełnienia rozmaitych wymogów nałożonych przez ustawodawcę – mówi Michał Jaworski, Członek Zarządu, Dyrektor Strategii Technologicznej w polskim oddziale Microsoft. – Sama świadomość istnienia RODO jednak nie wystarcza. Niezbędne jest zrozumienie tego złożonego zapisu prawnego i przede wszystkim podjęcie konkretnych działań w organizacjach. Mowa tu o konieczności wprowadzenia lub dostosowania stosownych procedur, szkolenia pracowników, ale również dostosowania infrastruktury informatycznej do wytycznych RODO. Kluczem do sprawnego wypełnienia oczekiwań prawodawcy mogą okazać się rozwiązania chmurowe, które zapewnią bezpieczeństwo, dostarczą narzędzi i pozwolą najniższym kosztem być gotowym na czas.
Usługi chmurowe zapewniają wsparcie dla wprowadzenia i utrzymania warunków zgodności z zapisami RODO na kilka sposobów. Z jednej strony dostarczają rozwiązania techniczne, które pozwalają np. na zarządzanie dostępem do danych czy wdrożenie odpowiednich środków technicznych, zapewniających właściwe przetwarzanie, ochronę i zgłaszanie naruszeń. Z drugiej strony, zostały przygotowane zapisy umowne, które pozwalają administratorowi poznać zobowiązania jakie podejmuje dostawca technologii jako podmiot przetwarzający. Takie podejście pozwala jasno określić zakres odpowiedzialności w procesie przetwarzania danych osobowych, która w takim scenariuszu jest współdzielona pomiędzy klienta i dostawcę chmury.
– Tam, gdzie odpowiedzialność ponosi Microsoft, administrator nie musi podejmować dodatkowych kroków – cały proces wdrażania może być przeprowadzony szybciej. Eksperci Microsoft mogą również asystować przy procesie dostosowania do wymogów RODO, wspomagając firmy i instytucje publiczne od strony technicznej, organizacyjnej, a czasami także prawnej. Microsoft współpracuje także z wieloma polskimi partnerami tworzącymi rozwiązania ułatwiające uzyskanie zgodności z RODO – podkreśla Michał Jaworski.
– Warto wykorzystać ten czas i budowanie świadomości na optymalizację zarządzania procesem ochrony danych osobowych. Oprócz ostrych wytycznych rozporządzenia można podejmować działania prewencyjne, bo ta informacja od zawsze jest bardzo kluczowa dla działania każdej organizacji. Identyfikowanie potencjalnych źródeł wycieku, podejmowanie działań naprawczych, a szczególnie automatyzacja tych kroków może przynieść finalnie wiele korzyści dla organizacji, zgodnie z zasadą „lepiej zapobiegać niż leczyć”. Takie podejście powoduje, że spełnienie wymagań RODO jest tylko efektem ubocznym przy sprawnym zarządzaniu bezpieczeństwem informacji. Dlatego też namawiamy, aby pozostały czas jak najlepiej wykorzystać, bo może to przynieść wymierne korzyści dla przedsiębiorstwa – mówi Ewa Pasewicz, Wiceprezes Zarządu, eSecure Sp. z o. o.
Większość respondentów wskazała, że zgodność z RODO stanowi wymóg dotyczący całej firmy, a nie poszczególnych osób. Jedynie w Grecji większość przyznała, że odpowiedzialność za spełnienie wytycznych spoczywa na indywidualnym pracowniku. W przypadku uczestników badania z Polski – 87 proc. wskazało na firmę, 40 proc. na pracowników, a 33 proc. na zewnętrznych dostawców.
Większość firm uczestniczących w badaniu planuje specjalne sesje szkoleniowe dla pracowników, podczas których będą mogli podnieść poziom wiedzy na temat ochrony danych osobowych w swoich firmach. W Polsce plany w tym zakresie ma aż ¾ firm. 73 proc. firm w Polsce chce również podnieść inwestycje związane z bezpieczeństwem IT, a 40 proc. planuje zatrudnić eksperta ds. ochrony danych.
[1] W badaniu wzięło udział 250 firm z 5 krajów europejskich (Węgry, Czechy, Grecja, Rosja, Polska), które zatrudniają powyżej 250 pracowników. Badanie było prowadzone wśród menedżerów wysokiego szczebla odpowiedzialnych za ochronę danych osobowych w firmie. Polskę reprezentowały 52 firmy. Badania były realizowane w listopadzie 2017 r.