RODO - niejasne wytyczne, kary rzędu nawet 20 mln euro. Kto zyska na nowej unijnej rezolucji?

Artur Kosior 24-03-2017, 11:15

Unijna rezolucja RODO, która wejdzie w życie w maju 2018 r., oznacza rewolucję w dziedzinie przetwarzania danych osobowych. Na ich liście znajdą się już nie tylko numery PESEL czy adresy zamieszkania, lecz wszystkie informacje, które umożliwiają identyfikację osób fizycznych, w tym również adresy IP czy identyfikatory zamieszczone w plikach cookies. Według danych przedstawionych przez SAS Institute jedynie 3 proc. przedsiębiorstw jest przygotowanych na nadchodzące zmiany. Pozostałe firmy, niedostosowane do nowej regulacji, mogą liczyć na dotkliwe kary.

Rozporządzenie o Ochronie Danych Osobowych ujednolici prawo w kwestii przetwarzania danych we wszystkich państwach członkowskich Unii Europejskiej. Obowiązująca obecnie dyrektywa unijna z 1995 r. jest już mocno przestarzała i nie prowadzi do unifikacji przepisów w wielu kluczowych aspektach cyfrowej gospodarki. RODO ma to zmienić, a z jej wejściem w życie wiążą się dodatkowe restrykcje i obowiązki, umożliwiające lepszą kontrolę nad gromadzonymi danymi. Stanowią one spore wyzwanie dla przedsiębiorstw działających na terenie Unii Europejskiej. Obecnie jedynie 3 proc. z nich przygotowanych jest do funkcjonowania w zgodzie z nowym prawem. Dla pozostałych będzie ono bezlitosne – brak przestrzegania zaostrzonych standardów ma być karany kwotą do 20 mln euro lub równoważną 4 proc. globalnych rocznych przychodów firmy.

Realizacja nowych wytycznych może okazać się problematyczna – zwłaszcza dla przedsiębiorstw z sektora MŚP. Głównie dlatego, że wymagania stawiane przez ten akt regulacyjny wymagają specjalistycznego podejścia do zmiany polityki bezpieczeństwa informacji. Mowa tutaj choćby o konieczności oceny ochrony danych osobowych już na etapie projektowania rozwiązań (privacy by design) czy konieczności przeprowadzenia analizy ryzyka utraty prywatności (privacy impact assessment) oraz stworzeniu planu reakcji na incydent zagrażający bezpieczeństwu (breach response plan), które nie zostały do końca jasno sprecyzowane przez regulatora. W związku z tym organizacje niemające w swoim zespole doświadczonych ekspertów w zakresie cyberbezpieczeństwa mogą mieć ogromne problemy z przygotowaniem swojej infrastruktury tak, by nie narazić się na ewentualne sankcje. Związane jest to również z nakładami finansowymi, które dla sektora MŚP mogą okazać się barierą przy wdrażaniu bezpiecznych rozwiązań– tłumaczy Tomasz Rozdżestwieński z Atmana, lidera rynku centrów danych w Polsce.

W naszym kraju problemem jest również niedoinformowanie społeczeństwa w kwestii nowego aktu prawnego. Z badania przeprowadzonego przez instytut badawczy ARC Rynek i Opinia wynika, że nie słyszało o nim aż 52 proc. polskich przedsiębiorstw, połowa nie dysponuje procedurami i narzędziami gwarantującymi konsumentowi prawo do całkowitego usunięcia jego danych osobowych z systemu, a 42 proc. nie wdrożyło procedur informowania właściwego organu o naruszeniach prywatności cyfrowych profili osobowych.

 

Dane pod ochroną urzędników

Zgodnie z nowym prawem w przypadku naruszenia bezpieczeństwa danych organizacje będą musiały w ciągu 72 godzin poinformować o nim właściwe organa i osoby potencjalnie poszkodowane. Kolejna istotna zmiana dotyczy gromadzenia danych osobowych, których firmy nie wykorzystują w swoich działaniach. Mogą to być np. numery telefonów czy adresy zamieszkania. Jeśli ich posiadanie nie jest koniecznością, to będzie ono zabronione. Inaczej sprawy mają się w przypadku organizacji, które korzystają z dodatkowego zabezpieczenia, jakim jest szyfrowanie cyfrowych informacji. Tu unijna rezolucja jest już mniej restrykcyjna. 

Znacząca zmiana obejmie również samą definicję danych osobowych. Według polskich przepisów zalicza się do nich wszelkie informacje umożliwiające zidentyfikowanie osoby fizycznej, jednak w praktyce były to np. adresy zamieszkania czy numery PESEL. Unijne prawo, które zacznie obowiązywać od maja 2018 r., klasyfikuje w tej kategorii również adresy IP czy identyfikatory zamieszczone w plikach cookies. Jeśli utrzyma się tak niski poziom świadomości społecznej na temat nowych przepisów, to gdy zaczną one obowiązywać, może się okazać, że większość firm przetwarza dane osobowe nieświadomie, narażając się na dotkliwe kary finansowe.

 

Wiosenne porządki

Według Pawła Pierścionka z Cludo, firmy dostarczającej profesjonalne systemy do zarządzania call i contact center, RODO to dobra okazja, aby telefoniczne centra obsługi klienta przyjrzały się uważniej wykorzystywanym dotychczas systemom. – Większość organizacji działających na polskim rynku nie dysponuje oprogramowaniem do zarządzania danymi, a bez odpowiednich narzędzi i wystarczającego know-how nie sposób uporządkować informacji, zwłaszcza że tych lawinowo przybywa i na domiar złego są one często rozrzucone po różnych obszarach firmy. W kontekście call i contact center szczególnego znaczenia nabiera wielokanałowość kontaktów z klientem, ponieważ dane klientów trafiają do systemu z różnych źródeł: telefon, sms, czat, formularz kontaktowy na stronie internetowej czy wiadomość w serwisie społecznościowym pozostawiona na fanpage’u firmy. Nieuporządkowanie tych zasobów w kontekście nowych regulacji może stać się przyczyną problemów i wysokich kar finansowych – tłumaczy Paweł Pierścionek, Chief Technology Officer w Cludo.

Z jednej strony firmy będą więc zmuszone do dostosowania się do nowych przepisów a tym samym inwestycji w narzędzia umożliwiające szybką identyfikację danych osobowych, które trzeba namierzyć we wszystkich istniejących zbiorach, a później odpowiednio zabezpieczyć. Z drugiej jednak strony, to niepowtarzalna szansa na „zrobienie porządków” i szybkie oraz konieczne zdigitalizowanie kolejnych obszarów firm, a tym samym podniesienie jakości obsługi w całej branży.

 – Niestety, przedsiębiorstwa gromadzą masę nieaktualnych i niepotrzebnych cyfrowych informacji o klientach, których przechowywanie sporo kosztuje, a ich wykorzystywanie może raczej zirytować klienta zwracaniem się do niego z kompletnie niedostosowaną ofertą, niż zachęcić go do kupienia produktu lub usługi. W tym kontekście opinia, że wprowadzenie RODO zakończy erę niechcianych i natrętnych telefonów jest jak najbardziej właściwe – przekonuje Paweł Pierścionek z Cludo. – Warto również spojrzeć szerzej na rynek i wspomnieć, że konieczność dostosowania się do wymogów GDPR to dla wielu, szczególnie małych i średnich przedsiębiorstw spore obciążenie. Można się więc spodziewać, że wiele z nich będzie poszukiwało korzystnego cenowo rozwiązania, co z kolei może spowodować zwiększenie zapotrzebowania na usługi outsourcingu, w tym rozwój rynku cloud – podsumowuje ekspert.

 

GDPR paliwem dla chmury

Rozporządzenie o Ochronie Danych Osobowych RODO wprowadza rygorystyczne obostrzenia dla dostawców chmury obliczeniowej, przez co paradoksalnie przyczynić się może do jej popularyzacji. Takiego zdania jest Tomasz Rozdżestwieński z Atmana. – Na nowym rozporządzeniu skorzystać mogą przede wszystkim przedsiębiorcy, którzy już teraz zaplanują wykorzystanie chmury w swojej działalności związanej z przetwarzaniem danych osobowych. Po jego wdrożeniu odpowiedzialność za ich bezpieczeństwo spadnie na dostawców chmury obliczeniowej, co prawdopodobnie przyczyni się do zmian w jej postrzeganiu. Dotychczas uważano, że ze względów bezpieczeństwa dane osobowe powinny pozostać na rodzimych serwerach, jednak ten czas dobiega końca, bo dostawcy chmury są w stanie zapewnić bezpieczne środowisko – przekonuje. Nowe prawo unijne ma umożliwić ich przechowywanie nie tylko w dowolnym kraju UE, ale w każdym państwie, które ma odpowiednio wysokie standardy ochrony danych osobowych lub otrzymało US Safe Harbor Certification. – RODO oznacza wdrożenie jednolitych standardów w państwach UE, a nałożone na dostawców chmury obostrzenia sprawią, że ich usługi cieszyć się będą większym zaufaniem, co powinno przełożyć się wzrost ich popularności – podsumowuje Tomasz Rozdżestwieński z Atmana.

 

Autor: Artur Kosior, inPlus Media


Tematy pokrewne:  

tag RODOtag ODOtag ochrona danych
Komentarze
comments powered by Disqus
To warto przeczytać












  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2017»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2017 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.