Polski wynik gotowości firm do RODO jest najlepszy wynik spośród wszystkich krajów uczestniczących w badaniu „Firmy i RODO” zrealizowanym przez Ipsos na zlecenie Microsoftu. Objęło ono również respondentów w Czechach, na Węgrzech, w Grecji i Rosji.

Z deklaracji pytanych wynika, że 42 proc. firm ma gotowy proces rozpoznawania danych osobowych i ich klasyfikacji, a 35 proc. jest w pełni gotowa do przechowywania zapisów odpowiedzi udzielonych na zapytania dotyczące danych.  

Już ponad połowa – 58 proc. przedsiębiorstw – twierdzi, że ma odpowiednie procedury i technologie pozwalające na usunięcie danych osobowych, czyli zapewnienie prawa do bycia zapomnianym. Z kolei 54 proc. jest gotowa na informowanie regulatora w ciągu 72 godz. o naruszeniu danych osobowych.

Wchodzące w życie 25 maja br. Rozporządzenie o Ochronie Danych Osobowych nakłada na firmy obowiązek odpowiedniej ochrony danych osobowych, niezależnie od tego czy dotyczą one pracowników, klientów czy partnerów biznesowych. Do tego celu niezbędne jest wypracowanie właściwych procedur wewnątrz organizacji. Zgodnie z założeniami rozporządzenia, powinny one być odpowiednio udokumentowane.

Jednym z głównych wyzwań, związanych z RODO jest fakt, że w rozporządzeniu nie wskazano  precyzyjnie, jakie polityki i procedury należy stworzyć oraz jakie zabezpieczenia wdrożyć. Organizacje mają zatem pewną dowolność.

„Istotne jest stworzenie systemu ochrony danych osobowych adekwatnego do zagrożeń oraz dostosowanego do struktury, wielkości oraz charakteru działalności firmy" – tłumaczy Michał Jaworski, członek zarządu Microsoftu.

Procedury dotyczące ochrony danych osobowych powinny obejmować m.in.:

• Definicję ról i obowiązków związanych z zapewnieniem dostępu, zarządzaniem i wykorzystaniem danych osobowych.
• Lokalizację i klasyfikację danych.
• Zarządzanie cyklem przetwarzania danych, w szczególności czasu przetwarzania oraz zgód na przetwarzanie.
• Zapobieganie, wykrywanie i reagowanie na czynności stwarzające wysoki poziom ryzyka i podejrzane postępowanie.
• Implementację rozwiązań zabezpieczających przed cyberzagrożeniami, w tym m.in. przesyłanych pocztą elektroniczną złośliwych załączników lub linków do witryn internetowych umożliwiających uzyskanie dostępu do danych osobowych organizacji.
• Zarządzanie zapytaniami osób fizycznych, które dotyczą danych przetwarzanych w przedsiębiorstwie.
• Zarządzanie procesem zgłaszania naruszeń w przetwarzaniu danych osobowych
• Dokumentowanie działań mających na celu zapobieganie ponownemu wystąpieniu danego, niepożądanego zdarzenia.