Trawczyński: Firmy nie są przygotowane do ochrony danych osobowych zgodnie z prawem Unii
– W maju przyszłego roku wejdzie w życie rozporządzenie GDPR regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej. Mimo że konsekwencje niezastosowania się do rozporządzeń ustalonych przez organy Wspólnoty są niezwykle dotkliwe, aż 97 procent firm operujących na rynkach unijnych przyznaje, że nie są one przygotowane na nadchodzące zmiany. Obecnie jedynie niewielki odsetek organizacji spełnia wymogi GDPR bądź dysponuje skutecznymi narzędziami, które umożliwiają lokalizowanie danych osobowych wewnątrz organizacji – mówi portalowi BiznesAlert.pl Miłosz Trawczyński, Business Consulting Manager w firmie SAS Institute.
Fundamentalnym założeniem rozporządzenia GDPR (General Data Protection Regulation), które wejdzie w życie 25 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Z jednej strony, rozwiązanie to może być ułatwieniem dla dużych organizacji działających w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej natomiast, regulacja niesie z sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.
Prawny zawrót głowy
Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem fakt, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji, między innymi dotyczących preferencji zakupowych czy aktywności w internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych.
Głównym celem GDPR jest zapewnienie prywatności obywatelom Unii Europejskiej, co oznacza, że od maja 2018 roku organizacje z terenu Wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Jeśli na przykład firma w kontakcie z klientami wykorzystywała dotychczas wyłącznie takie dane jak imię, nazwisko i adres mailowy, nie może w swoim formularzu umieszczać prośby o podanie numeru telefonu. Jednak regulacja GDPR przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.
Ochrona prywatności i wrażliwych danych jest jednym z priorytetów Unii Europejskiej, co znalazło odzwierciedlenie w ostatecznym kształcie rozporządzenia GDPR. Głównym założeniem regulacji w ramach tak zwanej privacy by design jest zmniejszenie ilości danych gromadzonych przez firmy i zachęcenie przedsiębiorstw do pozyskiwania tylko tych informacji, które są im potrzebne. To właśnie dane są dziś fundamentem działalności każdej organizacji, dlatego ich ochrona powinna stanowić strategiczny cel firmy.
IP niczym PESEL
Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według regulacji unijnej, dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR również adres IP oraz identyfikatory zamieszczone w tak zwanych ciasteczkach (cookies) są więc danymi osobowymi, podobnie jak PESEL czy NIP.
Firma, która chce się upewnić, że jej polityka jest zgodna z GDPR, musi w pierwszej kolejności uporządkować informacje, którymi dysponuje oraz zlokalizować wśród nich dane osobowe. W wielu przypadkach będzie to dużym wyzwaniem, gdyż przedsiębiorstwa często nie posiadają odpowiednich do tego celu narzędzi. Wejście w życie GDPR z pewnością wpłynie na wzrost zainteresowania rozwiązaniami klasy data management.
Technologie do zarządzania danymi umożliwiają identyfikowanie danych osobowych, analizowanie ich przepływu, regulowanie i rejestrowanie dostępu do informacji, szyfrowanie informacji poufnych oraz definiowanie zasad zarządzania danymi w organizacji. Po wejściu w życie dyrektywy GDPR firmy będą musiały nie tylko nauczyć się porządkować dane, ale przede wszystkim zapewnić im odpowiednią ochronę. Rozwiązania do zarządzania danymi pozwalają łączyć dane bez potrzeby przenoszenia ich pomiędzy poszczególnymi zbiorami, co znacznie zmniejsza ryzyko zagrożeń dla informacji wrażliwych. Ponadto możliwe jest zarządzanie incydentami oraz szybkie uzyskanie raportu dotyczącego ewentualnej próby wykradzenia danych, dzięki czemu firma może poinformować o tym fakcie odpowiednie organy.
Dane dokładnie sprofilowane
GDPR znacząco zmieni podejście do profilowania danych. Twórcy rozporządzenia podkreślają, że wykorzystywanie informacji do tworzenia profilu klienta nie może w żaden sposób dyskryminować go ani ograniczać jego dostępu do poszczególnych usług. Ma to ogromne znaczenie między innymi dla sektora finansowego, w którym powszechnie wykorzystuje się dane dotyczące klientów na przykład w procesie scoringu kredytowego (oceny, czy klient spełnia warunki udzielenia kredytu).
Po wejściu w życie dyrektywy GDPR klient będzie mógł odwołać się od decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych. W praktyce oznacza to, że nie można będzie odmówić wynajmu mieszkania lub udzielenia pożyczki na podstawie informacji dostępnych na przykład na portalach społecznościowych. Niezgodne z GDPR będzie również wnioskowanie o cechach osoby fizycznej. Co to dokładnie oznacza? Firma przetwarzająca dane klienta nie będzie mogła uznać, że jej klient choruje na daną chorobę, opierając się na posiadanych danych o jej objawach. Ten element rozporządzenia GDPR może wpłynąć na pracę towarzystw ubezpieczeniowych, między innymi w zakresie obliczania wysokości składek.
Nie ulega wątpliwości, że GDPR wpłynie na procedury wewnętrzne firm z różnych sektorów gospodarki. Ograniczenia, jakie niesie z sobą nowa regulacja sprawią, że biznes będzie musiał zmienić podejście do przetwarzania, ochrony oraz wykorzystywania danych osobowych. Technologie data management mogą pomóc wypracować nowe modele działania, które będą zgodne z nadchodzącymi normami prawnymi.
Nieznajomość prawa szkodzi
Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia organizacje będą zobowiązane do przekazania (w ciągu 72 godzin) właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym przypadku firma może spodziewać się kary w wysokości do 20 milionów euro lub 4 procent rocznych przychodów. Co ważne, kary mają charakter administracyjny, czyli dla organu zajmującego się sprawą nie będą istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.
Na podstawie nowego rozporządzenia GDPR:
- firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
- firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
- podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
- użytkownicy uzyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
- użytkownicy muszą mieć prawo do bycia zapomnianym (klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
- użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.
