Informacje o klientach pod specjalnym nadzorem. Firmy mają niecały rok na wprowadzenie nowych zasad ochrony danych osobowych

W maju 2018 roku zacznie obowiązywać GDPR/RODO – unijne przepisy o ochronie danych osobowych przyjęte w kwietniu 2016 roku. Nakładają one na firmy zbierające i analizujące dane obowiązek ochrony większej liczby danych konsumentów, a także udostępniania ich osobom, których dotyczą i kasowania na ich żądanie. Mimo że prace nad nowymi przepisami toczyły się od 2011 roku, jeszcze pod koniec ubiegłego roku większość polskich firm nie wiedziała nawet, że taka regulacja wejdzie w życie.

– To jest regulacja dla obywateli Unii Europejskiej, dla konsumentów. To dla nich jest bardzo dobra zmiana, która daje obywatelom większą kontrolę nad informacjami, które są o nich zbierane. Otrzymają także więcej wiedzy o tym, w jaki sposób są procesowane takie informacje – mówi agencji informacyjnej Newseria Biznes Grzegorz Jendroszczyk, Data Protection Officer w firmie Piwik PRO, polskiej spółce produktowej oferującej rozwiązania dla marketingu skierowane do globalnych przedsiębiorstw, rządów oraz instytucji międzynarodowym. – Każda polityka prywatności będzie musiała być napisana tzw. językiem Ulicy Sezamkowej, żeby była jasno zrozumiana przez każdego użytkownika.

General Data Protection Regulation zacznie obowiązywać 25 maja 2018 roku. Rozbudowuje ona definicję danych osobowych na wszelkie informacje o konsumencie, które mogłyby pozwolić na jego identyfikację, jak np. dane IP jego komputera. Osoba, której dane są gromadzone i przetwarzane, będzie musiała być informowana o tym, co dzieje się z jej danymi powierzonymi firmie, a także będzie miała prawo zażądać ich usunięcia wraz z odnośnikami. To tzw. prawo do bycia zapomnianym.

Regulacja ma na celu zwiększenie ochrony danych obywateli UE i dotyczy nie tylko firm działających w Unii, lecz także wszystkich, które dysponują danymi na temat Europejczyków. W 2018 roku wejdzie też w życie regulacja ePrivacy, określająca zasady telemarketingu i wysyłania spamu oraz ochrony danych ujawnianych przy okazji korzystania z komunikatorów internetowych.

– Z punktu widzenia firm i instytucji GDPR to jest wyzwanie, ale nie traktujmy tego jak rzecz negatywną. To pozwoli firmom nawiązać relacje z własnymi użytkownikami i klientami i nawiązać z nimi relacje zaufania – przekonuje Jendroszczyk. – Owszem, dostosowanie będzie wymagało z ich strony bardzo dużo wysiłku, ale dzięki temu unikniemy sytuacji, jaka może mieć wkrótce miejsce w Stanach Zjednoczonych, gdzie dostawca internetu będzie w stanie sprzedać historię przeglądania użytkownika, co jest wyraźnie naruszeniem kontraktu społecznego między firmą a klientem.

Jesienią 2016 roku firma ARC Rynek i Opinia przeprowadziła na zlecenie firm Trend Micro oraz VMware badanie sprawdzające stopień przygotowania polskich firm do wdrożenia rozporządzenia oraz świadomości ich kierownictwa na ten temat. Okazało się, że 52 proc. firm nigdy nie słyszało o dyrektywie, a ponad dwie trzecie nie wiedziało, kiedy zacznie ona obowiązywać. Połowa pytanych firm nie miała wówczas wdrożonych technologii umożliwiających usunięcie danych, a 42 proc. – procedur umożliwiających powiadomienie GIODO w sytuacji wycieku danych lub innych naruszeń związanych z ich wykorzystaniem.

– Każda firma i każda instytucja w UE musi się przygotować do tych nowych przepisów. Mamy cały rok do przygotowań, tak że w ciągu tego roku firmy muszą wprowadzić w swoich szeregach politykę zgodności. Taką politykę zawsze się zaczyna od pierwszego kroku, czyli analizy stanu obecnego – radzi Grzegorz Jendroszczyk. – W tym przypadku jest to inwentaryzacja danych. Każda jednostka organizacji musi zrobić rachunek sumienia, jakie dane zbiera, jak długo je trzyma i do czego ich używa. Po czym trzeba przeanalizować, czy ten sposób trzymania i procesowania danych jest zgodny z przepisami, które wejdą w życie 25 maja 2018 roku.

Nowa regulacja definiuje pojęcia administratora danych (data controller) i podmiotu przetwarzającego dane (data processor), np. w celu analizy danych sprzedażowych. Administrator każdorazowo będzie musiał uzyskać zgodę na wykorzystanie danych w konkretnym celu przez podmiot je przetwarzający.

Nowe wymogi stawiane firmom wymuszą też na nich przeanalizowanie stosowanych narzędzi IT pod kątem zgodności z nowymi regulacjami.

– Są technologie, które ze względu na własną architekturę nie będą zgodne z tą interpretacją, ponieważ bazy danych są w nich rozproszone. Oznacza to, że każdy z użytkowników ma dostęp do całego zbioru informacji i jego rekordów. Pozostaje pytanie, kto jest wówczas kontrolerem danych, kto procesorem oraz jak wygląda łańcuch odpowiedzialności w przypadku, kiedy mamy rozproszoną bazę danych? – mówi Grzegorz Jendroszczyk, data protection officer w Piwik PRO, w kontekście technologii Blockchain, używanej między innymi do obrotu kryptowalutą Bitcoin.

Nowe przepisy przewidują wysokie kary dla przedsiębiorców, którzy nie dostosują się do nowych wymogów. W zależności od wielkości firmy i rodzaju przewinienia zaczynają się one od 10 mln euro lub 2 proc. obrotów z poprzedniego roku do kwot dwukrotnie wyższych.