Brakuje specjalistów i pieniędzy na wdrożenia RODO

Tylko 40 proc. przedsiębiorstw jest gotowych lub szykuje się do nowych obowiązków, które wejdą w życie już w maju.

Jeszcze przed końcem ubiegłego roku różne instytucje publikowały analizy i badania, z których wynikało, że nawet ponad połowa organizacji, w tym także tych z Polski, nie jest przygotowana na zmiany, jakie niesie ze sobą wejście w życie rozporządzenia o ochronie danych osobowych. W tym czasie media szeroko opisywały wyzwania stojące przed przedsiębiorcami w kontekście RODO. Mimo to do dzisiaj nie zmieniło się praktycznie nic – obecnie zaledwie 40 proc. firm jest bowiem w pełni przygotowanych do nowych regulacji – wynika z raportu „GDPR Compliance 2018″.

– To zaskakujące, jak wiele firm po dziś dzień nie jest pewnych tego, czy zdołają na czas spełnić nowe wymogi – nie kryje zdziwienia Dierk Schindler, dyrektor ds. prawnych w spółce NetApp.

Pomocne technologie

Tylko miesiąc pozostał do wejścia w życie RODO, wraz z którym nadejdzie istotna zmiana w regulacjach dotyczących gromadzenia i przetwarzania informacji personalnych. Biorąc pod uwagę bilans przygotowań firm do przeorganizowania metod zarządzania personaliami, jedno jest pewne – wiele z nich nie zdąży na czas. Tym bardziej że we wspomnianej grupie 40 proc. organizacji aktywnie dostosowujących środowisko pracy do wymagań RODO w pełni przygotowanych do nowej regulacji jest jedynie 7 proc. Pozostałe 33 proc. przyznaje, że dobrze radzi sobie z wdrażaniem zmian i jest przekonane, że zdąży przed wejściem przepisów w życie (25 maja).

Jak podkreśla Jacek Grzyb z firmy z teamLeaders, dostarczającej rozwiązania kognitywne, pozostałe 60 proc. objęte jest dużym ryzykiem braku przystosowania swoich polityk zarządzania danymi osobowymi na czas. – Problem polega na tym, że w lawinie informacji firmy nie potrafią precyzyjnie zidentyfikować lokalizacji danych personalnych. A jak pokazuje praktyka, zwykle są one niemal wszędzie – na wydrukach maili, w luźnych notatkach, na fakturach, w plikach tekstowych, audio, wideo, arkuszach kalkulacyjnych, w papierowych archiwach – wylicza Jacek Grzyb.

Jego zdaniem rozwiązaniem może być zainwestowanie w pracowników, którzy ręcznie przeszukają firmowe archiwa, albo postawienie na nowoczesne technologie. – Przykładem mogą być rozwiązania kognitywne, które pozwalają na przetworzenie papierowych dokumentów na postać elektroniczną, a następnie detekcję przeskanowanych plików pod kątem mogących się tam znajdować rekordów personalnych, w tym m.in. imion i nazwisk, adresów, maili czy loginów. Z precyzyjnym rozróżnieniem, dzięki rozumieniu kontekstu, danych osobowych i informacji z nimi niezwiązanych, czyli np. kiedy fraza „kwiecień” będzie nazwiskiem, a nie miesiącem – tłumaczy przedstawiciel teamLeaders.

Analitycy EY w raporcie „Global Forensic Data Analytics Survey” informują, że niemal 40 proc. europejskich firm zamierza postawić na pomoc nowoczesnych technologii i wspomóc się implementacją rozwiązań RPA (Robotic Process Automation) oraz sztucznej inteligencji (AI) w walce z czasem pozostałym na przygotowanie nowych wymogów o ochronie danych.

Problem startupów

Badania „GDPR Compliance 2018″ pokazują główne bariery w sprawnym przeprowadzaniu procesów przygotowawczych do RODO. Największą z nich okazał się brak specjalistów zaznajomionych z wytycznymi rozporządzenia oraz metodami wdrażania związanych z nimi zmian (na problem ten zwróciło uwagę 43 proc. ankietowanych). Z kolei 40 proc. respondentów wskazuje na niewystarczający budżet, zaś 31 proc. na brak zrozumienia regulacji RODO.

Największe problemy mają przede wszystkim mniejsze przedsiębiorstwa. Według analiz firmy Mailjet spośród 4 tys. przebadanych startupów aż 91 proc. gromadzi i przetwarza dane swoich klientów. Co ciekawe, aż 2/3 z nich przyznaje, że ich procedury nie są zgodne z treścią rozporządzenia.

Nic dziwnego, że 35 proc. firm na świecie, zbadanych przez NetApp, obawia się, iż wdrożenie RODO może zagrozić ich istnieniu. O tym, że potencjalne kary finansowe za niespełnienie obowiązków, doprowadzi nawet do upadku firmy – mówi 40 proc. ankietowanych z USA, 41 proc. z W. Brytanii oraz 34 proc. z Francji i 26 proc. z Niemiec.

Kolejne 51 proc. respondentów boi się zaś ewentualnej utraty lub uszczerbku na reputacji. – Od dawna wiedzieliśmy o nadejściu RODO i mieliśmy nadzieję, że poziom obaw wyrażanych przez firmy będzie dziś bardzo mały. Okazuje się jednak, że tak nie jest. I to mimo tego, iż rozporządzenie, wymogi zgodności z przepisami o ochronie danych i zagadnienia związane z prywatnością niewątpliwie będą miały wpływ na firmy przetwarzające dane obywateli UE – komentuje Alexander Wallner, wiceprezes firmy NetApp.

Konieczne zmiany

Edyta Wojtas, analityk w spółce BrainSHARE IT, uważa, że sceptyczne podejście do RODO jest pokłosiem wielu lat zaniedbań związanych z bierną postawą przedsiębiorców zarówno wobec technologii, jak i wykorzystywania danych osobowych czy dokonywania jakichkolwiek istotnych transformacji w strukturach własnych firm. – Kiedy przestarzałe systemy informatyczne od dawna nie radzą sobie nawet z podstawowymi zmianami w prawie podatkowym, a firma wciąż hołduje uciążliwej papierologii, trudno o entuzjazm czy gotowość do wdrożenia kolejnego nowego rozwiązania, nawet jeśli związane jest z przestrzeganiem dobrych praktyk. Polski biznes już teraz cierpi w związku z nadrabianiem technologicznych zaległości. Niestety, nie możemy rozwijać technologii i cyfryzować rzeczywistości bez dokonywania zmian w obowiązującym prawie – przekonuje Edyta Wojtas.

RODO wejdzie w życie 25 maja – od tego dnia przedsiębiorstwa, które zbierają dane osobowe rezydentów UE, muszą zgłaszać przypadki naruszenia ochrony danych w ciągu 72 godzin od ich wykrycia. Nieprzestrzeganie tego wymogu grozi karą do 20 mln euro albo 4 proc. przychodów (w zależności od tego, która z tych kwot jest wyższa).

Opinia

Arkadiusz Krawczyk, country manager, McAfee Poland

W związku z wejściem RODO polskie firmy coraz częściej myślą o bezpieczeństwie – wdrażają rozwiązania, które pomagają w spełnieniu wymagań nowych przepisów. Troska powinna dotyczyć też danych w chmurze. Ważne, by dostawca technologii nie tylko spełniał wymagania dyrektywy, ale też zapewniał wsparcie na poziomie wprowadzania i utrzymania zgodności z RODO. Mimo że większość incydentów związanych z bezpieczeństwem ma miejsce w chmurze, coraz więcej firm wybiera te rozwiązania. Korzystanie z nich nie musi oznaczać utraty kontroli nad danymi. Przedsiębiorcy, którzy wdrożą odpowiednie zabezpieczenia, mogą spać spokojnie.