Nierzadko jednak trudności sprawiało – i często nadal sprawia – przestawienie się ludzi na różnych stanowiskach na nowy sposób rozumienia wartości chronionych zasobów informacji. W przypadku RODO nie chodzi bowiem o zapewnienie bezpieczeństwa danych będących własnością firmy, lecz o zabezpieczenie informacji dotyczących fizycznych osób, autonomicznych jednostek pozostających z nią w różnych relacjach, wynikających z prowadzonego biznesu. I choć jedno z drugim często idzie w parze, to trudno myśleć o spełnieniu wymogów RODO bez uświadomienia sobie, że w tym przypadku nie chodzi o zapewnienie bezpieczeństwa firmie czy instytucji, lecz o troskę o odpowiednie zabezpieczenie danych osób, których one dotyczą.

Zadanie może nie być łatwe także  z tego powodu, że wprowadzenie RODO zwiększyło również świadomość wagi ochrony prywatności w całym społeczeństwie. Zarówno prawnicy zajmujący się wdrażaniem unijnego rozporządzenia w firmach, jak i przedstawiciele organizacji będących administratorami danych osobowych zauważają, że widać nieustanny wzrost jakości pytań i żądań kierowanych przez ludzi pod adresem firm przetwarzających ich dane. Po początkowym okresie zamieszania pojęciowego i proceduralnego, zgłaszania problemów bazujących na medialnych stereotypach, a nie rzetelnej analizie stanu faktycznego pojawia się coraz więcej wystąpień mających poważne umocowanie prawne i merytoryczne, świadczących o coraz lepszym zrozumieniu przez ludzi obowiązujących mechanizmów ochronnych.

Bez przerwy na nasłuchu

Trudności z jednoznaczną oceną stanu zaawansowania prac nad dostosowaniem się polskich firm do wymogów RODO wynikają również z braku dostatecznej ilości orzecznictwa w tym obszarze. Brakuje jasnych rekomendacji i interpretacji. W wielu kwestiach pojawiające się interpretacje są nawet całkowicie rozbieżne. Rezultaty kontroli prowadzonych przez Urząd Ochrony Danych Osobowych nie są podawane do publicznej wiadomości. Dostępne są jedynie decyzje prezesa UODO w sprawie zgłaszanych skarg i wniosków. Branżowe kodeksy dobrych praktyk nie zostały zatwierdzone lub jeszcze w ogóle nie powstały. Ewentualnego wsparcia można szukać na razie w wytycznych i opiniach publikowanych na stronach UODO. Nawet pierwsza w naszym kraju kara nałożona za niedopełnienie obowiązku informacyjnego budzi szereg pytań i wątpliwości ze strony prawników i ekspertów od ochrony danych osobowych.

Osoby odpowiedzialne za zapewnienie firmom działalności w zgodzie z wymogami RODO nie mają więc łatwego zadania. Tym bardziej że zgodnie z wprowadzoną zasadą rozliczalności to na nich ciąży obowiązek wykazania, że zastosowane środki i sposoby zabezpieczenia danych były najbardziej optymalne jak również najlepiej dostosowane do zdiagnozowanych zagrożeń w danej sytuacji. Jak się jednak przygotować do kontroli, skoro nie ma żadnego wymaganego prawem minimum konkretnych zadań do wykonania? Nawet gotowe wzorce czy szablony postępowania na nic się nie zdadzą, jeśli nie zostaną dostosowane do specyfiki i uwarunkowań funkcjonowania konkretnego przedsiębiorstwa.

Piotr Wojtasik
inżynier sprzedaży, Axence

RODO spowodowało wzrost zapotrzebowania na rozwiązania do zarządzania IT, szczególnie w mniejszych przedsiębiorstwach, gdzie bezpieczeństwo opierało się wcześniej na codziennie praktykowanych działaniach i wzajemnym zaufaniu. W obliczu potencjalnych kar wdrożenie oprogramowania stało się parasolem ochronnym dla szefów wielu firm. Klienci szukają rozwiązań, które pozwolą im ustrzec się przed skutkami ewentualnych incydentów i zabezpieczyć się na przyszłość. Widzą też potrzebę oceny i audytu wdrożonych systemów, aby mieć pewność w kwestii dostosowania się do wymogów unijnego rozporządzenia.