Według najnowszych badań, zaledwie 28% firm[1] spełnia wymogi związane z Rozporządzeniem o Ochronie Danych Osobowych. Wcale nie lepiej wygląda sytuacja w obszarze instytucji publicznych. Kontrola przeprowadzona w maju przez Najwyższą Izbę Kontroli wykazała, że aż 70% z nich nie jest w stanie zapewnić bezpieczeństwa przetwarzanych informacji. Urzędnicy, a także przedsiębiorstwa prywatne, mogą posiadać dostęp nawet do takich informacji jak dochody czy stan zdrowia. Jakie są przyczyny obecnego stanu rzeczy?
Wyroki związane z naruszeniem bezpieczeństwa danych osobowych, które zapadły w ciągu ostatniego roku nakładają na przedsiębiorców i urzędników milionowe kary. Zaledwie przed kilkoma dniami zapadł pierwszy w Polsce wyrok związany z naruszeniem regulacji przez urząd[2]. Niedostosowanie się do przepisów może być dla przedsiębiorstw bardzo kosztowne.
Nieświadomi ryzyka
Wielu przedsiębiorców nie do końca zdaje sobie sprawę z tego, jak powinno wyglądać dostosowanie do przepisów związanych z ochroną danych osobowych, zwłaszcza, że regulacje prawne pozostawiają duże pole do interpretacji i nie określają jasno, w jaki sposób dane powinny być przechowywane.
Drugim bardzo ważnym aspektem pozostaje nałożenie na pracodawców obowiązku utworzenia etatu Inspektora Ochrony Danych. Przedsiębiorstwa z sektora MŚP nie mogą sobie w wielu przypadkach pozwolić na utworzenie nowych miejsc pracy. W związku z tym, odpowiedzialne za administrowanie danymi zostały osoby, które nie posiadają odpowiedniego przeszkolenia ani wiedzy. Poszerzenie obowiązków pracownika o ochronę danych osobowych sprawiło, że jest ona traktowana jako zadanie dodatkowe, do wykonania po godzinach pracy.
Szczegółowe kontrole
Wzmożone i szczegółowe kontrole są związane ze stosunkowo niedawnym wprowadzeniem przepisu. Ich głównym zadaniem jest wymuszenie na przedsiębiorcach dostosowania się do nowych regulacji.
– Nie możemy zapominać o karach pieniężnych RODO, które mają mieć charakter odstraszający – podkreśla radca prawny Tomasz Bojkowski. – Warto pamiętać, że RODO opiera się na zasadzie adekwatności, co oznacza, że pojedynczy wyciek, o charakterze okazjonalnym i indywidualnym, przy zachowaniu odpowiedniego poziomu staranności administratora nie może być zrównany z wyciekiem będącym następstwem systemowych zaniedbań w obszarze ochrony – podsumowuje radca prawny.
Informatyczne rozwiązania
Jednym z wielu możliwych rozwiązań wykorzystywanych przez przedsiębiorców jest zastosowanie zintegrowanego systemu wspierającego zarządzanie, który pozwala na częściową rezygnację z papierowej dokumentacji i jednocześnie pozwala na bezpieczniejsze przetwarzanie danych. Eliminuje to wiele zagrożeń związanych z niedopełnieniem obowiązków, jednak warto pamiętać, że nie ma idealnego rozwiązania.
– Największym zagrożeniem, nawet przy najlepszym systemie informatycznym, pozostaje błąd ludzki. Uważam jednak, że nawet to ryzyko można zminimalizować – mówi Grzegorz Kaliński, Prezes Kalasoft Sp. z o.o. – Przede wszystkim należy stale podnosić kompetencje osób odpowiedzialnych za przetwarzanie danych osobowych. Odpowiednie dostosowanie ich umiejętności do wykorzystywanych narzędzi sprawi, że będziemy dysponować najlepszym możliwym zabezpieczeniem. Zawsze warto też wyciągać wnioski z innych wycieków danych i przygotowywać się na podobne scenariusze.
– Warto rozważyć regularne wewnętrzne kontrole przechowywania i przetwarzania danych osobowych w przedsiębiorstwie. Pozwoli to na zwiększenie znajomości przepisów wśród wszystkich pracowników. Bardzo ważne jest stałe eliminowanie drobnych zaniedbań, ponieważ to one najczęściej prowadzą do poważnych konsekwencji związanych z kontrolą zewnętrznego organu – podsumowuje Prezes Kalasoft Sp. z o.o.
[1] https://firma.rp.pl/biznes/4079-firmy-musza-uwazac-na-rodo
[2] https://niebezpiecznik.pl/post/pierwszy-urzad-w-polsce-dostaje-kare-za-rodo/