Biznes nieprzygotowany do GDPR/RODO

Anonymous

Zdecydowana większość firm z UE nie spełnia nowych wymogów dotyczących ochrony danych osobowych m.in. dlatego, że nie dysponuje skutecznymi narzędziami umożliwiającymi lokalizowanie danych osobowych wewnątrz organizacji – wynika z badań Dimensional Research

W kwietniu 2016 r. weszło w życie rozporządzenie GDPR/RODO regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej, które zacznie obowiązywać od maja 2018 r. Mimo że konsekwencje niezastosowania się do rozporządzenia są niezwykle dotkliwe, jedynie 3 proc. firm działających na rynkach unijnych jest przygotowanych na nadchodzące zmiany. Głównym założeniem rozporządzenia jest ujednolicenie przepisów o ochronie danych osobowych na terenie UE. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Jednakże regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.

Nieznajomość zasad wynikających z nowej regulacji może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji mogących powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. W przeciwnym wypadku firma może spodziewać się kary w wysokości do 20 mln euro bądź 4 proc. globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny – dla organu zajmującego się sprawą nie będą więc istotne przyczyny, ale sam fakt zaistnienia naruszenia przepisów.

IP niczym PESEL
Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji m.in. o preferencjach zakupowych i aktywności w Internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych. Głównym celem rozporządzenia jest zapewnienie prywatności obywatelom UE, co powoduje, że od maja 2018 r. organizacje z terenu wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Przykładowo, jeśli firma dotychczas w kontakcie z klientami wykorzystywała wyłącznie takie dane jak imię, nazwisko i adres e-mailowy, to nie będzie mogła w swoim formularzu umieszczać prośby o podanie numeru telefonu. Na szczęście rozporządzenie przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.

Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według niej dane osobowe to wszystkie informacje o osobie fizycznej, które umożliwiają jej identyfikację. A to oznacza, że adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są takimi samymi danymi osobowymi jak PESEL i NIP.

Rewolucyjne zmiany w biznesie
Chcąc upewnić się, że polityka firmy jest zgodna z nowym rozporządzeniem, organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują, oraz zlokalizować wśród nich dane osobowe. W wielu  przypadkach będzie to duże wyzwanie, gdyż przedsiębiorstwa często nie dysponują odpowiednimi do tego celu narzędziami. Zbliżający się moment obowiązywania nowego rozporządzenia z pewnością wpłynie na wzrost zainteresowania rozwiązaniami klasy Data Management. Nowe rozporządzenie znacząco zmieni też podejście do profilowania danych. Twórcy rozporządzenia podkreślają, że wykorzystywanie informacji do tworzenia profilu klienta nie może w żaden sposób dyskryminować go ani ograniczać jego dostępu do poszczególnych usług. Ma to ogromne znaczenie m.in. dla sektora finansowego, w którym powszechnie wykorzystuje się dane dotyczące klientów, np. w procesie scoringu kredytowego, czyli oceny, czy klient spełnia warunki udzielenia kredytu.

Od momentu obowiązywania rozporządzenia klient ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych. W praktyce oznacza to, że nie można będzie odmówić wynajmu mieszkania lub udzielenia pożyczki na podstawie informacji dostępnych np. na portalach społecznościowych. Niezgodne z rozporządzeniem będzie również wnioskowanie o cechach osoby fizycznej. Przykładowo, nie będzie można uznać, że ktoś choruje na daną chorobę, na podstawie posiadanych danych o jej objawach. Ten element rozporządzenia może wpłynąć na pracę towarzystw ubezpieczeniowych m.in. w zakresie obliczania wysokości składek.

Co nas czeka na przykładzie
Wejście w życie rozporządzenia będzie wiązało się ze zmianą podejścia do ochrony danych osobowych przez właścicieli firm i osoby zarządzające. Dla dużych organizacji, zwłaszcza tych, których główna działalność opiera się na przetwarzaniu danych osobowych na dużą skalę, zmiany będą rewolucyjne. Jeden z czołowych telekomów po przeprowadzeniu audytu wewnętrznego zgodności z nowym rozporządzeniem stwierdził, że ma ono wpływ na 90 proc. jego biznesu, zmiany nie obejmą tylko działu technicznego, budowy ani serwisowania stacji anten. Firma będzie musiała dostosować do wymogów rozporządzenia m.in. kwestie związane z realizacją praw obywateli, np. odpowiednio wywiązywać się z obowiązku informacyjnego, poinformować o zamiarze przekazania danych, czasie ich usunięcia, zapewnić możliwość kontaktu z inspektorem ochrony danych (następcą obecnie funkcjonującego administratora bezpieczeństwa informacji), zapewnić realizację nowych uprawnień, takich jak prawo do przeniesienia danych i prawo do bycia zapomnianym, przebudować swoje systemy IT, aby te prawa mogły zostać zrealizowane.

Przebudować organizację, aby sprostać wyzwaniom, jakie niosą wymagane przez nowe rozporządzenie zasady domyślnie włączonej ochrony danych i wbudowanej ochrony danych już w fazie projektowania usług oraz produktów. Dostosowanie do nowych regulacji może się okazać czasochłonne i wymagające znacznego zaangażowania sił oraz środków. Społeczeństwo staje się coraz bardziej świadome swoich praw i przywiązuje  wagę do ochrony prywatności. Tym bardziej przedsiębiorcy nie mogą pozwolić sobie na pomijanie tego aspektu przy wdrażaniu nowych regulacji. UE przewidziała dwuletni okres dostosowawczy, ale wiele firm do tej pory nie zaczęło tego procesu. Można się domyślać, że część z nich po prostu nie wie, od czego zacząć. Najlepszym rozwiązaniem  w takiej sytuacji jest przeprowadzeni audytu zgodności z nowym rozporządzeniem, który pozwoli na przygotowanie dedykowanej danej organizacji mapy dostosowania. Większe organizacje powinny także rozważyć analizę i szacowanie ryzyka w sytuacji, gdy organizacja ma wiele procesów i przetwarzanie większej ilości danych osobowych stanowi niejako punkt wyjścia do konstruowania adekwatnego do zagrożeń systemu ochrony danych.