Jak tłumaczyła podczas czwartkowej konferencji prasowej Sylwia Pusz z firmy konsultingowej PwC, unijne rozporządzenie o ochronie danych (RODO) już weszło w życie w maju 2016 r., jednak przepisy zaczną obowiązywać od 25 maja 2018 roku.
Zdaniem ekspertki, jest to ogromne wyzwanie dla firm, zarówno pod względem kosztów, jak też zasobów ludzkich. Rozporządzenie nakłada bowiem dodatkowe obowiązki w zakresie ochrony danych osobowych, nie określając przy tym, w jaki sposób to zrobić. Obecnie firmy poruszają się w obrębie krajowych przepisów, które określają, jak należy postępować z danymi osobowymi.
Pusz zaznaczyła, że dane osobowe, to nie tylko imię, nazwisko, numer pesel itp., ale także inne dane mówiące o charakterze danej osoby np. na temat przyzwyczajeń.
Według Anny Kobylańskiej z PwC, jest to całkowita zmiana podejścia do tego zagadnienia. Rozporządzenie UE mówi tylko, jaki cel trzeba osiągnąć, natomiast nie mówi, co przedsiębiorca musi zrobić w tym zakresie. Konieczne będzie np. uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych. Obowiązkowe będzie m.in. rejestrowanie czynności przetwarzania danych osobowych. Dodatkowo, w przypadku naruszenia przepisów, administratorzy danych osobowych będą zobowiązani do zawiadamiania odpowiedniego organu.
Ten nowy obowiązek wymaga nie tylko identyfikowania zaistniałego naruszenia, ale także przygotowania procedur reagowania na incydenty ochrony danych – zauważa Kobylańska.
Podkreśliła, że unijne rozporządzenia mają obowiązywać "wprost" wszystkich przedsiębiorców - zarówno duże międzynarodowe firmy jak i firmy jednoosobowe. Unijne przepisy mają obowiązywać wprost, a więc nie będzie ustawy je wprowadzającej. Wzmocniony ma być urząd Inspektora Ochrony Danych Osobowych, który za naruszenie przepisów, będzie mógł nakładać ogromne kary finansowe.
Naruszenie przez przedsiębiorcę przepisów RODO będzie groziło nałożeniem wysokiej kary finansowej do 20 mln euro lub 4 proc. wartości rocznego światowego obrotu przedsiębiorstwa. Równie ważne jest także ryzyko operacyjne (ewentualne problemy z działalnością na terenie Unii Europejskiej) oraz ryzyko reputacji, związane z utratą zaufania klientów - zaznacza Kobylańska.
W opinii ekspertów PwC, przedsiębiorstwa powinny zacząć od inwentaryzacji danych, czyli ustalenia, jakie dane osobowe, jak, gdzie i po co są wykorzystywane przez przedsiębiorcę. Analizy te umożliwią przygotowanie wykazu luk w sposobie chronienia danych osobowych. Kolejnym krokiem będzie opracowanie działań wdrożeniowych i naprawczych.
Jak powiedział menedżer w zespole ds. cyberbezpieczeństwa w PwC Łukasz Ślęzak, RODO wprowadza jedynie ogólne wymagania w obszarze bezpieczeństwa danych osobowych. - W związku z tym sposób spełnienia tych wymagań dla różnych firm może być inny, a nawet dla jednej firmy może istnieć kilka scenariuszy - dodał.
Uzgodnienie unijnych przepisów trwało cztery lata. RODO ma zharmonizować prawo ochrony danych osobowych w Europie. Rozporządzenie to zastąpi dyrektywę w tym zakresie z 1995 roku.