Jak wynika z raportu Kantar Public, zamieszczonego w styczniu 2018 roku na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych, poziom wiedzy i świadomość nowych obowiązków ciążących na przedsiębiorcach jest stosunkowo niski. Do udziału w badaniu zaproszono osoby z organizacji mające wiedzę o przedsiębiorstwie dotyczącą ochrony danych osobowych; byli to głównie menedżerowie i dyrektorzy zarządzający przedsiębiorstwem i dotychczasowi administratorzy bezpieczeństwa informacji, jak również prawnicy i osoby, które w ramach organizacji znają zasady funkcjonowania przepisów o ochronie danych osobowych. Wyniki przeprowadzonego raportu mogą niepokoić. Co prawda ponad połowa badanych miała świadomość nowych obowiązków, jakie na danego przedsiębiorcę nakłada RODO, niestety większość z nich nie wiedziała, na czym miałyby one polegać. Szczegółowe dane wskazują, że 24 % polskich przedsiębiorców nie zna dokładnej daty rozpoczęcia obowiązywania w Polsce i Unii Europejskiej nowych przepisów o ochronie danych osobowych, a 12 % było przekonanych, że przepisy te obowiązują od 1 stycznia 2018 roku. Stosownie do nowych regulacji nałożono na obowiązane podmioty obowiązek zgłoszenia w ciągu 72 godzin przypadków naruszenia danych osobowych; świadomość tego obowiązku ma około 68% badanych przedsiębiorców, jednak jak należy tego dokonać, wie zaledwie 41% badanych.

Z przeprowadzonego raportu wynika, że w przedsiębiorstwach największym problemem nie jest brak świadomości w zakresie wdrażanych regulacji, a to, jak wprowadzić i dostosować nowe obowiązki do struktury prowadzonej działalności. Jako przykład należy przywołać profilowanie danych osobowych, które polega na zbieraniu informacji o konsumencie na podstawie jego zachowań w sieci. Zjawisko to do tej pory nie znalazło szczegółowego unormowania w prawie polskim. RODO natomiast wprowadza definicję legalną profilowania, wyróżniając dwie kategorie: profilowanie zwykłe z udziałem czynnika ludzkiego oraz zautomatyzowane, gdzie za proces oceny i podejmowania decyzji odpowiedzialne są komputery. RODO różnicuje wymogi prawne dla obu form, nakładając przy tym nowe obowiązki na administratorów danych osobowych. Problem z profilowaniem wydaje się dość duży, 41 % przedsiębiorców nie zdaje sobie sprawy, że zjawisko to jest w ogóle regulowane, natomiast wśród pozostałych aż 37 % nie wie, jak stosować nowe przepisy w praktyce.

Trudno się dziwić, w szczególności mikroprzedsiębiorcom, że poziom ich przygotowania do nowych regulacji jest niski, bowiem RODO nakładając nowe obowiązki, pozostaje dość ogólne w treści. Z jednej strony ma to plusy, bowiem daje większą elastyczność przedsiębiorcom tworzenia nowych, własnych systemów ochrony danych osobowych, spełniających wymogi RODO, z drugiej jednak strony te najmniejsze firmy, które do tej pory same zabezpieczały dane osobowe, mogą mieć duży problem z samodzielnym i prawidłowym wdrożniem unijnych przepisów.

Niestety głównym źródłem informacji dla większości przedsiębiorców w dalszym ciągu pozostaje Internet, mali i średni przedsiębiorcy niezbędnych informacji szukają również na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych. Warto zaznaczyć, że można znaleźć tam nie tylko porady dotyczące podstawowych kwestii związanych z wdrażaniem RODO w przedsiębiorstwie, ale również informacje o zbliżających się konferencjach, organizowanych przez Generalnego Inspektora Ochrony Danych Osobowych. Najbliższa pod hasłem: „Nowe zasady zabezpieczania danych osobowych, czyli RODO w praktyce” odbędzie się w Warszawie, w dniu 28 marca 2018 roku.