Za wyciek danych na firmę może zostać nałożona kara w wysokości 4% jej światowych obrotów – taka wzmianka jest w planach nowego prawa unijnego. Dla wszystkich konsumentów (dowiedzą się, jak wiele firm dysponuje ich danymi), jak i przedsiębiorstw oraz instytucji (czy zdołały się przygotować), za 7 miesięcy okaże się, czy czekają ich nieprzyjemne zmiany.
25 maja 2018 roku wejdzie w życie nowe Rozporządzenie o Ochronie Danych Osobowych (RODO) – wprawia w zakłopotanie wielu przedsiębiorców już od kilkunastu miesięcy. Co więcej, znaczna jest liczba firm, które wciąż nie wiedzą, co one oznaczają ani tym bardziej, że powinny się nimi zainteresować. Wspomniane przepisy o wiele ściślej określają, jak z danymi się obchodzić oraz za prawie każdy akt ich nieprzestrzegania – zaczynając od sytuacji, gdy firma nie poinformuje klienta, że ma jego dane – są przewidziane kary finansowe, których największa możliwa kwota może budzić niepokój – 20 mln € lub 4% światowych rocznych obrotów firmy. Każdej firmy, która ma choć jednego pracownika i choć jednego klienta! Celem rozporządzenia jest większa piecza nad naszymi danymi i zabezpieczenie przed ich wyciekami. Oczywiście dostosowanie się do wymogów RODO będzie kosztować firmy dziesiątki tysięcy złotych.
Poniżej przedstawiamy wywiad z Michałem Sztąberkiem, prezesem firmy iSecure prowadzącej szkolenia i audyty ochrony danych osobowych (rozmowa przeprowadzona przez Gazetę Wyborczą).
Jakub Wątor: 25 maja 2018 roku wszyscy zostaniemy zbombardowani telefonami, SMS-ami, mailami, listami w skrzynkach od każdej z firm, której kiedykolwiek powierzyliśmy swoje dane?
Michał Sztąberek: Bardzo prawdopodobne. Ludzie nagle zorientują się, w jak wielu miejscach przechowywane są ich dane.
Więc najpierw będą zaskoczeni, potem wkurzeni, a potem będą chcieli swe dane skasować. Co będą musieli zrobić?
– Informacja „Usuńcie moje dane” wysłana do firmy mailem powinna być respektowana. Po stronie firmy będzie leżała weryfikacja, czy o usunięcie prosi faktycznie osoba, której dane dotyczą. Podejrzewam, że Główny Inspektor Ochrony Danych Osobowych będzie się przyglądał, czy firmy rzeczywiście usuwają dane na prośbę konsumenta i nie stawiają przy tym barier.
Bo najpierw każda firma będzie mnie musiała poinformować, że ma moje dane.
– Tak, jako konsumenci dowiemy się o kilku rzeczach: jakie to dane, jak ich firma używa, czy korzysta z nich w celach marketingowych, czy przekazuje je innym podmiotom. Musi nas poinformować też o tym, że mamy prawo złożyć na firmę skargę do GIODO, musi wskazać, kto w firmie pełni funkcję inspektora danych. Tego obecnie się nie wymaga, więc każda firma będzie musiała się skontaktować ze wszystkimi konsumentami ze swoich baz danych. Dla przykładu u takiego Orange to będzie jakieś 15 mln konsumentów.
Można mailowo, wyjdzie taniej.
– To zależy od tego, jakie firma ma dane. Jak nie ma maila ani telefonu, będzie musiała wysłać list pocztą tradycyjną. Jeden klient to koszt 2-3 zł, a więc jeśli firma ma w bazie 50 tys. osób, to już musi wydać 100-150 tys. zł. A to i tak optymistyczny szacunek, bo do tej pory firmy raczej gromadziły jak najwięcej, a nie jak najmniej danych.
Jeśli firma ma tylko numer telefonu, to też poniesie koszty, bo będzie musiała dzwonić lub wynająć call center, by poinformowało o zmianach wszystkich ich klientów.
Jeśli zaś firma rzeczywiście ma też maile swoich klientów, to powinna dziękować za to opatrzności, bo wyjdzie najtaniej. Ale i tu jest pułapka – jak nagle wyśle milion maili nt. RODO do swych klientów, może wpaść do filtrów antyspamowych.
A musi mieć potwierdzenie od klientów, że zostali poinformowani?
– Nie, ale dla celów dowodowych – gdyby weszła kontrola – warto takowe mieć. To nie jest tak jak ze zgodą na marketingowe przetwarzanie danych, gdzie klient po prostu musi się zgodzić, a firma je gromadząca powinna to umieć wykazać.
A propos – z tą zgodą też zawsze było zamieszanie.
– Tak, bo firmy często wykorzystywały jedną zgodę nie tylko do przetwarzania danych w ramach własnej usługi, ale i do celów marketingowych albo nawet do przekazywania danych kolejnemu podmiotowi. Teraz będzie trzeba każdą zgodę przejrzeć i ustalić, czy nie łamie nowych przepisów. A jeśli tak, to znów skontaktować się z klientem i zapytać, czy się zgadza.
Jeszcze więcej informacji, zgód, czyli jeszcze dłuższe regulaminy. Tego już na pewno nikt nie będzie czytał.
– A najlepsze jest to, że ideą RODO ma być proobywatelskość i ułatwienie życia konsumentom...
Podobno firmy są daleko w tyle z dostosowaniem się do wymogów?
– Zostało niecałe 10 miesięcy, a firmy jakby nie pamiętają o tym, że mają się przygotowywać nie od 25 maja 2018 roku, lecz na odwrót – do tego terminu. Teoretycznie tego dnia inspektorzy z GIODO będą mogli przeprowadzić kontrolę, czy firmowe systemy są zgodne z nowymi przepisami.
To od początku – co firma musi zrobić?
– Przede wszystkim pamiętajmy, że RODO dotyczy nie tylko wszystkich firm, ale i spółdzielni, stowarzyszeń, instytucji państwowych i samorządowych. Każdego, kto przetwarza jakiekolwiek dane osobowe, np. w związku z zatrudnieniem. Im firma gromadzi więcej danych osobowych, tym więcej przed nią pracy i obowiązków.
W przygotowaniach do RODO trzeba ogarnąć trzy sfery.
Pierwsza to sfera prawna, czyli kwestia przetwarzania danych osobowych, obowiązki informacyjne, umowy na outsourcing usług, które się wiążą z dostępem do danych.
Druga to sfera proceduralno-organizacyjna, czyli jak wspierać bezpieczeństwo i przepływ informacji w samej firmie.
I trzecia to sfera IT, czyli jak dostosować do tego wszystkiego same systemy informatyczne – kto ma do nich dostęp, kto wprowadza dane. I w drugą stronę – jeśli teraz klient zażąda usunięcia danych – firma będzie musiała wyciągnąć te dane ze wszystkich miejsc, w których je zostawiła. W archiwum z umowami z klientami, w bazie danych z kontaktem do klientów, w bazie danych z konkursami i promocjami, w bazach, które udostępnia innym podmiotom itd. Gdy te systemy nie będą dobrze zintegrowane, to dane będą mocno rozproszone i firma nie wypełni obowiązku skasowania wszystkiego, bo zapomniała, że gdzieś w jakimś systemie – np. w usługach zleconych innej firmie – te dane jeszcze miała.
„Systemy informatyczne teleoperatorów to jedno wielkie spaghetti. Wszystko tak poplątane, że nie sposób dojść, które dane i gdzie są wykorzystywane. RODO będzie ich bardzo bolało” – taką opinię usłyszałem ostatnio od człowieka z tej branży. Brzmi dramatycznie.
– Im więcej systemów, baz danych i klientów w tych bazach, tym więcej pracy. Trzeba przyjrzeć się każdemu z systemów pod kątem zapewnienia bezpieczeństwa, zakresu przetwarzanych danych. Teleoperatorzy czasem zbierali dane na zapas – kserowali dokumenty, trzymali je długo po zakończeniu umowy z klientem. Na pewno część danych będą musieli usunąć. Ale to też dobra okazja do uporządkowania wszystkiego. Może się okazać, że firma ma 10 systemów, ale 7 z nich jest jej niepotrzebnych – dzięki temu ograniczy koszty.
Ale RODO dotyczy każdej firmy. Również sklepu internetowego prowadzonego przez jedną osobę z mieszkania w bloku. Ona też będzie musiała zatrudnić prawnika, informatyka...
– Tak, te dwie osoby wydają się kluczowe w kontekście wprowadzania nowych przepisów. Nieważne, gdzie taki skromny e-sklepikarz trzyma swoje dane. Choćby to była chmura obliczeniowa w Stanach Zjednoczonych, to jednak same dane zbiera na terytorium Polski i tu prowadzi biznes.
RODO mówi: my nie stawiamy wymagań bezpieczeństwa minimum, to ty masz przeprowadzić wszelkie działania, w tym ocenę ryzyka, by ustalić, jakich zabezpieczeń potrzebujesz. Jeśli źle to ocenisz i dojdzie u ciebie do wycieku, potencjalnie możesz dostać karę. Do 20 mln € lub 4% światowych obrotów firmy z zeszłego roku.
A w złotówkach to ponad 80 mln.
– Wieje grozą, prawda? A jeśli te 4% obrotów będzie wyższe niż 20 mln €, to kara będzie liczona właśnie od procentów – zastosowanie ma kwota wyższa. Oczywiście wcześniej karą może być tylko upomnienie czy nakazanie podjęcia czynności naprawczych. Karalne będzie już naruszanie wspomnianego przeze mnie wcześniej obowiązku informacyjnego. Rodzaj i wysokość kary będą zależały oczywiście od rodzaju złamania przepisów, stopnia winy, jej skali, ewentualnej recydywy, przestrzegania kodeksów branżowych. Generalnie im większe przewinienie – np. wyciek danych – tym większa kara. Ale im więcej będziemy mieli dowodów na to, że próbowaliśmy incydentowi zapobiec, tym kara powinna być niższa.
Najpierw prawdopodobnie będą upomnienia, potem – przy recydywie – kary finansowe. Bo gdyby organ nadzorczy od razu dawał kary finansowe, wykończyłby firmy.
W końcu opinia publiczna będzie wiedziała chyba o każdym wycieku danych.
– Tak, przepisy mówią, że firma musi poinformować i organ nadzorczy, i klientów o wycieku danych, w tym przypadku organu nadzorczego – w ciągu 72 godzin od jego wykrycia. To też będzie miało wpływ na późniejsze sankcje.
Generalnie przed firmami teraz bardzo dużo roboty.
Źródło: Gazeta Wyborcza
Chciałbyś zgłosić swoją sprawę dotyczącą GIODO?
Wejdź na stronę z naszą ofertą i wyślij do nas wypełnioną ankietę!
Zobacz nasze pozostałe posty z tamatu RODO:
