"Kary rzędu 20 mln euro są gigantyczne i niespotykane dotychczas w kwestii naruszenia ochrony danych osobowych" - powiedziała partner PWC Sylwia Pusz podczas konferencji prasowej.

Według ekspertów PwC, kolejne ryzyko dla przedsiębiorców wynikające z nowych przepisów UE to istotne ograniczenie lub brak możliwości działań korygujących (oddalających ryzyko sankcji) po wykryciu nieprawidłowości. Dotychczas, według obowiązującej ustawy o ochronie danych osobowych takie działania korygujące, poprawiające błędy firm w tej kwestii były możliwe.

Rozporządzenie nakłada dodatkowe obowiązki w zakresie ochrony danych osobowych na firmy, nie określając przy tym dokładnej ścieżki postępowania.

"Nowe rozporządzenie w kwestii danych osobowych nie określa sposobu dojścia do celu - tj. zabezpieczenia takich danych, nie ma w nim konkretnych sposobów implementacji nowych regulacji. Zastosowanie się do nowych wymogów regulacyjnych w kwestii danych osobowych będzie trudne, gdyż polski przedsiębiorca nie jest przyzwyczajony do tak skonstruowanych przepisów" - powiedziała adwokat w kancelarii PwC Legal Anna Kobylańska podczas konferencji prasowej.

Kolejne wyzwanie stojące przed przedsiębiorcami to uwzględnienie ochrony danych osobowych już w fazie projektowania rozwiązań informatycznych, obowiązkowe rejestrowanie czynności przetwarzania danych osobowych, a także przeprowadzania analizy skutków planowanych operacji dla ochrony danych osobowych. Administratorzy danych osobowych firm będą zobowiązani do zawiadamiania organu ochrony danych o naruszeniu przepisów. Równie ważne jest również ryzyko operacyjne (ewentualne problemy z działalnością na terenie Unii Europejskiej). Nowością w nowym rozporządzeniu UE jest również zwiększona współpraca organów nadzoru we wszystkich krajach członkowskich UE.

"RODO wprowadza istotną zmianę podejścia do zabezpieczania danych osobowych. Nie opisuje konkretnych mechanizmów bezpieczeństwa w warstwie technologicznej, proceduralno-procesowej i organizacyjnej, które muszą być wdrożone, a jedynie ogólne wymagania w obszarze bezpieczeństwa danych osobowych. W związku z tym sposób spełnienia tych wymagań dla różnych firm może być inny, a nawet dla jednej firmy może istnieć kilka scenariuszy. Należy jednak pamiętać, że każda decyzja powinna być poprzedzona pogłębioną analizą, która pozwoli na wybranie najlepszego rozwiązania" - podsumował menedżer w zespole ds. cyberbezpieczeństwa w PwC Łukasz Ślęzak.

Obecnie trwa okres ustanowiony dla przedsiębiorców na wdrożenie RODO, które w pełni stosowane będzie od 25 maja 2018 roku. Nowe rozporządzenie PE i RE 2016/679 z dn. 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie przepływu takich danych zostało zaprojektowane, by zharmonizować prawo ochrony danych osobowych w Europie.