Wdrażamy RODO dla klientów, a nie ze strachu przed karami
6 sierpnia 2018
Od 25 maja br. obowiązują nas przepisy unijnego rozporządzenia odnośnie ochrony danych osobowych. O konieczności dostosowania się do nowych przepisów mówiono tak wiele, że nie będzie przesadą nazwać bieżący rok rokiem RODO. I wprawdzie organizacje objęte rozporządzeniem miały ponad rok na dostosowane się do regulacji, to ciągle jeszcze są takie, które nie są na nie gotowe w 100 procentach. Tymczasem istnieje co najmniej kilka powodów, dla których warto dołożyć wszelkich starań, aby zapewnić sobie zgodność z RODO.
Ubiegłoroczne szacunki firmy Gartner wskazywały, że 25 maja br. na wdrożenie RODO nie była gotowa przeszło połowa przedsiębiorstw. Najświeższe, odkryte przez TrustArc informacje, napawają jeszcze większym niepokojem: zaledwie co piąta z ankietowanych przez Dimensional Research firma stwierdziła, że wprowadzone przez nich dyrektywy pozostają w 100-procentowej zgodzie z wymaganiami narzuconymi przez RODO.
W ankiecie wzięło udział 600 specjalistów IT i prawników reprezentujących Stany Zjednoczone, Wielką Brytanię oraz Unię Europejską (po 200 z każdego terytorium). Wśród ankietowanych znalazły się firmy zatrudniające od 500 do 5000 pracowników, badane grupy składały się z tych samych specjalistów w zakresie prawa czy technologii informatycznej. Niektóre z pytań ankiety przeprowadzonej pomiędzy 4 a 15 czerwca br. były identyczne z tymi, które zadawano respondentom w sierpniu 2017 r. Celem ankieterów była ocena świadomości w zakresie RODO wśród respondentów.
Najważniejsze wyniki badania:
- – 96% wszystkich respondentów rozpoczęło programy zgodności z GDPR, a 53% jest w fazie wdrażania.
- – 20% respondentów zakończyło pracę i uważa, że wprowadzone przez nich dyrektywy są w pełni zgodne z GDPR.
- – Respondenci, zarówno w wysoce regulowanych, jak i nieuregulowanych branżach, mieli porównywalny status zgodności.
- – Firmy z USA i Wielkiej Brytanii poczyniły znaczne postępy w ciągu ostatnich 10 miesięcy, podczas gdy UE przewodzi Wielkiej Brytanii i USA w zakresie pełnej zgodności.
- – 49% respondentów w UE, 55% w Wielkiej Brytanii i 56% badanych w USA nie zakończyło jeszcze procesu wprowadzania zasad RODO.
- – Do końca 2018 r. 76% unijnych, 76% brytyjskich i 68% amerykańskich firm oczekuje pełnej zgodności z rozporządzeniem.
- – Zgodność z GDPR powinna głównie dotyczyć menadżerów wysokiego szczebla i zarządu firm.
- – Największym wyzwaniem, wskazanym przez respondentów, była złożoność rozporządzenia, a następnie takie czynniki, jak : budżetowanie, dostęp do narzędzi technologicznych i brak czasu.
- – Firmy o wysokim stopniu regulacji zarejestrowały niewielką przewagę nad nieregulowanymi pod względem dostępu do wykwalifikowanych pracowników oraz technologii i narzędzi wspierających ich projekty GDPR.
- – 68% respondentów wydało już ponad sześć danych na temat zgodności z RBP, a 67% spodziewa się wydać dodatkowe sześć liczb do końca 2018 r .; 10% respondentów w USA miało budżet na PKB większy niż 2,5 miliona USD w porównaniu z 2% w Wielkiej Brytanii i 3% w UE
- – Większość firm potrzebowała pomocy w zrozumieniu zasad i opracowaniu programu GDPR, niektóre zespoły prawnicze sięgały po pomoc z zewnątrz.
- – Wielu respondentów polega na różnych rozwiązaniach technologicznych stron trzecich w celu wspierania programów zgodności, ale także na systemach opracowanych wewnętrznie.
- – 80% stwierdziło, że zwiększy wydatki na technologię; 49% podniesie wydatki „nieco”, a u 31% plan wzrośnie „znacznie”.
Warto zauważyć, że większość firm twierdziła, że motywują je raczej wartości i oczekiwania klientów, a nie strach przed grzywnami i sporami sądowymi. W raporcie czytamy:
„Chociaż w prasie publikowano wiele informacji na temat potencjalnie wysokich grzywien, które mogą być nakładane na firmy, których zasady nie są zgodne z GDPR, respondenci byli bardziej zmotywowani przez chęć spełnienia oczekiwań klientów i partnerów, niż strach przed grzywnami lub procesami sądowymi. Spełnienie oczekiwań klientów było głównym motywatorem dla firm, niezależnie od tego, czy były one w wysokim stopniu regulowane, czy też nie”.
Wielu z naszych czytelników niewątpliwie uświadamia sobie, że „odpowiedzialność” jest kluczową zasadą u podstaw ogólnego unijnego rozporządzenia o ochronie danych. Jak zauważa brytyjskie Biuro Komisarza ds. Informacji: „to czyni cię odpowiedzialnym za przestrzeganie GDPR i przypomina, że musisz być w stanie udowodnić swoją zgodność”.
Wydaje się, że w przypadku wielu firm dobre wrażenie należy najpierw zrobić na klientach i partnerach, a dopiero później na prawodawcach – odważne, ale nieco nieuniknione podejście, jeśli zakłócenia mają być ograniczone do minimum.
Ustawa o ochronie danych osobowych została wprowadzona przede wszystkim z intencją ochrony zwykłego człowieka. Zostawiając dane na każdym możliwym portalu i mając problem z wyegzekwowaniem ich usunięcia, użytkownik był narażony na wszelkiego rodzaju oszustwa. Dlatego nic dziwnego, że przedsiębiorstwa jako motywacje do wdrażania systemu RODO w pierwszej kolejności wskazują na chęć spełnienia oczekiwań klienta, czy na próbę sprostania aktualnym wymaganiom rynku” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Respondenci stwierdzili, że są najbardziej zgodni z aktualizacją zasad i procedur (27%) oraz zarządzaniem zgodnością z cookie (25%). Najdalej posunęły się względem międzynarodowych mechanizmów transferu danych (16%) i zarządzania ryzykiem ze strony sprzedawców (13%). Wyniki te są również w sposób widoczny zgodne z celem, jakim jest przede wszystkim spełnienie oczekiwań klientów.
Utrzymanie zgodności z RWP pozostaje najwyższym priorytetem, zdolność do wykazania zgodności szybko rośnie w górę listy priorytetów – powiedzieli respondenci. Wielu z nich chce uzyskać „certyfikat GDPR”.