3 na 4 przedstawicieli polskiego sektora bankowego biorących udział w najnowszym badaniu Linux Polska uważa stopień przygotowania swojej instytucji na moment obowiązywania RODO jako dobry albo bardzo dobry. Jednak w większości przypadków prace te nadal trwają – za zakończone uznał je tylko co dziesiąty ankietowany. Respondenci wskazali na wyzwania związane wprowadzeniem unijnej regulacji, takie jak niejasności dotyczące ostatecznego kształtu przepisów (54 proc. pytanych). 
Z drugiej strony sektor finansowy, dostrzega również możliwe pozytywne skutki wprowadzenia nowego prawa. Prawie 83 proc. ankietowanych jest zdania, że RODO zwiększy zaufanie klientów do banków.
Jak wynika z badania przeprowadzonego przez Linux Polska w listopadzie tego roku,
57 proc. przedstawicieli polskiego sektora finansowego ocenia stopień przygotowania swojej instytucji do RODO jako dobry, a 17 proc. nawet jako bardzo dobry. Oznacza to, że niemal 3 na 4 przedstawicieli branży uważa, że prace związane z przygotowaniem do nowego prawa przebiegają w sposób planowy.
– Nowa unijna regulacja zacznie obowiązywać już w maju 2018 r. Dla jednej czwartej respondentów, którzy uważają stopień przygotowania swojej instytucji za niewystarczający to już ostatni dzwonek, aby przyspieszyć prace. Aby przebiegały one sprawnie, a dana instytucja miała pewność, że zdąży na czas, należy działać wedle ustalonego planu. Pierwszym krokiem powinno być przeanalizowane, w jaki sposób dane są pozyskiwane i przechowywane, a następie wykorzystywane. Następnie należy się zastanowić, jak można efektywnie zminimalizować ilość przetwarzanych informacji. Kolejny etap, to inwestowanie w rozwiązania IT, które są zgodne z wymogami stawianymi przez RODO – mówi Marek Najmajer, ekspert Linux Polska.
Pomimo optymizmu dotyczącego stopnia zaawansowania przygotowań, jedynie 13 proc. respondentów przyznało, że prace zostały całkowicie ukończone. Pozostałe 87 proc. odpowiedziało, że wdrożenie zmian nadal trwa. Linux Polska zapytał przedstawicieli sektora bankowego również o to, kto w reprezentowanych przez nich instytucjach odpowiada za przygotowania do nowych regulacji. W ponad jednej trzeciej przypadków (35 proc.) jest to zarząd lub wyznaczony członek zarządu, co może świadczyć o tym, że banki traktują tę kwestię w sposób strategiczny. Ale w prace włączone są także działy prawne i zespoły IT (odpowiednio 32 i 27 proc. ankietowanych), co wskazuje na to, że firmy podchodzą w sposób kompleksowy do wprowadzenia nowych zasad dotyczących bezpieczeństwa danych osobowych.
Spis treści:
Nowe zasady przechowywania danych
RODO wprowadza szereg zmian dotyczących zasad administrowania danymi osobowymi klientów banków i użytkowników bankowości elektronicznej. Jako wymóg stanowiący największe wyzwanie dla instytucji finansowych ankietowani wskazali ograniczenie przechowywania danych (33 proc.). Na drugim miejscu (prawie 28 proc.) znalazło się ograniczenie celu wykorzystania danych. Nieco, ponad co piąty ankietowany wymienił obowiązek powiadomienia konsumentów o naruszeniu bezpieczeństwa danych osobowych w ciągu 72 godzin od wykrycia takiego zdarzenia. Ostatnie miejsce, z 16,6 proc. wskazań zajmuje minimalizacja gromadzonych danych.
– Wyniki badania bardzo dobrze oddają rzeczywiste problemy techniczne i organizacyjne. Np. kwestia trwałego usunięcia danych po ustaniu celu przetwarzania bądź na żądanie podmiotu wymaga jeszcze dodatkowo interpretacji, gdyż skrajne podejście do tego zagadnienia okazałoby się często niewykonalne technicznie. Ograniczenie przetwarzania wymaga z jednej strony zmiany wielu formularzy i odpowiednich struktur danych, z drugiej strony może mieć wpływ na przepływy danych w systemach CRM, hurtowniach danych, które zbierają dane z systemów głównych i często używają do lepszej analizy potencjału nabywczego klienta. Myślę, że trochę niedoceniany jest obowiązek powiadamiania w ciągu 72 godzin o naruszeniu bezpieczeństwa, wycieku danych osobowych. Ten krótki czas musi bowiem starczyć na analizę przyczyny, zakresu i wpływu oraz ostatecznie powiadomienia klienta i kontrolera. Jeśli chce się to zrobić należycie, wymagać to może dużo czasu na przygotowanie rozwiązań informatycznych i organizacyjnych. Minimalizacja gromadzonych danych być może dlatego nie została tak szeroko dostrzeżona jako problem, gdyż w dużej mierze dotyczy to procesów biznesowych i biurokratycznych przyzwyczajeń, które niekoniecznie są obszarem odpowiedzialności departamentów IT. Wielkim nieobecnym w badaniach są oczywiście kwestie techniczne bezpieczeństwa systemów. Nie zapominajmy, że RODO dotyczy go w pierwszym rzędzie, rozbudowując tylko infrastrukturę ochrony o kwestie organizacyjno-procesowe, tak aby wzmocnić najsłabszy czynnik wszystkich systemów bezpieczeństwa tj. człowieka – użytkownika, operatora, administratora – mówi Marek Najmajer, Linux Polska.
Jeśli chodzi o największe trudności związane z przygotowaniem firmy na moment obowiązywania nowej unijnej regulacji, pierwsze miejsce bezsprzecznie zajmują wątpliwości związane z ostatecznym kształtem przepisów, na co zwróciło uwagę aż 54 proc. ankietowanych. Wskazanie takiej odpowiedzi po pierwsze może wynikać z faktu, iż każdy kraj członkowski UE posiada pewien zakres swobody, co do szczegółowego kształtu, w jakim przepisy zostaną wprowadzone. Po drugie, to, jak w praktyce będzie wyglądać kwestia nakładania ewentualnych kar finansowych za nieprzestrzeganie nowego prawa, będzie dopiero wiadome po pierwszych wyrokach sądów w podobnych sprawach. Drugie miejsce na liście (27 proc.) zajęły duże nakłady finansowe potrzebne do przygotowania firmy na obowiązywanie nowej regulacji.
Kluczowa rola infrastruktury IT
W dobie gospodarki cyfrowej, przygotowanie do RODO jest nie tylko przedsięwzięciem prawnym, ale również wymaga dodatkowych działań, np. weryfikacji i usprawnienia istniejącej infrastruktury IT, odpowiedzialnej za administrowanie i bezpieczeństwo danych osobowych. Osoby biorące udział w badaniu jednomyślnie przyznały, że nowe przepisy skłoniły reprezentowane przez nie instytucje do zwiększenia wydatków na bezpieczeństwo IT, z czego w prawie jednej trzeciej przypadków w znacznym stopniu. Co więcej, aż 9 na 10 instytucji z sektora bankowego planuje wdrożyć dodatkowe rozwiązania wspierające bezpieczeństwo danych klientów.
– Zmiany, które niesie ze sobą unijna regulacja, w praktyce oznaczają, że pewna część systemów IT stosowanych na co dzień np. w bankach nagle okaże się istotnym czynnikiem ryzyka operacyjnego, mimo że od wielu lat działała bez zarzutu. Całkowita wymiana oprogramowania dbającego o bezpieczeństwo danych osobowych, byłaby niezmiernie kosztowna. Dlatego dobrą informacją dla branży jest, że taka rewolucja nie jest konieczna. Alternatywnym podejściem jest skupienie się na zapewnieniu jak najszybszego obniżenia poziomu ryzyka poprzez skupienie się na najbardziej niezgodnych procesach i aplikacjach oraz ograniczeniu ilości modyfikacji w istniejących już, tych najbardziej trudnych do przekształcania aplikacjach i otoczenie ich rozwiązaniami czuwającymi nad przepływem danych, które w efekcie zapewnią zgodność z obowiązującą od wiosny przyszłego roku unijną regulacją. W tym kontekście najważniejsze jest zastosowanie takich narzędzi, które pozwolą na śledzenie nieupoważnionych prób pozyskania danych osobowych i rejestrację takich działań – radzi Marek Najmajer, Linux Polska.
Jak pokazują wyniki badania Linux Polska, prawie połowa instytucji zaangażuje do pomocy firmę zewnętrzną, by przygotować stosowaną dotychczas infrastrukturę IT na obowiązywanie RODO.
Zmiany są potrzebne 
Prawie 83 proc. ankietowanych uważa, że RODO zwiększy zaufanie klientów do banków. Jak zaznacza Marek Najmajer, Linux Polska, to dobry sygnał nie tylko dla branży, ale przede wszystkim dla użytkowników bankowości elektronicznej, którzy oczekują poprawy bezpieczeństwa oraz posiadania większej kontroli nad tym, w jaki sposób i komu są udostępniania ich dane. Według Opinium Reserach 74 proc. Polaków uważa, że bezpieczeństwo bankowych systemów uwierzytelniania wymaga poprawy, a aż 80 proc. przyznaje, że obawia się, że ich dane wpadną w niepowołane ręce.
