Zespół prawa nowych technologii z kancelarii CMS przebadał ponad 100 przedsiębiorców na polskim rynku w związku z nowymi zasadami ochrony danych osobowych wprowadzanymi przez Unię Europejską dla wszystkich przedsiębiorstw działających w krajach członkowskich, jak również dla tych firm, które swoje usługi lub towary kierują do obywateli Unii, choć same działają poza jej obszarem.
Nowe prawo będzie egzekwowane przez regulatora od 25 maja 2018 r. i w przypadku braku zgodności z unijnymi regulacjami po tym terminie, firmy muszą liczyć się z ryzykiem sankcji finansowych w wysokości do 20 mln euro lub 4% globalnego rocznego obrotu z poprzedniego roku finansowego.
Jak podkreśla Tomasz Koryzma, partner w kancelarii CMS: „Przedsiębiorcy powinni rozpocząć przygotowania do wdrożenia nowego prawa już teraz, bowiem dostosowanie spółki do unijnych regulacji wymaga zarówno odpowiednich zasobów finansowych, jak i ludzkich. Ze względu na skalę zmian potrzebne może być stworzenie interdyscyplinarnych zespołów ekspertów prawnych i technologicznych, które przeanalizują wpływ nowych regulacji na działalność przedsiębiorstwa. W pierwszej kolejności należy przyjrzeć się procesom biznesowym, istniejącej dokumentacji oraz oprogramowaniu używanemu do przetwarzania danych i ocenić ich zgodność z nowymi przepisami”.
Dwa lata - jakie ustawodawca pozostawił firmom w Unii Europejskiej na przygotowanie się do nowych regulacji - są niezbędne ze względu na skalę zmian obejmujących m.in.: konieczność weryfikacji systemów IT, z których korzystają przedsiębiorcy, czy też poinformowanie klientów o nowych zasadach przetwarzania ich danych, jak też wprowadzenie nowego procesu w przedsiębiorstwie – oceny wpływu przetwarzania danych na prywatność.
„Jedną z ważniejszych zmian z perspektywy przedsiębiorców jest konieczność wyczerpującego informowania klientów w zrozumiały i przystępny sposób o tym, jak ich dane są przetwarzane czyli np. czy i do jakich krajów są transferowane i przez jaki czas pozostają w bazach danych. W praktyce oznacza to, że informacja mówiąca iż dane przetwarzane są np. dla celów marketingowych czy rekrutacyjnych przestaje być wystarczająca” – wyjaśnia Marcin Lewoszewski, radca prawny w zespole prawa nowych technologii kancelarii CMS. „Przedsiębiorcy zobowiązani zostali teraz także do bardzo starannego wybierania podmiotów, którym powierzają przetwarzanie danych np. w związku z usługami kadrowo – płacowymi czy analizą danych” – kontynuuje Marcin Lewoszewski.
Jak wynika z badania kancelarii CMS, jedynie ok. 15% badanych przedsiębiorców podjęło już jakiekolwiek działania w swoich organizacjach, aby przygotować firmy na nowe wyzwania, podczas gdy zdecydowana większość respondentów (ok. 75%) ogranicza się co najwyżej do monitoringu zmian prawnych w zakresie zarządzania danymi osobowymi.
„Przedsiębiorcy najwyraźniej postanowili zająć postawę wyczekującą, co może świadczyć o potrzebie pozyskania bliższych informacji na temat praktycznych konsekwencji wprowadzanych zmian oraz rekomendacji, jakie działania należy podjąć w związku nowym podejściem do ochrony danych osobowych” –wyjaśnia Tomasz Koryzma, partner w kancelarii CMS. „Jeżeli jednak spojrzymy na polski rynek może okazać się, że w porównaniu z bogatszymi krajami Europy Zachodniej, dystans jaki polskie firmy mają do pokonania, aby sprostować nowym wymaganiom np. pod kątem dostosowania systemów IT, jest większy ze względu na wieloletni niższy poziom nakładów inwestycyjnych w przedsiębiorstwach, w tym m.in. na bezpieczeństwo danych” – dodaje.
Potrzebę bliższych informacji na temat praktycznych konsekwencji wprowadzanych zmian wyrażają sami przedsiębiorcy - ponad 85% ankietowanych dostrzega konieczność dalszego informowania polskiego rynku o skutkach i konkretnych działaniach niezbędnych w związku ze zmianą przepisów.
Zdecydowana większość przedsiębiorstw badanych przez kancelarię CMS uważa wprowadzane regulacje za na tyle istotne, aby zaangażować zarząd firmy w proces zmian w swoich organizacjach. Udział zarządu ankietowani widzą w procesie identyfikacji kluczowych ryzyk, jak również ze względu na potrzebę uwzględnienia nowego podejścia do danych osobowych w kulturze organizacyjnej firmy, a także jako ważnego elementu zarządzania ryzykiem w przedsiębiorstwie. Dodatkowo, prawie połowa respondentów uważa wprowadzone zmiany za na tyle rozległe, że zamierza skorzystać ze wsparcia firm zewnętrznych.
Zdaniem respondentów, sprzedaż, marketing i IT są tymi działami w przedsiębiorstwie, które muszą podjąć największy wysiłek, aby przygotować się do zmian. Jedynie ok. 40% widzi potrzebę dostosowania się po stronie działów czy procesów HR, a jeszcze mniej w obszarze finansów (poniżej 20%).
„Przedsiębiorcy trafnie identyfikują obszary, które będą wymagały największej uwagi i dostosowania do nowego prawa. Szczególnie w tych branżach, gdzie dane osobowe są kluczową wartością –np. w sektorze finansowym – najwięcej zmian związanych będzie z obszarem marketingu i sprzedaży oraz IT” – mówi Marcin Lewoszewski z kancelarii CMS.
Jak pokazuje badanie przeprowadzone przez CMS, w nowych przepisach ankietowani przedsiębiorcy widzą przede wszystkim wzrost kosztów prowadzenia działalności biznesowej – taką obawę podziela prawie 80% respondentów. Zapytani o korzyści ze wzmożonej ochrony danych osobowych, ankietowani wskazują na wzrost zaufania klientów (ok.40%) oraz ograniczenie ryzyka prawnego (prawie 30%). Wśród innych korzyści z zaostrzenia podejścia do ochrony danych osobowych pojawia się także: zwiększenie przewagi konkurencyjnej oraz urealnienie ochrony danych.
Zapytani o powody dostosowywania się do nowych przepisów respondenci podają dość oczywiste w tej sytuacji ryzyko sankcji finansowych i ryzyko regulacyjne (prawie 90%). Na dalszych miejscach znalazło się ryzyko reputacyjne (ok. 75%) oraz oczekiwania klientów (ok. 50% wskazań). Jedynie ok. 30% respondentów podchodzi do zmian proaktywnie, zwracając uwagę na korzyści z komercyjnego wykorzystania danych osobowych.
Zapytani o konkretne plany informowania w ramach własnej organizacji o zmianach w podejściu do danych osobowych, badani przedsiębiorcy rozważają przede wszystkim przekazywanie informacji poprzez Intranet (ponad 50%) lub doszkalanie pracowników (45%). Jednocześnie prawie ¼ nie ma planów lub wiedzy w zakresie planowanych działań.
Przykładowe zmiany w zakresie danych osobowych obowiązujące po 25 maja br.:
• Nowe przepisy wymagają od przedsiębiorców, by o wszystkich przypadkach naruszenia danych informowali Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a niekiedy także zainteresowane osoby (np. klientów), których dane dotyczą. Wszelkie nieprawidłowości w tym zakresie trzeba będzie zgłosić organowi nadzorczemu (GIODO) bez zbędnej zwłoki, jeżeli to możliwe – nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Dotyczy to nie tylko takich przypadków, gdy dane zostaną na przykład bezprawnie opublikowane w Internecie, ale też sytuacji, kiedy zgubiony zostanie pendrive z danymi czy dane zostaną skasowane.
• Nowe prawo dopuszcza profilowanie oparte na automatycznym przetwarzaniu danych
dopiero po uzyskaniu zgody zainteresowanego, chyba że profilowanie jest konieczne do zawarcia lub wykonania umowy. Regulacja nakazuje informowanie konsumentów o tym, że podlegają oni profilowaniu.
• Wszystkie osoby, których dane przetwarzane są przez firmę, na przykład pracownicy czy klienci, muszą być w znacznie szerszym zakresie niż dotychczas informowane o tym, co się dzieje z ich danymi. Przedsiębiorcy będą musieli zadbać o przejrzystość, rzetelność i czytelność tych informacji.
• Administratorzy danych będą mogli zawierać umowy o powierzenie przetwarzania danych tylko z takimi podmiotami, które gwarantują właściwe wdrożenie przepisów rozporządzenia, m.in. stosują środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem i regularnie monitorują skuteczność zasobów technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo.
• Nowa regulacja zmienia rolę administratora bezpieczeństwa informacji. Według rozporządzenia zastąpi go inspektor ochrony danych. Jeden inspektor będzie mógł działać w więcej niż jednym przedsiębiorstwie tylko wówczas, gdy każda z tych firm będzie mogła łatwo nawiązać z nim kontakt. To powinno usprawnić funkcjonowanie grup kapitałowych, które koordynują działania zmierzające do ochrony danych.
• Katalog zadań inspektora został ujednolicony w skali całej Unii Europejskiej. Do jego obowiązków będzie należeć m.in. monitorowanie przestrzegania rozporządzenia poprzez działania i szkolenia pracowników danej spółki, jak również współpraca z Generalnym Inspektorem Ochrony Danych Osobowych (GIODO).
• Zgodnie z rozporządzeniem, powołanie inspektora ochrony danych w sektorze prywatnym będzie obowiązkowe w dwóch przypadkach: kiedy przetwarzanie danych ze względu na ich charakter, naturę, cel lub zakres wymaga regularnego i systematycznego monitorowania osób w szerokim zakresie, a także gdy na dużą skalę przetwarzane są dane szczególnej kategorii (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących. W pozostałych przypadkach powołanie inspektora ochrony danych będzie dobrowolne.
Dodatkowe informacje o badaniu
Badanie miało miejsce w okresie od kwietnia do maja 2016 r. wśród przedstawicieli ponad 100 przedsiębiorstw działających na terenie Polski. Niemal połowa ankietowanych (48%) pracuje w firmach zatrudniających powyżej 500 osób, a 68% to pracownicy firm międzynarodowych. Najliczniej reprezentowane były branże: ubezpieczeniowa (19%), bankowa (14%) oraz technologiczna (11%). Pokaźną grupę stanowili również przedstawiciele branży FMCG, telekomunikacyjnej, motoryzacyjnej i e-commerce.
Respondenci to głównie członkowie zarządu oraz dyrektorzy i kierownicy działów. Większość z nich pracuje w dziale prawnym (29%) i IT (11%), zaraz za nimi znaleźli się przedstawiciele działów compliance, bezpieczeństwa, sprzedaży i marketingu.
Więcej o zmianach w prawie i ich konsekwencjach dla polskiego rynku można przeczytać w raporcie „Zmiany w unijnym prawie ochrony danych osobowych – nowe wyzwania i szanse dla przedsiębiorstw” pod adresem: www.cmslegal.com