Biznes przed wyzwaniem GDPR

Przeczytaj także: Płatność danymi osobowymi - kiedy informacje o nas stają się walutą

Dane osobowe: przejrzyste i spójne

Nadrzędnym celem wprowadzenia GDPR jest ujednolicenie przepisów regulujących kwestie związane z zarządzaniem i ochroną danych osobowych na terenie całej Unii Europejskiej. Duże firmy, które już teraz zatrudniają administratorów bezpieczeństwa informacji (ABI), z pewnością szybko dostosują się do zmian, a nawet na nich skorzystają (przepisy GDPR powinny prowadzić do optymalizacji kosztów i ujednolicenia procedur,), o tyle już w przypadku małych firm sprawa wydaje się bardziej skomplikowana.

Nowe prawo niesie bowiem ze sobą zakrojone na szeroką skalę zmiany, na skutek których każda firma działająca na terenie UE będzie mogła gromadzić i przetwarzać dane osobowe klientów wyłącznie pod warunkiem spełnienia rygorystycznych wymagań. Dla przedsiębiorców, którzy nie będą w stanie im sprostać, GDPR przewiduje kary, w ekstremalnych przypadkach sięgające nawet 20 milionów euro lub 4% obrotu przedsiębiorstwa.

Podstawowe zmiany, jakie wprowadza rozporządzenie dotyczą:

• Prywatności – osoby fizyczne będą miały prawo do dostępu do swoich danych, w tym uzyskania ich kopii, i poprawy błędów, które te informacje mogą zawierać, usunięcia danych osobowych, które są w posiadaniu konkretnej firmy, ale także wyrażenia sprzeciwu odnośnie do sposobu przetwarzania danych a nawet prawo do ich przeniesienia.
• Kontroli i powiadamiania – regulacja nakłada na firmy zbierające dane rygorystyczne wymogi dotyczące m.in. obowiązku powiadamiania o naruszeniu dostępu do informacji (zarówno osób, których dane dotyczą, jak i organu nadzoru), a także odpowiedniego formułowania zgody na przetwarzanie danych osobowych (zapytanie o zgodę musi być przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem oraz musi zawierać wyraźną informację o możliwości wycofania zgody; naruszenie tych wymogów spowoduje, że zgoda nie będzie wiążąca i nie będzie mogła stanowić podstawy przetwarzania danych). Firmy stają także przed obowiązkiem utrzymania odpowiedniego poziomu poufności i ewidencjonowania przetwarzanych informacji.
• Przejrzystości zasad – zarówno w zakresie informowania o zbieraniu danych, jak również ich przetwarzania, przechowywania czy usuwania. Ujednolicenie europejskiego prawa w zakresie ochrony danych to duże ułatwienie. Do tej pory firmy musiały borykać się z aż 28 różnymi zasadami dotyczącymi prywatności. Rozporządzenie ujednolica tę mozaikę i tworzy jedną, spójną regulację.
• Edukacji i inwestycji – rozporządzenie obliguje firmy do przyjęcia nowych procedur i procesów, mających na celu uzyskanie większej kontroli nad posiadaną dokumentacją. Konieczne będą szkolenia pracowników i osób odpowiadających za ochronę danych osobowych – firmy będą zobowiązane przedstawić klarowne zasady polityki ochrony prywatności, a te, które zatrudniają powyżej 250 osób dodatkowo będą zobowiązane do powołania Inspektorów Ochrony Danych.

Biznes, który dopiero nauczył się odpowiednio gromadzić dane i powoli zaczyna monetyzować drzemiący w nich potencjał będzie musiał dostosować się do nowych wymogów i odpowiednio chronić przetwarzane informacje. Jeżeli przedsiębiorca odpowiednio nie zabezpieczy przetwarzanych danych, co stanowi jedną z najważniejszych zasad GDPR, będzie musiał zrezygnować z wykorzystywania części z nich. Na szczęście wchodzące w życie rozporządzenie przychodzi z pomocą o tyle, że wprost wskazuje przykłady prawidłowego zabezpieczenia danych. Jak podano w artykule 32, szyfrowanie może być właściwym środkiem do osiągnięcia tego celu. Szyfrowanie danych może też uchronić firmę przed konsekwencjami finansowymi w sytuacji kradzieży czy utraty danych. Z tego względu wskazane jest, by narzędzia wykorzystane do szyfrowania danych umożliwiały przywrócenie danych po ich utracie. Ważne jest też przechowywanie dokumentacji, która może pomóc w udowodnieniu, że systemy są właściwie zabezpieczone, a dane możliwe do odzyskania.

Nowe definicje, stare potrzeby

Cyfrowa transformacja spowodowała sytuację, w której większość firm dążących do uzyskania przewagi rynkowej zauważyła potencjał drzemiący w Big Data i zaczęła gromadzić dane. Oczywiście samo zbieranie informacji to tylko fragment recepty na sukces. Sztuką jest odpowiednie ich łączenie, wyciąganie wniosków a także skuteczna analiza. Według raportu Economist Intelligence Unit, aż 60 proc. przedsiębiorców, którzy wzięli udział w badaniu, odnotowało wzrost przychodów dzięki wykorzystaniu cyfrowych informacji. Firmy gromadzą oczywiście różne informacje, w zależności od profilu swojej działalności. Mogą to być tzw. 1st party data (np. dane gromadzone w systemach CRM), ale także 2nd – informacje uzyskane np. w wyniku prowadzenia kampanii reklamowych, a nawet 3rd party. W przypadku tych ostatnich mówimy o partnerze, który te informacje dostarczył.

Nie ulega wątpliwości, że posiadanie odpowiedniej ilości informacji pozwala nie tylko lepiej zrozumieć potrzeby klienta, a często nawet wyprzedzić jego plany zakupu bądź odstąpienia od dalszej współpracy – mówi Michał Grams, prezes zarządu TogetherData, firmy pomagającej polskim przedsiębiorcom w optymalnym wykorzystaniu a nawet monetyzowaniu posiadanych informacji. - W świetle zmieniających się przepisów istotne będzie nie tylko ich odpowiednie analizowanie i szukanie nieoczywistych połączeń, ale także ich odpowiednie i bezpieczne przechowywanie -dodaje Michał Grams.

Zmiana, którą zapoczątkuje nowe rozporządzenie, przyniesie aktualizację pojęcia danych osobowych. W myśl nowej definicji będą to wszelkie informacje, które umożliwiają identyfikację osoby, której dotyczą, także adres IP oraz tzw. ciasteczka (cookies), czyli niewielkie informacje wysyłane przez serwisy internetowe odwiedzane przez użytkownika. Po wejściu w życie GDPR informacje te będą musiały być chronione na równi z numerami PESEL, czy NIP. W praktyce dla biznesu oznacza to m.in. istotną zmianę w zasadach profilowania klientów i wykorzystywania w tym celu danych – szczególnie, gdy wynikiem takiego automatycznego przetwarzania może być ograniczanie dostępu do niektórych usług lub oferowanie usług w innej cenie w zależności od profilu użytkownika. W praktyce uregulowania te mogą mieć np. wpływ na procesy scoringu – zarówno w przypadku udzielania kredytów lub wykrywania fraudów, ale również w przypadku branży ubezpieczeniowej, windykacyjnej czy marketingowej. Zmiana, którą wniesie GDPR spowoduje, że klienci będą mieli prawo do tego, aby nie podlegać automatycznym decyzjom, które opierają się na zautomatyzowanym przetwarzaniu zbieranych o nich informacji.

Wejście w życie RODO - które w sposób istotny rozszerza zakres informacji podlegających ochronie - sprawi, że firmy opierające swój model biznesowy o Big Data oraz profilowanie będą musiały zwrócić szczególną uwagę na sposób zarządzania i zapewnienie bezpieczeństwa przetwarzanych danych - twierdzi Paweł Tobiczyk, adwokat współpracujący z kancelarią prawną Maruta Wachta, która specjalizuje się w prawie ochrony danych osobowych i pomaga wielu podmiotom na rynku przygotować się do wdrożenia RODO.

Zapewnienie bezpieczeństwa danych osobowych będzie wymagało wdrożenia przez przedsiębiorców określonych rozwiązań organizacyjnych i technicznych, w tym dostosowania środowiska IT do nowych wymogów. Co istotne, RODO nie określa twardych wytycznych w tym zakresie – każdy podmiot będzie musiał na własną rękę przeprowadzić analizę ryzyka i dokonać wyboru środków, które zapewnią skuteczną i adekwatną ochronę danych w jego organizacji. Często dokonanie takiej oceny będzie wymagać zaangażowania wyspecjalizowanych doradców zewnętrznych - w szczególności, gdy w grę wchodzą tak skomplikowane i wrażliwe procesy przetwarzania danych jak w przypadku analityki Big Data – zauważa Paweł Tobiczyk