Za wyciek danych na firmę może zostać nałożona kara w wysokości 4% jej światowych obrotów – taka wzmianka jest w planach nowego prawa unijnego. Dla wszystkich konsumentów (dowiedzą się, jak wiele firm dysponuje ich danymi), jak i przedsiębiorstw oraz instytucji (czy zdołały się przygotować), za 7 miesięcy okaże się, czy czekają ich nieprzyjemne zmiany. 25 maja 2018 roku wejdzie w życie nowe Rozporządzenie o Ochronie Danych Osobowych (RODO) – wprawia w zakłopotanie wielu przedsiębiorców już od kilkunastu miesięcy. Co więcej, znaczna jest liczba firm, które wciąż nie wiedzą, co one oznaczają ani tym bardziej, że powinny się nimi zainteresować. Wspomniane przepisy o wiele ściślej określają, jak z danymi się obchodzić oraz za prawie każdy akt ich nieprzestrzegania – zaczynając od sytuacji, gdy firma nie poinformuje klienta, że ma jego dane – są przewidziane kary finansowe, których największa możliwa kwota może budzić niepokój – 20 mln € lub 4% światowych rocznych obrotów firmy. Każdej firmy, która ma choć jednego pracownika i choć jednego klienta! Celem rozporządzenia jest większa piecza nad naszymi danymi i zabezpieczenie przed ich wyciekami. Oczywiście dostosowanie się do wymogów RODO będzie kosztować firmy dziesiątki tysięcy złotych. Poniżej przedstawiamy wywiad z Michałem Sztąberkiem, prezesem firmy iSecure prowadzącej szkolenia i audyty ochrony danych osobowych (rozmowa przeprowadzona przez Gazetę Wyborczą).Jakub Wątor: 25 maja 2018 roku wszyscy zostaniemy zbombardowani telefonami, SMS-ami, mailami, listami w skrzynkach od każdej z firm, której kiedykolwiek powierzyliśmy swoje dane?Michał Sztąberek: Bardzo prawdopodobne. Ludzie nagle zorientują się, w jak wielu miejscach przechowywane są ich dane. Więc najpierw będą zaskoczeni, potem wkurzeni, a potem będą chcieli swe dane skasować. Co będą musieli zrobić?– Informacja „Usuńcie moje dane” wysłana do firmy mailem powinna być respektowana. Po stronie firmy będzie leżała weryfikacja, czy o usunięcie prosi faktycznie osoba, której dane dotyczą. Podejrzewam, że Główny Inspektor Ochrony Danych Osobowych będzie się przyglądał, czy firmy rzeczywiście usuwają dane na prośbę konsumenta i nie stawiają przy tym barier. Bo najpierw każda firma będzie mnie musiała poinformować, że ma moje dane.– Tak, jako konsumenci dowiemy się o kilku rzeczach: jakie to dane, jak ich firma używa, czy korzysta z nich w celach marketingowych, czy przekazuje je innym podmiotom. Musi nas poinformować też o tym, że mamy prawo złożyć na firmę skargę do GIODO, musi wskazać, kto w firmie pełni funkcję inspektora danych. Tego obecnie się nie wymaga, więc każda firma będzie musiała się skontaktować ze wszystkimi konsumentami ze swoich baz danych. Dla przykładu u takiego Orange to będzie jakieś 15 mln konsumentów. Można mailowo, wyjdzie taniej.– To zależy od tego, jakie firma ma dane. Jak nie ma maila ani telefonu, będzie musiała wysłać list pocztą tradycyjną. Jeden klient to koszt 2-3 zł, a więc jeśli firma ma w bazie 50 tys. osób, to już musi wydać 100-150 tys. zł. A to i tak optymistyczny szacunek, bo do tej pory firmy raczej gromadziły jak najwięcej, a nie jak najmniej danych. Jeśli firma ma tylko numer telefonu, to też poniesie koszty, bo będzie musiała dzwonić lub wynająć call center, by poinformowało o zmianach wszystkich ich klientów. Jeśli zaś firma rzeczywiście ma też maile swoich klientów, to powinna dziękować za to opatrzności, bo wyjdzie najtaniej. Ale i tu jest pułapka – jak nagle wyśle milion maili nt. RODO do swych klientów, może wpaść do filtrów antyspamowych. A musi mieć potwierdzenie od klientów, że zostali poinformowani?– Nie, ale dla celów dowodowych – gdyby weszła kontrola – warto takowe mieć. To nie jest tak jak ze zgodą na marketingowe przetwarzanie danych, gdzie klient po prostu musi się zgodzić, a firma je gromadząca powinna to umieć wykazać. A propos – z tą zgodą też zawsze było zamieszanie.– Tak, bo firmy często wykorzystywały jedną zgodę nie tylko do przetwarzania danych w ramach własnej usługi, ale i do celów marketingowych albo nawet do przekazywania danych kolejnemu podmiotowi. Teraz będzie trzeba każdą zgodę przejrzeć i ustalić, czy nie łamie nowych przepisów. A jeśli tak, to znów skontaktować się z klientem i zapytać, czy się zgadza. Jeszcze więcej informacji, zgód, czyli jeszcze dłuższe regulaminy. Tego już na pewno nikt nie będzie czytał.– A najlepsze jest to, że ideą RODO ma być proobywatelskość i ułatwienie życia konsumentom... Podobno firmy są daleko w tyle z dostosowaniem się do wymogów?– Zostało niecałe 10 miesięcy, a firmy jakby nie pamiętają o tym, że mają się przygotowywać nie od 25 maja 2018 roku, lecz na odwrót – do tego terminu. Teoretycznie tego dnia inspektorzy z GIODO będą mogli przeprowadzić kontrolę, czy firmowe systemy są zgodne z nowymi przepisami. To od początku – co firma musi zrobić?– Przede wszystkim pamiętajmy, że RODO dotyczy nie tylko wszystkich firm, ale i spółdzielni, stowarzyszeń, instytucji państwowych i samorządowych. Każdego, kto przetwarza jakiekolwiek dane osobowe, np. w związku z zatrudnieniem. Im firma gromadzi więcej danych osobowych, tym więcej przed nią pracy i obowiązków. W przygotowaniach do RODO trzeba ogarnąć trzy sfery. Pierwsza to sfera prawna, czyli kwestia przetwarzania danych osobowych, obowiązki informacyjne, umowy na outsourcing usług, które się wiążą z dostępem do danych. Druga to sfera proceduralno-organizacyjna, czyli jak wspierać bezpieczeństwo i przepływ informacji w samej firmie. I trzecia to sfera IT, czyli jak dostosować do tego wszystkiego same systemy informatyczne – kto ma do nich dostęp, kto wprowadza dane. I w drugą stronę – jeśli teraz klient zażąda usunięcia danych – firma będzie musiała wyciągnąć te dane ze wszystkich miejsc, w których je zostawiła. W archiwum z umowami z klientami, w bazie danych z kontaktem do klientów, w bazie danych z konkursami i promocjami, w bazach, które udostępnia innym podmiotom itd. Gdy te systemy nie będą dobrze zintegrowane, to dane będą mocno rozproszone i firma nie wypełni obowiązku skasowania wszystkiego, bo zapomniała, że gdzieś w jakimś systemie – np. w usługach zleconych innej firmie – te dane jeszcze miała.[/obrazy/rodo.jpg]„Systemy informatyczne teleoperatorów to jedno wielkie spaghetti. Wszystko tak poplątane, że nie sposób dojść, które dane i gdzie są wykorzystywane. RODO będzie ich bardzo bolało” – taką opinię usłyszałem ostatnio od człowieka z tej branży. Brzmi dramatycznie.– Im więcej systemów, baz danych i klientów w tych bazach, tym więcej pracy. Trzeba przyjrzeć się każdemu z systemów pod kątem zapewnienia bezpieczeństwa, zakresu przetwarzanych danych. Teleoperatorzy czasem zbierali dane na zapas – kserowali dokumenty, trzymali je długo po zakończeniu umowy z klientem. Na pewno część danych będą musieli usunąć. Ale to też dobra okazja do uporządkowania wszystkiego. Może się okazać, że firma ma 10 systemów, ale 7 z nich jest jej niepotrzebnych – dzięki temu ograniczy koszty.Ale RODO dotyczy każdej firmy. Również sklepu internetowego prowadzonego przez jedną osobę z mieszkania w bloku. Ona też będzie musiała zatrudnić prawnika, informatyka...– Tak, te dwie osoby wydają się kluczowe w kontekście wprowadzania nowych przepisów. Nieważne, gdzie taki skromny e-sklepikarz trzyma swoje dane. Choćby to była chmura obliczeniowa w Stanach Zjednoczonych, to jednak same dane zbiera na terytorium Polski i tu prowadzi biznes. RODO mówi: my nie stawiamy wymagań bezpieczeństwa minimum, to ty masz przeprowadzić wszelkie działania, w tym ocenę ryzyka, by ustalić, jakich zabezpieczeń potrzebujesz. Jeśli źle to ocenisz i dojdzie u ciebie do wycieku, potencjalnie możesz dostać karę. Do 20 mln € lub 4% światowych obrotów firmy z zeszłego roku.A w złotówkach to ponad 80 mln.– Wieje grozą, prawda? A jeśli te 4% obrotów będzie wyższe niż 20 mln €, to kara będzie liczona właśnie od procentów – zastosowanie ma kwota wyższa. Oczywiście wcześniej karą może być tylko upomnienie czy nakazanie podjęcia czynności naprawczych. Karalne będzie już naruszanie wspomnianego przeze mnie wcześniej obowiązku informacyjnego. Rodzaj i wysokość kary będą zależały oczywiście od rodzaju złamania przepisów, stopnia winy, jej skali, ewentualnej recydywy, przestrzegania kodeksów branżowych. Generalnie im większe przewinienie – np. wyciek danych – tym większa kara. Ale im więcej będziemy mieli dowodów na to, że próbowaliśmy incydentowi zapobiec, tym kara powinna być niższa. Najpierw prawdopodobnie będą upomnienia, potem – przy recydywie – kary finansowe. Bo gdyby organ nadzorczy od razu dawał kary finansowe, wykończyłby firmy.W końcu opinia publiczna będzie wiedziała chyba o każdym wycieku danych.– Tak, przepisy mówią, że firma musi poinformować i organ nadzorczy, i klientów o wycieku danych, w tym przypadku organu nadzorczego – w ciągu 72 godzin od jego wykrycia. To też będzie miało wpływ na późniejsze sankcje. Generalnie przed firmami teraz bardzo dużo roboty. Źródło: Gazeta Wyborcza [http://wyborcza.biz/biznes/7,147584,22178125,rodo-mocniej-ochroni-nasze-dane-osobowe-ale-na-firmy-naklada.html?disableRedirects=true]Chciałbyś zgłosić swoją sprawę dotyczącą GIODO? Wejdź na stronę z naszą ofertą [http://www.knfteam.pl/zgloszenie/giodo] i wyślij do nas wypełnioną ankietę!
