Wdrażamy RODO dla klientów, a nie ze strachu przed karami

Od 25 maja br. obowiązują nas przepisy unijnego rozporządzenia odnośnie ochrony danych osobowych. O konieczności dostosowania się do nowych przepisów mówiono tak wiele, że nie będzie przesadą nazwać bieżący rok rokiem RODO. I wprawdzie organizacje objęte rozporządzeniem miały ponad rok na dostosowane się do regulacji, to ciągle jeszcze są takie, które nie są na nie gotowe w 100 procentach. Tymczasem istnieje co najmniej kilka powodów, dla których warto dołożyć wszelkich starań, aby zapewnić sobie zgodność z RODO.

Ubiegłoroczne szacunki firmy Gartner wskazywały, że 25 maja br. na wdrożenie RODO nie była gotowa przeszło połowa przedsiębiorstw. Najświeższe, odkryte przez TrustArc informacje, napawają jeszcze większym niepokojem: zaledwie co piąta z ankietowanych przez Dimensional Research firma stwierdziła, że wprowadzone przez nich dyrektywy pozostają w 100-procentowej zgodzie z wymaganiami narzuconymi przez RODO. 

W ankiecie wzięło udział 600 specjalistów IT i prawników reprezentujących Stany Zjednoczone, Wielką Brytanię oraz Unię Europejską (po 200 z każdego terytorium). Wśród ankietowanych znalazły się firmy zatrudniające od 500 do 5000 pracowników, badane grupy składały się z tych samych specjalistów w zakresie prawa czy technologii informatycznej. Niektóre z pytań ankiety przeprowadzonej pomiędzy 4 a 15 czerwca br. były identyczne z tymi, które zadawano respondentom w sierpniu 2017 r. Celem ankieterów była ocena świadomości w zakresie RODO wśród respondentów.

Najważniejsze wyniki badania:

• – 96% wszystkich respondentów rozpoczęło programy zgodności z GDPR, a 53% jest w fazie wdrażania.
• – 20% respondentów zakończyło pracę i uważa, że wprowadzone przez nich dyrektywy są w pełni zgodne z GDPR.
• – Respondenci, zarówno w wysoce regulowanych, jak i nieuregulowanych branżach, mieli porównywalny status zgodności.
• – Firmy z USA i Wielkiej Brytanii poczyniły znaczne postępy w ciągu ostatnich 10 miesięcy, podczas gdy UE przewodzi Wielkiej Brytanii i USA w zakresie pełnej zgodności.
• – 49% respondentów w UE, 55% w Wielkiej Brytanii i 56% badanych w USA nie zakończyło jeszcze procesu wprowadzania zasad RODO.
• – Do końca 2018 r. 76% unijnych, 76% brytyjskich i 68% amerykańskich firm oczekuje pełnej zgodności z rozporządzeniem.
• – Zgodność z GDPR powinna głównie dotyczyć menadżerów wysokiego szczebla i zarządu firm.
• – Największym wyzwaniem, wskazanym przez respondentów, była złożoność rozporządzenia, a następnie takie czynniki, jak : budżetowanie, dostęp do narzędzi technologicznych i brak czasu.
• – Firmy o wysokim stopniu regulacji zarejestrowały niewielką przewagę nad nieregulowanymi pod względem dostępu do wykwalifikowanych pracowników oraz technologii i narzędzi wspierających ich projekty GDPR.
• – 68% respondentów wydało już ponad sześć danych na temat zgodności z RBP, a 67% spodziewa się wydać dodatkowe sześć liczb do końca 2018 r .; 10% respondentów w USA miało budżet na PKB większy niż 2,5 miliona USD w porównaniu z 2% w Wielkiej Brytanii i 3% w UE
• – Większość firm potrzebowała pomocy w zrozumieniu zasad i opracowaniu programu GDPR, niektóre zespoły prawnicze sięgały po pomoc z zewnątrz.
• – Wielu respondentów polega na różnych rozwiązaniach technologicznych stron trzecich w celu wspierania programów zgodności, ale także na systemach opracowanych wewnętrznie.
• – 80% stwierdziło, że zwiększy wydatki na technologię; 49% podniesie wydatki „nieco”, a u 31% plan wzrośnie „znacznie”.

Warto zauważyć, że większość firm twierdziła, że motywują je raczej wartości i oczekiwania klientów, a nie strach przed grzywnami i sporami sądowymi. W raporcie czytamy:

„Chociaż w prasie publikowano wiele informacji na temat potencjalnie wysokich grzywien, które mogą być nakładane na firmy, których zasady nie są zgodne z GDPR, respondenci byli bardziej zmotywowani przez chęć spełnienia oczekiwań klientów i partnerów, niż strach przed grzywnami lub procesami sądowymi. Spełnienie oczekiwań klientów było głównym motywatorem dla firm, niezależnie od tego, czy były one w wysokim stopniu regulowane, czy też nie”. 

Wielu z naszych czytelników niewątpliwie uświadamia sobie, że „odpowiedzialność” jest kluczową zasadą u podstaw ogólnego unijnego rozporządzenia o ochronie danych. Jak zauważa brytyjskie Biuro Komisarza ds. Informacji: „to czyni cię odpowiedzialnym za przestrzeganie GDPR i przypomina, że musisz być w stanie udowodnić swoją zgodność”.

Wydaje się, że w przypadku wielu firm dobre wrażenie należy najpierw zrobić na klientach i partnerach, a dopiero później na prawodawcach – odważne, ale nieco nieuniknione podejście, jeśli zakłócenia mają być ograniczone do minimum.  

Ustawa o ochronie danych osobowych została wprowadzona przede wszystkim z intencją ochrony zwykłego człowieka. Zostawiając dane na każdym możliwym portalu i mając problem z wyegzekwowaniem ich usunięcia, użytkownik był narażony na wszelkiego rodzaju oszustwa. Dlatego nic dziwnego, że przedsiębiorstwa jako motywacje do wdrażania systemu RODO w pierwszej kolejności wskazują na chęć spełnienia oczekiwań klienta, czy na próbę sprostania aktualnym wymaganiom rynku” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.  

Respondenci stwierdzili, że są najbardziej zgodni z aktualizacją zasad i procedur (27%) oraz zarządzaniem zgodnością z cookie (25%). Najdalej posunęły się względem międzynarodowych mechanizmów transferu danych (16%) i zarządzania ryzykiem ze strony sprzedawców (13%). Wyniki te są również w sposób widoczny zgodne z celem, jakim jest przede wszystkim spełnienie oczekiwań klientów.

Utrzymanie zgodności z RWP pozostaje najwyższym priorytetem, zdolność do wykazania zgodności szybko rośnie w górę listy priorytetów – powiedzieli respondenci. Wielu z nich chce uzyskać „certyfikat GDPR”.