System do zarządzania bezpieczeństwem informacji. Szkolenia ABI, GIODO, RODO, UODO | Securio24
  • Kategorie
    • GIODO
      • ABI
    • RODO
      • Inspektor Ochrony Danych
    • ODO
    • UODO
  • Sprawdź nas!
ODO , RODO

RODO jako szansa dla firm

by Securio24 październik 24, 2017 Brak komentarzy
RODO jako szansa dla firm

RODO, którego przepisy znajdą zastosowanie w maju 2018 r., spędza sen z powiek wielu przedsiębiorcom, organizacjom pozarządowym oraz instytucjom publicznym w Polsce. Według badania przeprowadzonego na zlecenie fundacji Wiedza To Bezpieczeństwo, w sierpniu br. ok. połowa przedsiębiorstw nie wykonała jeszcze żadnego kroku w celu przygotowania się do RODO.

Natomiast badanie wykonane na zlecenie Trend Micro przedstawia wyniki pokazujące jeszcze inną stronę tego problemu – 84% respondentów (dyrektorów najwyższego szczebla, prezesów – kadry zarządzającej) twierdzi, że w ich firmie wymogi RODO są spełnione na najwyższym możliwym poziomie, ale prawie połowa z nich nie zaliczyłaby do kategorii danych osobowych baz danych wykorzystywanych w celach marketingowych lub przetwarzanych adresów e-mail.

RODO jako szansa dla firm

Wyniki badań przytoczonych powyżej świadczą o olbrzymim braku świadomości i wiedzy w zakresie ochrony danych osobowych, a także o tym, że w rzeczywistości firmy te wcale do RODO się nie przygotowują i prawdopodobnie czekają z podjęciem jakichkolwiek działań do ostatniego momentu. Druga połowa, która traktuje wyzwanie związane z dostosowaniem się do nadchodzących przepisów poważnie, widzi RODO raczej jako uciążliwy problem. Oczywiście, dostosowanie firmy do zmieniających się regulacji zawsze stanowi dla przedsiębiorcy (i nie tylko) trudność związaną z poświęcaniem dodatkowych zasobów – czasu, sił i środków finansowych. Skoro do zmian w prawie i tak należy się dostosować, warto potraktować i wykorzystać tę okoliczność jako szansę – szczególnie, że zobowiązane do spełnienia nowych wymogów są wszystkie podmioty na rynku.

Odpowiedzialność jako wartość w biznesie

Wizerunek firmy w oczach wszystkich interesariuszy – a więc przede wszystkim partnerów biznesowych, kontrahentów i klientów, lecz również organizacji pozarządowych, instytucji publicznych czy też np. akcjonariuszy, jest dla każdego przedsiębiorstwa niezwykle istotny. Nieprzypadkowo budżety na działania z dziedziny public relations rosną wraz z poprawą kondycji finansowej firmy na równi z budżetami przeznaczonymi na działania stricte marketingowo-sprzedażowe. Przemyślane komunikowanie odpowiedzialnej polityki firmy w różnych dziedzinach może stanowić istotny atut wizerunkowy, który zaprocentuje w relacjach z potencjalnymi interesariuszami. Dlatego też w obszarze społecznym duże firmy nie szczędzą środków na działania z zakresu CSR, a w zakresie własnej działalności biznesowej starają się uzyskać jak najwięcej certyfikatów, poświadczających spełnianie wymogów prawa lub standardów jakości np. ISO. Warto zatem w kontekście nadchodzących zmian w obszarze polityki prywatności i bezpieczeństwa informacji wziąć pod uwagę świadomą komunikację odpowiedzialnego podejścia do kwestii związanych z ochroną danych osobowych. Rozwój technologiczny zmusił prawodawcę (w tym przypadku Parlament Europejski i Radę Unii Europejskiej) do uchwalenia regulacji do niego dostosowanych, uwzględniających zagrożenia dla prywatności obywateli wynikające z wykorzystywania na coraz większą skalę narzędzi przeznaczonych do masowego pozyskiwania i przetwarzania danych osobowych. Zazwyczaj dzieje się właśnie tak, że to zmiany w prawie „gonią” zmieniające się okoliczności, sytuacje tutaj miejmy nadzieję, że trend zostanie odwrócony. Dostosowanie przepisów w zakresie ochrony danych osobowych do zmieniającej się rzeczywistości było więc raczej nieuniknione. Wobec tego zamiast traktować konieczność wdrożenia rozwiązań spełniających wymogi RODO jako uciążliwy problem, warto potraktować je jako szansę na wzmocnienie wizerunku poprzez komunikowanie odpowiedzialnego podejścia do polityki prywatności. Pozwoli to uzyskać przewagę nad konkurencją, która problematykę ochrony prywatności może potencjalnie traktować w mniej odpowiedzialny sposób.

Ochrona danych w relacjach b2b oraz b2c

Zagadnieniem, o którym wciąż mówi się relatywnie mało, jest kwestia ochrony danych w relacji b2b (business-to-business), wciąż zbyt często oparta jedynie na wzajemnym zaufaniu i niestety czasem pustych oświadczeniach. Powierzając innemu podmiotowi, np. biuru rachunkowemu lub agencji marketingowej, przetwarzane przez nas dane osobowe (pracowników, klientów etc.), często nie upewniamy się, czy faktycznie najwyższe standardy ochrony danych osobowych są w tej firmie stosowane – ergo, czy powierzane dane, których administratorem jesteśmy, będą odpowiednio chronione przez firmę, z którą współpracujemy. Zalecane jest więc, aby nie pozostawiać tej kwestii wyłącznie zaufaniu, a w istocie upewniać się, czy procedury i narzędzia stosowane w przedsiębiorstwach, z którymi współpracujemy, zapewniają najwyższy możliwy poziom ochrony danych przez nas posiadanych. Przyjmuje się, że zagadnienie to po zastosowaniu przepisów RODO będzie coraz częściej poruszane, a więc warto nie tylko spełniać wszystkie wymagane prawem obowiązki, ale i w przemyślany sposób komunikować to na zewnątrz – swoim partnerom lub klientom.

Podobnie rzecz ma się z relacją b2c, a więc business-to-client. RODO jako regulacja o zdecydowanie pro-konsumenckim charakterze, ma na celu przede wszystkim ochronę praw jednostki. Niewykluczone, że wraz z dalszym postępem technologicznym oraz coraz większym zanikiem prywatności (np. w sieci, choć nie tylko), świadomość tej problematyki wśród obywateli będzie coraz większa. Czasy obecne wciąż charakteryzuje lekceważące podejście do kwestii związanych z własną prywatnością, niemniej już na przestrzeni najbliższych kilku lat może zacząć się to zmieniać – użytkownikom będzie coraz bardziej zależeć na ochronie własnych danych, przez co mogą znacznie mniej chętnie dzielić się nimi, np. w celach marketingowych. Z pewnością bardzo ciekawymi danymi będą wyniki badań i analiz dotyczące wykorzystania przez obywateli UE tzw. „prawa do bycia zapomnianym”, gwarantowanego przez RODO. Przewidując zatem możliwe nadejście tzw. „mody na prywatność”, warto już teraz zadbać nie tylko o stosowanie możliwie jak najszerszej ochrony danych i prywatności, już na etapie projektowania procesów przetwarzania (tzw. zasada „privacy by design”) i ich domyślnego stosowania wobec użytkowników („privacy by default”), lecz również o komunikowanie tego w odpowiedni sposób. Największe, transnarodowe korporacje już teraz prezentują użytkownikom nowe polityki prywatności, w których nie tylko stosują się do przepisów RODO, formułując je zgodnie z wymaganiami w sposób „zwięzły, przejrzysty, czytelny i łatwo dostępny”, ale też… chwaląc się tym – np. w tytule wiadomości e-mail pisząc „Oto nasza nowa polityka prywatności – w przejrzystej i czytelnej formie”. To dobra praktyka pokazująca, że największe firmy świadome są korzyści płynących z komunikowania odpowiedzialnego podejścia do prywatności użytkowników.

Certyfikacja – nie dla wszystkich?

Według projektowanych założeń nowej ustawy o ochronie danych osobowych, każdy podmiot będzie miał także możliwość uzyskania certyfikatu potwierdzającego przez organ nadzoru zgodność procesów przetwarzania danych osobowych z wymaganiami RODO. O uzyskanie takiego certyfikatu będzie mógł starać się każdy przedsiębiorca, który wystąpi z wnioskiem do właściwego organu. Certyfikat ten, tak jak potwierdzenie norm ISO, będzie stanowił swego rodzaju „znak jakości”, potwierdzający klientom lub partnerom biznesowym, że dana firma lub przedsiębiorca traktuje z największą odpowiedzialnością kwestie dot. danych osobowych i spełnia najwyższe standardy w zakresie ochrony prywatności. Problem jednak może leżeć w kosztach i dostępności uzyskania takiego certyfikatu – według obecnych założeń, opłata za wydanie certyfikatu ma stanowić trzykrotność średniego miesięcznego wynagrodzenia za pracę w gospodarce narodowej w danym roku, czyli na chwilę obecnie około 12 tys. zł. Ponadto, certyfikat wydawany ma być na czas określony, a więc mogą się pojawić różne dodatkowe koszty związane z przedłużaniem jego ważności. Trudno ukryć, że choć dla dużych firmy taki wydatek może nie stanowić problemu, tak dla mniejszych biznesów może to być już suma spora jak na tego rodzaju wydatek. Z łatwością możemy wyobrazić sobie np. małe, rodzinne biznesy, sklepy internetowe czy innego rodzaju działalności, które przetwarzają dane znacznej liczby użytkowników, lecz ich roczne przychody albo nie pozwalają na tego typu nadprogramowy wydatek, albo też będzie on dla nich w tym przypadku „dodatkową zachcianką”, z której zrezygnują, woląc zainwestować środki w tej wysokości w coś innego. Spełniając jednak wymagania RODO warto będzie poważnie zastanowić się nad uzyskaniem certyfikacji – główne powody ku temu i korzyści wymienione zostały już wcześniej. Nic jednak nie stoi na przeszkodzie by mniejsze firmy, które się na to nie zdecydują, nie posiadając tego rodzaju „znaku jakości” komunikowały na własną rękę odpowiedzialność w zakresie prywatności.

Kryzys to nie koniec świata, jeśli wiesz, co robić

Każda firma musi być przygotowana na nieprzewidziane okoliczności, które mogą nadszarpnąć jej reputacją. Obecnie przyjmuje się, że kryzys wizerunkowy przy odpowiedniej reakcji i zastosowaniu właściwych metod przeciwdziałania obrócić można nawet na swoją korzyść. Dlatego też w public relations coraz istotniejsza staje się gałąź zajmująca się stricte zarządzaniem kryzysowym. Z dziedziny tej wyodrębnić można kryzysy dotyczące incydentów naruszeń bezpieczeństwa danych osobowych – niezależnie od tego, czy jest to efekt cyber-ataku, a więc np. celowa kradzież, czy też jest to tzw. „wyciek” będący pokłosiem błędów systemowych lub czynnika ludzkiego. Zaleca się więc, aby posiadać plan zarządzania kryzysowego przygotowany na wystąpienie takich okoliczności. Oczywiście każda sytuacja kryzysowa różni się od siebie, jednak stworzenie mapy ogólnych założeń postępowania w takich przypadkach pomaga znacznie podjąć szybszą i skuteczniejszą reakcję oraz odbudować, a nawet wzmocnić zaufanie klientów do swojej marki. Niemalże każdego dnia w prasie oraz Internecie pojawiają się informacje o kradzieży lub wycieku danych. Zazwyczaj, szczególnie, jeśli liczba poszkodowanych użytkowników jest bardzo duża, sytuacje te zapadają w pamięć czytelników i potrafią być łatwo przywoływane w przyszłości. Zapewne większość z nas nie ma trudności w wyobrażeniu sobie hipotetycznej rozmowy pomiędzy dwójką znajomych: „- Słyszałeś o nowej promocji sklepu XYZ? – To ten sklep, który dwa tygodnie temu miał wyciek danych setki tysięcy klientów? Czytałem o tym na jakimś portalu”. Wyobraźmy sobie więc, że rozmowa ta mogłaby przebiec zupełnie inaczej, z odpowiedzią brzmiącą na przykład: „- To ten sklep, który dwa tygodnie temu miał wyciek danych setki tysięcy klientów? Słyszałem, że bardzo fajnie zareagowali, informując każdego użytkownika o potencjalnym niebezpieczeństwie, zalecając odpowiednie kroki i od razu wdrożyli podobno najskuteczniejsze obecnie środki w zakresie cyberbezpieczeństwa. Zaoferowali też wszystkim rekompensatę, moja znajoma dostała voucher na naprawdę niezły rabat”. Robi różnicę, prawda? Warto więc nie tylko chronić w jak największym stopniu dane osobowe i komunikować to jak najszerzej, ale też zawsze być przygotowanym na najgorszy scenariusz. Wraz z rozwojem technologii, szczególnie dotyczy to oczywiście Internetu i nowych rozwiązań związanych z big data, prywatność coraz bardziej zyskuje na wartości. Ponad 2/3 Amerykanów uważa, że „prawo do bycia zapomnianym”, gwarantowane już niedługo obywatelom Unii Europejskiej przez RODO, powinno być zakwalifikowane do podstawowych praw człowieka. Sami Europejczycy twierdzą, że nie mają żadnej lub posiadają jedynie częściową kontrolę nad swoją prywatnością – w badaniach odpowiada tak aż 4/5 respondentów, przy czym 2/3 w ogóle nie ufa firmom działającym w internecie. Wraz z nadejściem rzeczywistości gwarantowanej przez RODO, na bezpieczeństwie prywatności będzie zależeć coraz większej liczbie obywateli państw unijnych. Należy więc nie tylko spełniać ich oczekiwania w sferze technicznej, ale i zapewniać ich o najwyższym standardzie bezpieczeństwa usług i budować swój wizerunek jako firmy odpowiedzialnej społecznie i chroniącej dane osobowe. A także być gotowym na każdy ewentualny kryzys, by wyjść z niego z otwartą przyłbicą.

Jeśli jesteś zainteresowany konsultacjami w zakresie komunikacji prywatności, porozmawiajmy. Skontaktuj się z nami i pomyślmy razem, jak możemy Ci pomóc.

Mateusz Parys

b2bdane osobowefirmygdprochrona danych osobowychodoprrodowizerunek

  • Previous Kim będzie Inspektor Ochrony Danych wg RODO7 lat temu
  • Next Zmiany w organizacji związane z RODO – 3 etapy7 lat temu
System zarządzania bazami danych Securio24

NAJPOPULARNIEJSZE POSTY

  • RODO jako szansa dla firm RODO jako szansa dla firm
  • Zmiany w organizacji związane z RODO Zmiany w organizacji związane z RODO – 3 etapy
  • Administrator Bezpieczeństwa Informacji – osoba niezależna
  • HR, a ODO – naruszenia zasad przetwarzania danych w procesie rekrutacji
ITLS
  • IT Law Solutions Sp. z o.o.
  • ul. Taneczna 78, 02-829 Warszawa
  • NIP: 951-235-88-09
  • REGON: 146238671
  • KRS: 0000428687
  • Polityka prywatności