Tylko 3 proc. polskich firm gotowe na wdrożenie RODO

W maju tego roku wchodzi w życie unijne rozporządzenie o ochronie danych osobowych RODO, tymczasem tylko 3% firm w Polsce ocenia, że jest gotowe do wdrożenia RODO – powiedział PAP we wtorek Piotr Urban, partner w PwC.

„25 maja br. wchodzi w życie rozporządzenie o ochronie danych osobowych. Jest to kopia uregulowań, które zostały uchwalone przez UE dla wszystkich krajów członkowskich. Chodzi w nich o to, żeby chronić dane osób prywatnych, konsumentów, klientów, pracowników” – wyjaśnił Urban. Dodał, że jest to o tyle ważne, że zakres udostępnianych informacji jest coraz szerszy.

„Dostęp do nich mają podwykonawcy, użytkownicy internetu. Te dane są rozporoszone w różnych miejscach, a zatem kwestia wdrożenia tych przepisów jest bardzo wymagająca” – zaznaczył. Wyjaśnił, że z jednej strony chodzi o ich „odpowiednią ochronę prawną”, a z drugiej – stworzenie odpowiednich zabezpieczeń technologicznych. „Żeby te dane były np. czyszczone w momencie, gdy konsument sobie tego życzy, przenoszone do innych firm na życzenie konsumenta, czy odpowiednio przechowywane” – wskazał.

W ocenie Urbana wymagania ustawy „są bardzo szerokie”. „Żeby ją wdrożyć musimy spojrzeć i na procesy finansowe w naszych firmach, i procesy biznesowe, ale też np. aspekty prawne czy cyberbezpieczeństwa. A czasu jest mało” – wyjaśnił. Podkreślił, że kary finansowe za niespełnienie wymogów ustawy są wysokie. „4 proc. przychodów firmy lub 20 mln euro” – wskazał.

„Z naszego badania wynika, że tylko 3 proc. firm w Polsce ocenia swoją gotowość do wdrożenia RODO na pełną. Większość firm dopiero rozpoczęła swoje przygotowania lub jest w trakcie, a 20 proc. nie podjęło żadnych działań” – powiedział Urban.

Jak zaznaczył, w maju nowe regulacje wejdą w życie we wszystkich krajach UE, a ochronie będą podlegać dane wszystkich obywateli UE. „A nasze dane przetwarzane są również poza granicami Unii. I także te podmioty są zobligowane do wdrażania wymogów” – powiedział.

Eksperci PwC przypomnieli, że w tym roku wchodzi także w Polsce w życie dyrektywa unijna NIS (Network and Information Systems Directive), której celem jest m.in. ustanowienie wspólnych standardów bezpieczeństwa. Uregulowania dotyczą spółek działających w kluczowych dla gospodarki sektorach: energetyka, transport, ochrona zdrowia, bankowość i zaopatrzenie w wodę pitną. „Chodzi o to, by wiedzieć, kiedy haker atakuje, po to, by szybko ten atak powstrzymać. A także poinformować odpowiednie instytucje państwowe i unijne, że takie ataki mają miejsce, by ograniczyć ich wpływ na cały sektor” – powiedział Urban.

„Termin nagli, bo ustawa musi powstać do czerwca, a do końca grudnia 2018 r. należy wskazać podmioty podlegające ustawie” – zaznaczył. Dodał, że prace nad ustawą trwają, „jej wersja wstępna została opublikowana. Ale spodziewamy się jej rewizji”.

Jak z kolei podkreślił wicedyrektor ds. bezpieczeństwa w PwC Patryk Gęborys, „ustawa mówi o usługach cyfrowych, a to oznacza też dostawców usług bardziej wirtualnych, jak sklepy internetowe, platformy e-commerce, dostarczyciele usług typu cloud computing, czyli np. internetu rzeczy czy mocy obliczeniowej”.

Gęborys wyjaśnił, że na mocy ustawy na poziomie krajowym mają powstać organy, które będą koordynować „podejście do bezpieczeństwa”. „W szczególności działania w przypadku wystąpienia incydentów bezpieczeństwa. Jeżeli jeden z dostawców usług kluczowych zostanie zaatakowany przez hakerów, będzie zobowiązany do zaraportowania tego do odpowiedniego organu” – powiedział. Dodał, że istotne jest tu podejście sektorowe. „Firmy z danego sektora są narażone na podobne zagrożenia, ataki, w związku z tym (…) jeżeli będziemy mieć informację o ataku na jedną firmę z danego sektora będzie można ją przekazać do innych przedsiębiorstw z tej samej branży. Będą one mogły przygotować się na tego typu zagrożenia” – ocenił.

Skomentuj