Biznes staje przed wyzwaniem GDPR

13 września 2017

Wiosna przyszłego roku to moment, w którym europejski biznes będzie musiał zdać egzamin dojrzałości. Wchodząca wtedy w życie reforma ochrony danych osobowych (RODO/GDPR) przyniesie nowe regulacje dotyczące zarządzania danymi osobowymi zarówno dla organizacji, które oferują swoje usługi lub produkty obywatelom UE, jak również tych, które zbierają i analizują informacje powiązane z obywatelami Unii Europejskiej, bez znaczenia, gdzie te firmy się znajdują. Cel tego działania jest prosty – ujednolicenie zasad ochrony danych osobowych na terenie całej UE. Czego powinien obawiać się biznes i co ta zmiana oznacza w praktyce?

Przejrzystość i spójność danych osobowych

Wchodzące w maju 2018 rozporządzenie ma przede wszystkim za zadanie ujednolicić przepisy dotyczące zarządzania i ochrony danych osobowych na terenie całej UE. O ile w przypadku większych firm, które na stałe zatrudniają administratorów bezpieczeństwa informacji (ABI) nie będzie to sprawa skomplikowana, a może nawet prowadzić do optymalizacji kosztów i ujednolicenia procedur, o tyle mniejszy biznes musi odrobić pracę domową, jeżeli chce uniknąć kar (sięgających nawet do 20 milionów euro lub 4% obrotu przedsiębiorstwa). Zmiana zasad ochrony prawa do prywatności będzie oznaczała w praktyce, że każde przedsiębiorstwo działające na terenie Unii będzie mogło wykorzystywać i gromadzić dane osobowe klientów, tylko w przypadku spełnienia rygorystycznych wymagań, które wprowadza RODO.

Podstawowe zmiany, jakie wprowadza rozporządzenie dotyczą:

Prywatności – osoby fizyczne będą miały prawo do dostępu do swoich danych, w tym uzyskania ich kopii, i poprawy błędów, które te informacje mogą zawierać, usunięcia danych osobowych, które są w posiadaniu konkretnej firmy, ale także wyrażenia sprzeciwu odnośnie do sposobu przetwarzania danych a nawet prawo do ich przeniesienia.
Kontroli i powiadamiania – regulacja nakłada na firmy zbierające dane rygorystyczne wymogi dotyczące m.in. obowiązku powiadamiania o naruszeniu dostępu do informacji (zarówno osób, których dane dotyczą, jak i organu nadzoru), a także odpowiedniego formułowania zgody na przetwarzanie danych osobowych (zapytanie o zgodę musi być przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem oraz musi zawierać wyraźną informację o możliwości wycofania zgody; naruszenie tych wymogów spowoduje, że zgoda nie będzie wiążąca i nie będzie mogła stanowić podstawy przetwarzania danych). Firmy stają także przed obowiązkiem utrzymania odpowiedniego poziomu poufności i ewidencjonowania przetwarzanych informacji.
Przejrzystości zasad – zarówno w zakresie informowania o zbieraniu danych, jak również ich przetwarzania, przechowywania czy usuwania. Ujednolicenie europejskiego prawa w zakresie ochrony danych to duże ułatwienie. Do tej pory firmy musiały borykać się z aż 28 różnymi zasadami dotyczącymi prywatności. Rozporządzenie ujednolica tę mozaikę i tworzy jedną, spójną regulację.
Edukacji i inwestycji – rozporządzenie obliguje firmy do przyjęcia nowych procedur i procesów, mających na celu uzyskanie większej kontroli nad posiadaną dokumentacją. Konieczne będą szkolenia pracowników i osób odpowiadających za ochronę danych osobowych – firmy będą zobowiązane przedstawić klarowne zasady polityki ochrony prywatności, a te, które zatrudniają powyżej 250 osób dodatkowo będą zobowiązane do powołania Inspektorów Ochrony Danych.

Biznes, który dopiero nauczył się odpowiednio gromadzić dane i powoli zaczyna monetyzować drzemiący w nich potencjał będzie musiał dostosować się do nowych wymogów i odpowiednio chronić przetwarzane informacje. Jeżeli przedsiębiorca odpowiednio nie zabezpieczy przetwarzanych danych, co stanowi jedną z najważniejszych zasad GDPR, będzie musiał zrezygnować z wykorzystywania części z nich. Na szczęście wchodzące w życie rozporządzenie przychodzi z pomocą o tyle, że wprost wskazuje przykłady prawidłowego zabezpieczenia danych. Jak podano w artykule 32, szyfrowanie może być właściwym środkiem do osiągnięcia tego celu. Szyfrowanie danych może też uchronić firmę przed konsekwencjami finansowymi w sytuacji kradzieży czy utraty danych. Z tego względu wskazane jest, by narzędzia wykorzystane do szyfrowania danych umożliwiały przywrócenie danych po ich utracie. Ważne jest też przechowywanie dokumentacji, która może pomóc w udowodnieniu, że systemy są właściwie zabezpieczone, a dane możliwe do odzyskania.

Nowe definicje, stare potrzeby

Cyfrowa transformacja spowodowała sytuację, w której większość firm dążących do uzyskania przewagi rynkowej zauważyła potencjał drzemiący w Big Data i zaczęła gromadzić dane. Oczywiście samo zbieranie informacji to tylko fragment recepty na sukces. Sztuką jest odpowiednie ich łączenie, wyciąganie wniosków a także skuteczna analiza. Według raportu Economist Intelligence Unit*, aż 60 proc. przedsiębiorców, którzy wzięli udział w badaniu, odnotowało wzrost przychodów dzięki wykorzystaniu cyfrowych informacji. Firmy gromadzą oczywiście różne informacje, w zależności od profilu swojej działalności. Mogą to być tzw. 1st party data (np. dane gromadzone w systemach CRM), ale także 2nd – informacje uzyskane np. w wyniku prowadzenia kampanii reklamowych, a nawet 3rd party. W przypadku tych ostatnich mówimy o partnerze, który te informacje dostarczył.

Nie ulega wątpliwości, że posiadanie odpowiedniej ilości informacji pozwala nie tylko lepiej zrozumieć potrzeby klienta, a często nawet wyprzedzić jego plany zakupu bądź odstąpienia od dalszej współpracy

– mówi Michał Grams, prezes zarządu TogetherData, firmy pomagającej polskim przedsiębiorcom w optymalnym wykorzystaniu a nawet monetyzowaniu posiadanych informacji.

W świetle zmieniających się przepisów istotne będzie nie tylko ich odpowiednie analizowanie i szukanie nieoczywistych połączeń, ale także ich odpowiednie i bezpieczne przechowywanie

– dodaje Michał Grams.

Zmiana, którą zapoczątkuje nowe rozporządzenie, przyniesie aktualizację pojęcia danych osobowych. W myśl nowej definicji będą to wszelkie informacje, które umożliwiają identyfikację osoby, której dotyczą, także adres IP oraz tzw. ciasteczka (cookies), czyli niewielkie informacje wysyłane przez serwisy internetowe odwiedzane przez użytkownika. Po wejściu w życie GDPR informacje te będą musiały być chronione na równi z numerami PESEL, czy NIP. W praktyce dla biznesu oznacza to m.in. istotną zmianę w zasadach profilowania klientów i wykorzystywania w tym celu danych – szczególnie, gdy wynikiem takiego automatycznego przetwarzania może być ograniczanie dostępu do niektórych usług lub oferowanie usług w innej cenie w zależności od profilu użytkownika. W praktyce uregulowania te mogą mieć np. wpływ na procesy scoringu – zarówno w przypadku udzielania kredytów lub wykrywania fraudów, ale również w przypadku branży ubezpieczeniowej, windykacyjnej czy marketingowej. Zmiana, którą wniesie GDPR spowoduje, że klienci będą mieli prawo do tego, aby nie podlegać automatycznym decyzjom, które opierają się na zautomatyzowanym przetwarzaniu zbieranych o nich informacji.

Wejście w życie RODO - które w sposób istotny rozszerza zakres informacji podlegających ochronie - sprawi, że firmy opierające swój model biznesowy o Big Data oraz profilowanie będą musiały zwrócić szczególną uwagę na sposób zarządzania i zapewnienie bezpieczeństwa przetwarzanych danych.

– twierdzi Paweł Tobiczyk, adwokat współpracujący z kancelarią prawną Maruta Wachta, która specjalizuje się w prawie ochrony danych osobowych i pomaga wielu podmiotom na rynku przygotować się do wdrożenia RODO.

Zapewnienie bezpieczeństwa danych osobowych będzie wymagało wdrożenia przez przedsiębiorców określonych rozwiązań organizacyjnych i technicznych, w tym dostosowania środowiska IT do nowych wymogów. Co istotne, RODO nie określa twardych wytycznych w tym zakresie – każdy podmiot będzie musiał na własną rękę przeprowadzić analizę ryzyka i dokonać wyboru środków, które zapewnią skuteczną i adekwatną ochronę danych w jego organizacji. Często dokonanie takiej oceny będzie wymagać zaangażowania wyspecjalizowanych doradców zewnętrznych - w szczególności, gdy w grę wchodzą tak skomplikowane i wrażliwe procesy przetwarzania danych jak w przypadku analityki Big Data.

– zauważa Paweł Tobiczyk

* The Economist Intelligence Unit, The Business of Data
-------------------------------------------------------------------------
TogetherData – pierwszy Data Science House w Polsce, założony w 2016 roku. Warszawska firma specjalizuje się w zintegrowanych działaniach z zakresu analityki Big Data, ze szczególnym naciskiem na monetyzację internetowych zbiorów danych (data enrichment), zgromadzonych przez przedsiębiorstwa w systemach BI, CRM i ERP oraz w firmowych aplikacjach. TogetherData dostarcza także gotowe usługi i autorskie rozwiązania z zakresu data-driven business, umożliwiających optymalizację procesów biznesowych oraz czerpanie realnych, finansowych i organizacyjnych korzyści, płynących z wielkich zbiorów danych. Badacze danych zatrudnieni w TogetherData świadczą również usługi consultingowe dla firm z sektora fin-tech, ze szczególnym naciskiem na banki oraz instytucje windykacyjne.