Początek wiosny raczej nie pozwoli przedsiębiorcom zaczerpnąć głębszego oddechu. 25 maja wchodzi w życie RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Było ono dyskutowane przez cztery lata, w kwietniu 2016 r. zostało przyjęte przez Parlament Europejski i Radę Unii Europejskiej. Teoretycznie firmy miały więc wystarczająco dużo czasu na dostosowanie się do przepisów, w praktyce wszystko wskazuje na to, że okres vacatio legis okazał się za krótki. Dobrze obrazują to dane firmy W8 Data, która postanowiła się przyjrzeć temu, w jaki sposób firmy w krajach członkowskich radzą sobie z dostosowaniem do RODO. Ranking nie nastraja optymistycznie.

Polska na podium

Najlepiej z zadania wywiązała się do tej pory Wielka Brytania. Z danych W8 Data wynika, że na Wyspach 29% organizacji nie przeprowadziło do tej pory wymaganych zmian w zarządzaniu firmą pod kątem dostosowania organizacji do wymogów RODO. To najmniej w Europie. Na drugim miejscu uplasowały się Niemcy, gdzie odsetek nieprzygotowanych do spełnienia wytycznych rozporządzenia firm wyniósł 48%. Trzecia pozycja przypadła Polsce, gdzie zdaniem autorów analizy 52% przedsiębiorstw nie jest jeszcze przygotowanych do wejścia w życie nowych regulacji.

To i tak niezły wynik biorąc pod uwagę fakt, że w ubiegłym roku plan dostosowania się do RODO miało zaledwie 3% firm. Problem z unijnymi regulacjami polega na tym, że po pierwsze mało kto zdaje sobie sprawę z tego, że nowe przepisy dotyczą każdej firmy przetwarzającej dane osób fizycznych, a więc także małych podmiotów. Po drugie, że każda z nich musi stworzyć swój własny model ochrony danych zgromadzonych przede wszystkim w postaci cyfrowej. Przepisy nie są bowiem gotowym szablonem, który można zastosować, ale jedynie wskazówką.

Wynik niesatysfakcjonujący?

Teoretycznie mamy powody do zadowolenia. Jak się okazuje, udało nam się wyprzedzić takie kraje, jak Francja, Rosja, Włochy, Szwecja czy Hiszpania, gdzie odsetek firm nieprzygotowanych do stawienia czoła nowym wytycznym przekroczył nawet 70%. W praktyce trzecie, czyli wysokie miejsce nie powinno jednak napawać optymizmem. Wciąż ponad połowa firm jest do RODO nieprzygotowana. Pocieszeniem może być niski stopień wdrożonych zmian w europejskich przedsiębiorstwach. Jedynie w Wielkiej Brytanii liczba firm przygotowanych do RODO przekracza 70%. Poza nią, w większości europejskich krajów 50-60% firm na dzisiaj nie zdałoby egzaminu z nowych zasad gromadzenia i przetwarzania danych osobowych.

Nowe unijne regulacje są bez wątpienia potrzebne, bo prawo nie nadąża dzisiaj za rozwojem technologii. Jednak zmiany wprowadzone przez KE są na tyle fundamentalne, że dostosowanie się do nich to trudny i czasochłonny proces. Trudno się do niego przygotować w krótkim czasie opierając się wyłącznie na własnych zasobach. Widać, że spora część firm szuka w tej chwili wsparcia. RODO jest z jednej strony polem do popisu dla firm doradczych i kancelarii prawnych, z drugiej technologicznych. W przypadku tych ostatnich, jeśli firma współpracuje z zewnętrznym partnerem w zakresie przechowywania swoich zasobów IT, to jest jej dużo łatwiej i przejrzyściej zarządzać ryzykiem związanym z przetwarzaniem danych osobowych.

W przypadku korzystania z rozwiązań chmurowych lub wynajmu serwerów dedykowanych, odpowiedzialność za dostosowanie wykorzystywanej infrastruktury do wymogów RODO spoczywa na jej dostawcy. Co więcej – nawet w ramach klasycznej usługi kolokacji serwerów taki usługodawca jest w stanie przejąć na siebie dużą część zobowiązań regulacyjnych, odciążając tym samym biznes, który może skupić się na swojej podstawowej działalności.

O tym, że przedsiębiorstwa sięgają po wsparcie zewnętrznych podmiotów, świadczą dane PwC. Wynika z nich, że pomocy technologicznej poszuka 69% menadżerów europejskich firm, 62% zamierza zaprosić do współpracy firmy konsultingowe, a 46% zamierza przenieść obsługę części procesów prawnych do wyspecjalizowanych kancelarii.

Groźne widmo kar

Czasu zostało naprawdę niewiele, a kary administracyjne za niedostosowanie się do nowych wymagań mogą sięgać nawet 10 mln euro lub 2% rocznego obrotu firmy. W przypadku nieprzestrzegania nakazów orzeczonych przez organ nadzorczy mogą one wyrażać się odpowiednio w kwocie nawet 20 mln euro lub 4% całkowitego 12-miesięcznego obrotu. Co ciekawe, rozporządzenie przewiduje możliwość łączenia sankcji, co może oznaczać, że w niektórych przypadkach ewentualne kary mogą przekraczać wstępnie założone wartości.

Artur Kosior, InPlus Media, Adam Dzielnicki, Atman