Czy banki zapłacą 5 mld euro kar? Linux Polska ocenia nowe regulacje o ochronie danych osobowych (GDPR)

0

Z szacunków AllClear ID[1] wynika, że europejskie banki mogą zapłacić nawet 4,7 miliarda euro kar w ciągu pierwszych trzech lat od momentu obowiązywania nowej unijnej regulacji o ochronie danych (GDPR), czyli od maja 2018 r., jeżeli nie zastosują się do wprowadzonych zmian. W ciągu minionej dekady tylko największe europejskie banki padły ofiarą ataków co najmniej 27 razy[2], z czego niektóre więcej niż jednokrotnie. Z raportu Capgemini wynika, że naruszenia bezpieczeństwa dotyczą nawet 1 na 4 instytucje z sektora finansowego. Jednocześnie, tylko co drugi bank lub ubezpieczyciel posiada dziś adekwatną politykę bezpieczeństwa.

Jak pokazują badania, ataki, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, stanowią realne zagrożenie biznesowe. Jeden na czterech przedstawicieli banków i firm ubezpieczeniowych, który brał udział w tegorocznym badaniu Capgemini przyznał, że jego instytucja padła ofiarą ataku hakerskiego.  Z kolei firma AllClear ID przeanalizowała średnią częstotliwość takich incydentów. Na jej podstawie obliczyła, że z momentem obowiązywania nowych przepisów, europejskie banki mogą się liczyć z koniecznością zapłacenia nawet 4,7 mld euro kar, jeśli nie spełnią wymogów stawianych przez nowe prawo.

Ważnym wyzwaniem jest nowy obowiązek poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu. Sankcjom podlega także m.in. użycie danych do innych celów niż te, na które użytkownik wyraził zgodę w momencie ich gromadzenia. Bowiem wedle nowego prawa, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony – instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, np. do oceny wiarygodności klienta w innym obszarze. Ograniczeniom może podlegać także profilowanie i segmentowanie klientów i usług pod kątem wybranych danych, na wykorzystanie których nie została udzielona osobna zgoda.

Czytaj również:  Polityka prorodzinna: Polska nadal w czołówce państw UE w zakresie wsparcia rodzinnego

Najpierw zmiana podejścia, potem inwestycje

Nowe regulacje w zakresie bezpieczeństwa danych osobowych wprowadzają na tyle rozległe zmiany, że instytucje finansowe obawiają się o nakłady finansowe potrzebne do ich wdrożenia.

Zanim instytucja zdecyduje się na inwestycje w konkretny produkt związany z nową infrastrukturą zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, w szczególności obrotu danymi osób fizycznych. Pierwszym krokiem powinien być audyt tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia IT, które pozwolą spełnić wymogi stawiane przez regulację, to dopiero kolejny etap przygotowań – komentuje Marek Najmajer, ekspert Linux Polska.