Europejskie firmy nie są gotowe na GDPR

dane osobowe

W maju 2018 roku wejdzie w życie rozporządzenie GDPR regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej. Mimo, że konsekwencje niezastosowania się do rozporządzeń ustalonych przez organy Wspólnoty są niezwykle dotkliwe, jedynie 3% firm działających na rynkach unijnych jest przygotowanych na nadchodzące zmiany[1]. Obecnie, zdecydowana większość organizacji nie spełnia wymogów GDPR oraz nie dysponuje skutecznymi narzędziami umożliwiającymi lokalizowanie danych osobowych wewnątrz organizacji.

Głównym założeniem rozporządzenia GDPR (General Data Protection Regulation), które wejdzie w życie 28 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej strony, regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.

Na podstawie nowego rozporządzenia GDPR:

  • firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
  • firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
  • podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
  • użytkownicy zyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
  • użytkownicy muszą mieć prawo do bycia zapomnianym (oznacza to, że klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
  • użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.

Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia, organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym wypadku, firma może spodziewać się kary w wysokości do 20 milionów Euro, bądź 4% globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny, dla organu zajmującego się sprawą nie będą więc istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.

IP niczym PESEL

Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem fakt, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji, m.in. dotyczących preferencji zakupowych czy aktywności w Internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych.

Głównym celem GDPR jest zapewnienie prywatności obywatelom Unii Europejskiej, co powoduje, że od maja 2018 roku organizacje z terenu Wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Przykładowo, jeśli firma dotychczas w kontakcie z klientami wykorzystywała wyłącznie takie dane, jak imię, nazwisko i adres mailowy, nie może w swoim formularzu umieszczać prośby o podanie numeru telefonu. Rozporządzenie GDPR przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.

Ochrona prywatności i wrażliwych danych jest jednym z priorytetów Unii Europejskiej, co znalazło odzwierciedlenie w ostatecznym kształcie rozporządzenia GDPR. Głównym założeniem regulacji w ramach tzw. privacy by design jest zmniejszenie ilości danych gromadzonych przez firmy i zachęcenie przedsiębiorstw do pozyskiwania tylko tych informacji, które są im potrzebne. To właśnie dane są fundamentem działalności każdej organizacji, dlatego ich ochrona powinna stanowić strategiczny cel współczesnej firmy – mówi Miłosz Trawczyński, Business Consulting Manager w SAS.

Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według regulacji unijnej, dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.

Namierzyć dane osobowe

Chcąc upewnić się, że polityka firmy jest zgodna z GDPR organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują oraz zlokalizować wśród nich dane osobowe. W wielu przypadkach będzie to dużym wyzwaniem, gdyż przedsiębiorstwa często nie dysponują odpowiednimi do tego celu narzędziami. Wejście w życie GDPR z pewnością wpłynie na wzrost zainteresowania rozwiązaniami klasy data management.

Technologie do zarządzania danymi umożliwiają identyfikowanie danych osobowych,  analizowanie ich przepływu, regulowanie i rejestrowanie dostępu do informacji, szyfrowanie informacji poufnych, definiowanie zasad zarządzania danymi w organizacji. Po wejściu w życie dyrektywy GDPR firmy będą musiały nie tylko nauczyć się porządkować dane, ale przede wszystkim zapewnić im odpowiednią ochronę. Rozwiązania do zarządzania danymi pozwalają łączyć dane bez potrzeby przenoszenia ich pomiędzy poszczególnymi zbiorami, co znacznie zmniejsza ryzyko zagrożeń dla informacji wrażliwych. Ponadto, możliwe jest zarządzanie incydentami oraz szybkie uzyskanie raportu dotyczącego ewentualnej próby wykradzenia danych, dzięki czemu firma może poinformować o tym fakcie odpowiednie organy.

Rewolucyjne zmiany w biznesie

GDPR znacząco zmieni podejście do profilowania danych. Twórcy rozporządzenia podkreślają, że wykorzystywanie informacji do tworzenia profilu klienta nie może w żaden sposób dyskryminować go i ograniczać jego dostępu do poszczególnych usług. Ma to ogromne znaczenie m.in. dla sektora finansowego, w którym powszechnie wykorzystuje się dane dotyczące klientów np. w procesie skoringu kredytowego (oceny czy klient spełnia warunki udzielenia kredytu).

Po wejściu w życie dyrektywy GDPR klient ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych. W praktyce oznacza to, że nie można będzie odmówić wynajmu mieszkania lub udzielenia pożyczki na podstawie informacji dostępnych np. na portalach społecznościowych. Niezgodne z GDPR będzie również wnioskowanie o cechach osoby fizycznej. Przykładowo nie będzie można uznać, że ktoś choruje na daną chorobę na podstawie posiadanych danych o jej objawach. Ten element rozporządzenia GDPR może wpłynąć na pracę towarzystw ubezpieczeniowych, m.in. w zakresie obliczania wysokości składek.

Nie ulega wątpliwości, że GDPR wpłynie na procedury wewnętrzne firm z różnych sektorów gospodarki. Ograniczenia jakie niesie ze sobą nowa regulacja sprawią, że biznes będzie musiał zmienić podejście do przetwarzania, ochrony oraz wykorzystywania danych osobowych. Technologie data management mogą pomóc wypracować nowe modele działania, które będą zgodne z nadchodzącymi normami prawnymi – tłumaczy Miłosz Trawczyński.

[1] Global Survey: GDPR has ramification for any company that does business with citizens of the EU, Dimensional Research na zlecenie Dell, 2016