5 niespodziewanych efektów RODO. Bać się czy nie?

Przeczytaj także: 5 sposobów na zapewnienie zgodności z RODO

Czy RODO jest aż tak problematyczne, aby zmusić przedsiębiorstwo do rezygnacji z działalności? Okazuje się, że tak. Dobrym przykładem jest tu Verve, właściciel nowatorskiej platformy mobilnego marketingu, który po dwóch latach po zaistnieniu na europejskim rynku postanowił się z niego wycofać i skupić się na działaniach prowadzonych za oceanem. Powodem tej decyzji było nic innego, niż nowe przepisy o ochronie danych osobowych.

– Uznaliśmy, że środowisko regulacyjne nie sprzyja naszemu modelowi biznesowemu. Postanowiliśmy więc skupić się na wzmocnieniu naszej działalności na terenie Stanów Zjednoczonych – ogłosiła Julie Bernard, CMO w Verve.

Inni przedstawiciele branży postawili jednak na bardziej zachowawcze działania, zlecili audyty swoich usług, zainwestowali w nowe oprogramowanie i dostosowali wewnętrzne procedury do wymogów narzuconych przez unijnego ustawodawcę.

Nowe przepisy właśnie wchodzą w życie. Czego można się po nich spodziewać. Oto 5 dość nieoczywistych scenariuszy:

1. Słone kary? Niekoniecznie.

Najwięcej obaw przedsiębiorców wywołują słone kary za niespełnienie wymagań RODO. Na zachodzie przewiduje się, że w początkowym okresie obowiązywania RODO, instytucje odpowiedzialne za ochronę danych osobowych traktować będą uchybienia w implementacji nowych przepisów z przymrużeniem oka. Nie znaczy to, że wszystkie niedociągnięcia ujdą płazem. Niemniej, w pierwszych miesiącach raczej nie posypią się najwyższe grzywny, a te - warto przypomnieć - mogą być na tyle bolesne, że w skrajnych przypadkach prowadzenie dalszej działalności gospodarczej przez ukarany podmiot będzie niemożliwe. Maksymalna kara finansowa, o którą mogą się pokusić urzędnicy to 4 proc. globalnego, rocznego obrotu przedsiębiorstwa lub 20 milionów euro, w zależności od tego, która z tych wartości jest wyższa. Firmy działające w Polsce mogą żywić nadzieję, że GIODO zachowa się jak jego brytyjski odpowiednik.

- Sugestie, że będziemy chcieli zrobić przykład z organizacji, które dopuszczają się drobnych naruszeń lub, że maksymalne grzywny staną się normą, to nic innego, jak sianie paniki. Zawsze woleliśmy marchewkę od kija - przekonuje Information Commissioner's Office. Takie stanowisko wydaje się racjonalne, należy jednak wziąć poprawkę na to, że angielski aparat państwowy słynie z przyjaznego nastawienia do biznesu - zarówno firmy z sektora MŚP, jak i międzynarodowych korporacji. Polska tymczasem ma odwrotną renomę. - Zarówno prawo gospodarcze, w dużym stopniu będące spuścizną po poprzednim ustroju, jak i same urzędy, uważa się za raczej wrogo usposobione względem przedsiębiorców. Pozostaje nadzieja, że w przypadku RODO nasi urzędnicy zachowają się z klasą, a nowe przepisy nie staną się w ich rękach narzędziem do realizowania brudnych interesów - mówi Krzysztof Bryzek, właściciel ATET, jednej z wiodących firm na polskim rynku tłumaczeń.

2. RODO narzędziem szantażu?

O tym, że cyberprzestępcy słyną z kreatywności wiadomo nie od dziś. Unijna dyrektywa sprzyja wyłudzeniom. Eksperci w dziedzinie cyberbezpieczeństwa przewidują, że crackerzy kraść będą gromadzone przez firmy dane osobowe, by następnie je szantażować. Wciąż nie wiadomo, jakie grzywny stojące na straży RODO instytucje przewidują za wyciek danych osobowych. Nie zmienia to faktu, że przestępcy mogą szacować możliwą wysokość kary i żądać stosunkowo niższego okupu. Z pewnością nie zabraknie przedsiębiorstw, które zapłacą, byle tylko zamieść sprawę pod dywan.

3. Incydenty z pechowym dostawcą

RODO dla firm to przede wszystkim zmiany. Jedna z największych dotyczy sposobu zarządzania zewnętrznymi dostawcami i partnerami. Nowe prawo odpowiedzialnością za ewentualne naruszenia obarcza zarówno podmiot kontrolujący dane, jak i odpowiedzialny za ich przechowywanie. Innymi słowy, w razie problemu, gromy posypią się jednocześnie na dostawcę chmury obliczeniowej i firmę z niej korzystającą, a to tylko wierzchołek góry lodowej. Łańcuchy dostaw we współczesnych organizacjach są złożonymi sieciami współzależności. Zmapowanie ich i zabezpieczenie to często arcytrudne zadanie. Co zrobić, by zabezpieczyć się przed konsekwencjami płynącymi z uchybień po stronie dostawcy? Zdaniem Piotra Rojka z DSR, firmy dostarczającej zaawansowane rozwiązania IT dla przemysłu, rozwiązanie jest dość proste, a zarazem wymagające od przedsiębiorstw wprowadzenia radykalnych i kosztownych zmian.

- Rozwój chmury obliczeniowej sprawił, że oprogramowanie w modelu SaaS cieszy się dziś ogromną popularnością. Dotychczas głównymi kryteriami doboru dostawcy były cena i bezpieczeństwo. Dla rozwiązań przetwarzających dane klientów, w tym m.in. systemów CRM, takie wytyczne są już niewystarczające. By uniknąć problemów należy dopilnować, by zewnętrzna infrastruktura, z której korzysta oprogramowanie, nie znajdowała się w kraju będącym poza Unią Europejską, gdzie prawo ochrony danych jest znacznie lżejsze. Powinniśmy dążyć do tego, by nasi kontrahenci i dostawcy podlegali tym samym regulacjom - wyjaśnia Rojek.

4. Niebezpieczeństwo półprawdy

Nick Ismail, dziennikarz portalu Information Aga, zwraca uwagę, że pomimo wysokich kar oraz widma utraty reputacji i płynności w świadczeniu usług, nie wszystkie firmy zdecydują się na pełną synchronizację z nowymi przepisami. Niektóre dołożą wszelkich starań, by ukryć to, że świadomie łamią prawo. Na taki stan rzeczy może mieć wpływ zdefiniowana przez przepisy rola DPO (Data Protection Officer), niezależnego eksperta ds. zgodności działającego wewnątrz organizacji. To prosta droga do powstania kultury „my kontra oni”, będącej doskonałym środowiskiem do tuszowania wykroczeń. Na dłuższą metę prowadzenie takiej polityki z pewnością ściągnie na firmę tragiczne konsekwencje. Z drugiej strony, możemy spodziewać się sytuacji, w których przedsiębiorstwa nie będą przedstawiać całej prawdy o incydentach i to nie z powodu złej woli, lecz braku wystarczających informacji i narzędzi stanowiących kontrolę nad przetwarzanymi danymi osobowymi. Dlatego monitoring sieci, zaawansowane narzędzia do wykrywania naruszeń oraz plany reagowania na sytuacje kryzysowe są niezbędne do właściwego funkcjonowania organizacji w dobie RODO. Warto tu dodać, że według regulacji unijnej, gdy dojdzie do kradzieży danych, podmiot nimi zarządzający ma 72 godziny na zgłoszenie incydentu odpowiednim organom. Większy wgląd w przepływ danych jest więc koniecznością.

- Problem w tym, że z racji na ogrom rozlokowanych w różnych źródłach cyfrowych informacji będących w posiadaniu firm i organizacji, ręczny nadzór nad danymi i filtrowanie ich pod kątem tego czy zawierają dane personalne czy nie jest niemal niemożliwy. Oczywiście można podjąć się jego próby, ale z pewnością będzie ona bardzo kosztowna i wymagająca zaangażowania dużych zasobów ludzkich. Alternatywą może być “zatrudnienie” Data Protection Officera, w postaci inteligentnego narzędzia skanującego cały cyfrowy dobytek firmy i rozumiejącego kontekst w jakim zastosowano poszczególne frazy, precyzyjnie wychwytując rekordy zawierające personalia. Zarówno w dokumentach, skanach i mailach, jak i plikach audio czy graficznych - tłumaczy Jacek Grzyb z teamLeaders, firmy dostarczającej rozwiązania kognitywne.

5. RODO to dopiero początek

W cyfrowej gospodarce dane odgrywają główną rolę. Niektórzy nazywają je nową ropą, inni - nową ziemią. Nie ulega wątpliwości, że są one wartościowym towarem, o który firmy biją się nieustannie. Tymczasem, rynek danych uległ centralizacji, a korzyści z ich monetyzacji czerpią przede wszystkim najwięksi gracze. Taki stan rzeczy na całym świecie budzi coraz większy sprzeciw. Bardziej świadoma część społeczeństwa domaga się większej kontroli nad własnymi danymi oraz udziału w zyskach z ich monetyzacji. Pod tymi postulatami podpisuje się coraz prężniej działający ruch #OwnYourData, skupiony wokół środowisk blockchainowych. Trwają również intensywne prace nad rozwojem technologii mających odmienić sposób wymiany danych w internecie.

- Mamy tu do czynienia z gigantycznym rynkiem, na którym to my, zwyczajni ludzie, jesteśmy towarem. Tak być nie powinno. Dane są walutą cyfrowej gospodarki, od tego nie uciekniemy, jednak ta waluta może pracować na naszą korzyść. Pozbawiając firmy zdolności do samowolnej monetyzacji wprowadzamy porządek do internetu. Dzika monetyzacja danych, z którą boryka się współczesny internet, to przede wszystkim problem natury technologicznej i nie można rozwiązać go inaczej, niż za pomocą technologii - mówi Krzysztof Gagacki, twórca IOVO.

Opracowana przez niego uniwersalna, zdecentralizowana baza danych, oparta o nowej generacji blockchain, umożliwia internautom bezpieczne gromadzenie cyfrowych informacji oraz ich dobrowolną monetyzację. Po wejściu w życie RODO, rozwiązania decentralizujące rynek danych zyskiwać będą na popularności. Niektórzy futuryści przewidują, że w przyszłości, za ich sprawą, internauci będą w stanie generować bezwarunkowy dochód podstawowy.