Rok 2018 zostanie zapamiętany przez wielu w świecie biznesu jako ten, w którym wprowadzono RODO. Każda organizacja, objęta nowym rozporządzeniem, miała ponad rok, aby dostosować zgodność prawa z wprowadzanym RODO, mimo to nie wszystkie firmy są przygotowane w stu procentach. Nowe dane dostarczają kilka dobrych powodów, dla których firmy powinny dołożyć wszelkich starań, aby dostosować swoje działania do wymaganych zasad.
W ubiegłym roku Gartner dokonał przybliżonego oszacowania, z którego wynika, że ponad połowa przedsiębiorstw nie była przygotowana do wprowadzenia RODO – 25 maja 2018 r., czyli w dniu, w którym zaczęło ono obowiązywać. Nowe dane, odkryte przez TrustArc, ujawniają niepokojącą prawdę: tylko 20 procent firm, ankietowanych przez Dimensional Research, stwierdziło, że wprowadzone przez nich dyrektywy są w pełni zgodne z nowym rozporządzeniem.
Ankieta wśród badanych firm została przeprowadzona od 4 czerwca do 15 czerwca, na grupie 600 specjalistów IT i prawników ze Stanów Zjednoczonych, Wielkiej Brytanii i krajów Unii Europejskiej, z 200 respondentami z każdego terytorium. Personel ankietowanej firmy liczył od 500 do 5 000. Według TrustArc, każda z badanych grup skupiała tych samych specjalistów z dziedziny prawa czy technologii informatycznej. Ankieta zawierała niektóre pytania podobne do tych z sierpnia 2017 r. Celem ankieterów była ocena świadomości w zakresie RODO wśród respondentów.
Najważniejsze wyniki badania:
• 96 proc. wszystkich respondentów rozpoczęło programy zgodności z GDPR, a 53 proc. jest w fazie wdrażania.
• 20 proc. respondentów zakończyło pracę i uważa, że wprowadzone przez nich dyrektywy są w pełni zgodne z GDPR.
• Respondenci, zarówno w wysoce regulowanych, jak i nieuregulowanych branżach, mieli porównywalny status zgodności.
• Firmy z USA i Wielkiej Brytanii poczyniły znaczne postępy w ciągu ostatnich 10 miesięcy, podczas gdy UE przewodzi Wielkiej Brytanii i USA w zakresie pełnej zgodności.
• 49 proc. respondentów w UE, 55 proc. w Wielkiej Brytanii i 56 proc. badanych w USA nie zakończyło jeszcze procesu wprowadzania zasad RODO.
• Do końca 2018 r. 76 proc. unijnych, 76 proc. brytyjskich i 68 proc. amerykańskich firm oczekuje pełnej zgodności z rozporządzeniem.
• Zgodność z GDPR powinna głównie dotyczyć menadżerów wysokiego szczebla i zarządu firm.
• Największym wyzwaniem, wskazanym przez respondentów, była złożoność rozporządzenia, a następnie takie czynniki, jak: budżetowanie, dostęp do narzędzi technologicznych i brak czasu.
• Firmy o wysokim stopniu regulacji zarejestrowały niewielką przewagę nad nieregulowanymi pod względem dostępu do wykwalifikowanych pracowników oraz technologii i narzędzi wspierających ich projekty GDPR.
• 68 proc. respondentów wydało już ponad sześć danych na temat zgodności z RBP, a 67 proc. spodziewa się wydać dodatkowe sześć liczb do końca 2018 r .; 10 proc. respondentów w USA miało budżet na PKB większy niż 2,5 miliona USD w porównaniu z 2 proc. w Wielkiej Brytanii i 3 proc. w UE
• Większość firm potrzebowała pomocy w zrozumieniu zasad i opracowaniu programu GDPR, niektóre zespoły prawnicze sięgały po pomoc z zewnątrz.
• Wielu respondentów polega na różnych rozwiązaniach technologicznych stron trzecich w celu wspierania programów zgodności, ale także na systemach opracowanych wewnętrznie.
• 80 proc. stwierdziło, że zwiększy wydatki na technologię; 49 proc. podniesie wydatki „nieco”, a u 31 proc. plan wzrośnie „znacznie”.
Warto zauważyć, że większość firm twierdziła, że motywują je raczej wartości i oczekiwania klientów, a nie strach przed grzywnami i sporami sądowymi.
W raporcie czytamy: „Chociaż w prasie publikowano wiele informacji na temat potencjalnie wysokich grzywien, które mogą być nakładane na firmy, których zasady nie są zgodne z GDPR, respondenci byli bardziej zmotywowani przez chęć spełnienia oczekiwań klientów i partnerów, niż strach przed grzywnami lub procesami sądowymi. Spełnienie oczekiwań klientów było głównym motywatorem dla firm, niezależnie od tego, czy były one w wysokim stopniu regulowane, czy też nie”.
“Odpowiedzialność” jest kluczową zasadą u podstaw ogólnego unijnego rozporządzenia o ochronie danych. Jak zauważa brytyjskie Biuro Komisarza ds. Informacji: „to czyni cię odpowiedzialnym za przestrzeganie GDPR i przypomina, że musisz być w stanie udowodnić swoją zgodność”.
Wydaje się, że w przypadku wielu firm dobre wrażenie należy najpierw zrobić na klientach i partnerach, a dopiero później na prawodawcach – odważne, ale nieco nieuniknione podejście, jeśli zakłócenia mają być ograniczone do minimum.
Ustawa o ochronie danych osobowych została wprowadzona przede wszystkim z intencją ochrony zwykłego człowieka. Zostawiając dane na każdym możliwym portalu i mając problem z wyegzekwowaniem ich usunięcia, użytkownik był narażony na wszelkiego rodzaju oszustwa. Dlatego nic dziwnego, że przedsiębiorstwa jako motywacje do wdrażania systemu RODO w pierwszej kolejności wskazują na chęć spełnienia oczekiwań klienta, czy na próbę sprostania aktualnym wymaganiom rynku – komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Respondenci stwierdzili, że są najbardziej zgodni z aktualizacją zasad i procedur (27 proc.) oraz zarządzaniem zgodnością z cookie (25 proc.). Najdalej posunęły się względem międzynarodowych mechanizmów transferu danych (16 proc.) i zarządzania ryzykiem ze strony sprzedawców (13 proc.). Wyniki te są również w sposób widoczny zgodne z celem, jakim jest przede wszystkim spełnienie oczekiwań klientów.
Utrzymanie zgodności z RWP pozostaje najwyższym priorytetem, zdolność do wykazania zgodności szybko rośnie w górę listy priorytetów- powiedzieli respondenci. Wielu z nich chce uzyskać „certyfikat GDPR”.