(CC By SA Blue Coat)
We wszystkich firmach – od małego sklepiku internetowego, w którym trzeba się zarejestrować, po największe instytucje finansowe Europy – trwa wielkie szukanie danych osobowych. Trzeba znaleźć wszystkie te, które zaginęły w wyniku rozmaitych zbiegów okoliczności. Na przykład w szafie na zakurzonej półce sprzedawca, który się już dawno zwolnił, porzucił stary zdezelowany laptop z pękniętym ekranem. Ale dysk był sprawny. A na dysku były dane.
Trzeba więc sprawdzić, czy w laptopie nie ma czasem pliku excel, a w nim wrażliwych informacji o setkach Kowalskich, Braunów lub de Machautów. Gdyby się okazało, że zapodziały się gdzieś ich zgody, a inspekcja dane te odnalazła, instytucja lub firma mogłaby zapłacić nawet 20 mln euro kary albo do 4 proc. całkowitego światowego obrotu z poprzedniego roku. Oczywiście takie są maksymalne stawki – wszystko zależy od skali naruszenia prawa.
– Z perspektywy RODO trzeba dane zinwentaryzować, zidentyfikować, nawet we wszystkich lokalnych plikach – mówił podczas grudniowej konferencji na temat reformy sektora bankowego Jakub Walarus, menedżer w EY.
Ale RODO nie stwarza wyłącznie problemów wynikających ze zwykłego bałaganiarstwa. Wyobraźmy sobie spory europejski bank, operujący w wielu krajach. Może być w nim nawet kilkaset współpracujących z sobą systemów. A we wszystkich są dane. W niektórych się powielają. W jednym z systemów może nie być danych wrażliwych, a w innych akurat mogą się znaleźć. Teraz to wszystko trzeba zidentyfikować.
Dodajmy, że w Polsce, podobnie zresztą jak w wielu krajach Europy, kary za naruszenie przepisów chroniących dane osobowe były umiarkowane. Grzywna groziła dopiero wtedy, gdy ktoś uporczywie nie przywracał stanu zgodnego z prawem. Wycieki danych, handel wielkimi zbiorami w darknecie świadczą tylko o tym, że przedsiębiorstwa, usługodawcy i instytucje finansowe po prostu nie radzą sobie z ich ochroną jak świat długi i szeroki.
Teraz europejskie instytucje będą pod presją naprawdę surowych kar. Nie można zatem zawieruszyć ani jednego Nowaka, żadnego Lorenzettiego, choćby ten już dawno nie żył. Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, w spolszczeniu RODO, uchwalone w 2016 roku, wejdzie w życie 25 maja 2018. Ten termin – jak przyznają firmy, które korzystały z dwuletniego vacatio legis – jest wciąż wyzwaniem. RODO wpływa na każdy sektor, który przetwarza dane.
Choć w całej Unii RODO obowiązuje bezpośrednio, co znaczy, że zastępuje wszystkie krajowe porządki prawne chroniące dane, daje państwom członkowskim w pewnych aspektach swobodę tworzenia lub uszczegóławiania przepisów. Polski projekt ustawy jest wciąż w fazie konsultacji, bo poprawek i propozycji zmian jest mnóstwo.
To, że przepisy krajowe mogą się różnić, stwarza kłopot grupom transgranicznym, także finansowym. Nie mogą wdrażać rozporządzenia jednolicie, we wszystkich spółkach zależnych.
– Cudowna idea jednolitości i spójności podejścia jest słuszna. Wtedy w grupie wszystko byłoby tak samo. W przypadku RODO będą lokalne kodeksy dobrych praktyk, pewne elementy interpretacyjne będą się różnić – mówiła podczas jesiennego Banking Forum w Warszawie Agnieszka Wieczorek-Nowak, dyrektor działu prawnego firmy ubezpieczeniowej Aviva.
Zmiana procedur, a nawet samego podejścia do ochrony danych, są dla firm bardzo kosztowne. Jak bardzo – trudno jeszcze przewidzieć. Gdy RODO było uchwalane, 87 proc. ankietowanych firm nie było w stanie obliczyć, jakie pochłonie budżety, a 82 proc. z 506 zapytanych twierdziło, że nie zdaje sobie sprawy, jakie bieżące wydatki ponosi na wcześniej obowiązujące zasady ochrony danych – wynikało z ankiety brytyjskiego urzędu ochrony danych osobowych Information Commissioners Office.
Badania brytyjskiego Ministerstwa Sprawiedliwości pokazały z kolei, że koszty dla tamtejszego biznesu mogą sięgać nawet 320 mln funtów rocznie, a w ciągu czternastu lat będzie to 2,1 mld funtów. Ale jest szansa na oszczędności – kosztowne dostosowanie się do nowych przepisów pozwoli uniknąć grzywien, które do wejścia w życie RODO wynosiły 42 mln – 124 mln funtów rocznie. Teraz szacunki mówią, że w stu największych firmach Unii będzie to 1,3 – 1,4 mld euro. Ale Komisja Europejska proponując RODO podawała, że szacuje korzyści na 2,3 mld euro.
– Jeśli program ma się zwrócić, to na pewno będzie okazją do zwiększenia sprawności organizacji i wykorzystania jej przez nowe linie biznesowe. Da to możliwość szybszego reagowania a potrzeby klienta – mówił Konrad Hoszowski z firmy informatycznej Ab Initio podczas Banking Forum.
Bo RODO daje firmom duże korzyści i one już je widzą. Generalnie prezentują dwa podejścia. Pierwsze to zrobić takie porządki, żeby spełnić kryteria konieczne by osiągnąć zgodność. Drugie – uciec do przodu. Stworzyć nową architekturę zarządzania danymi zaprojektowaną z myślą o ich ochronie, ale też o biznesowym wykorzystaniu. To drugie jest, rzecz jasna, bardziej kosztowne. McKinsey obliczył, że niektóre firmy, które postawiły na budowę od podstaw baz danych wydały na to 30 mln – 50 mln dolarów.
Powód uchwalenia rozporządzenia był oczywisty – gospodarka staje się coraz bardziej cyfrowa, a więc firmy coraz więcej korzystają z cyfrowych danych i coraz więcej ich gromadzą. Pozyskują dane z mediów społecznościowych, stron internetowych lub kupują je u wyspecjalizowanych dostawców, którzy sami łowią dane w sieci, żeby zrozumieć zachowania konsumentów lub znaleźć nowe sposoby dotarcia do nich. Zaczynają zbierać dane biometryczne.
To właśnie zasoby danych stają się elementem przewagi konkurencyjnej. Banki, ubezpieczyciele, detaliści, operatorzy telekomunikacyjni gromadzą ogromne ilości danych osobowych, niejednokrotnie tych najbardziej wrażliwych. Dane stają się aktywem, wciąż jednak trudnym do wyceny. Wszyscy wiedzą, że analityka danych ma ogromny potencjał, ale ten wciąż nie został w pełni ujawniony. Trzeba więc było wyznaczyć granice pomiędzy ochrona prywatności a otwierającymi się możliwościami dla biznesu, które niesie era cyfrowa.
Największa zmiana, którą w podejściu do ochrony danych osobowych wprowadza RODO, polega na tym, że ma być ona brana pod uwagę od chwili projektowania wszelkich baz i ma być domyślnie założona w każdym procesie ich gromadzenia przez dowolnego administratora (data protection by design and by default). Ale nie chodzi tu tylko o bazy. Chodzi przede wszystkim o to, że każdy produkt związany z pozyskiwaniem danych powinien być skonstruowany z myślą o ich ochronie.
– Wszystkie procesy powinny analizować ryzyko z perspektywy ochrony danych osobowych – mówi Jakub Walarus.
Rozporządzenie mówi też, że jeśli jest duże prawdopodobieństwo, iż jakiś rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania ma dokonać oceny skutków planowanego przetwarzania. Szczególnie ważne jest to w przypadku użycia nowych technologii. RODO rzadko wyraża wprost zakazy lub nakazy. Najczęściej pozwala decydować o konieczności podjęcia lub niepodejmowaniu pewnych środków administratorom, nakładając na nich obowiązek analizy ryzyka.
– Nie można dokładnie sprecyzować, co zrobić, żeby nie naruszać prywatności – mówi Leszek Maśniak z Ministerstwa Cyfryzacji.
Ma to swoje dwie poważne implikacje. Pierwsza jest taka, że grzywna spowodowana przez niezgodność z RODO może być wymierzona nie w przypadku złamania jakiegoś sztywnego przepisu, tylko w przypadku, gdy administrator źle oszacował ryzyko, co może ocenić kontrola. To znaczy, że ryzyko każdy przedsiębiorca będzie musiał kalkulować na własny rachunek. Ci, którzy mają większy apetyt na ryzyko w relacjach z klientami, sami narażają się na większe ryzyko prawne.
Druga jest nie mniej poważna i zwłaszcza wielkie instytucje, przetwarzające wielkie zbiory danych, muszą ją brać bardzo serio pod uwagę. Jeśli dojdzie do naruszenia danych osobowych w wyniku ich przetwarzania w organizacji, osoba, której to naruszenie dotyczy i poniosła wskutek tego szkodę, może żądać odszkodowania. To otwiera furtkę nie tylko poszkodowanym, ale wszystkim tym, którzy na takiej możliwości chcieliby żerować.
– Pojawiają się zupełnie nowe typy roszczeń – mówiła Agnieszka Wieczorek-Nowak.
– Instytucje często identyfikują je [możliwość takich roszczeń – przyp. autora] jako dużo groźniejsze niż potencjalne nałożenie kary. Boją się pozwów, co generowałoby koszty i pochłaniało dużo czasu – powiedział Michał Balicki.
RODO wymienia dane wrażliwe, podlegające szczególnej ochronie. Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych. Także dane genetyczne i biometryczne oraz dotyczące zdrowia, seksualności oraz o karalności.
Największą nowością w tym katalogu jest wprowadzenie danych biometrycznych i uregulowanie warunków ich przetwarzania. Dane biometryczne to cechy fizyczne, fizjologiczne i behawioralne. To na przykład owal twarzy, rozkład punktów charakterystycznych twarzy – oczy czy usta, rozkład temperatury na twarzy, kształt ucha, układ naczyń krwionośnych na dłoni lub przegubie ręki, kształt linii zgięcia wnętrza dłoni, odcisk palca. Behawioralne zaś to takie jak sposób chodzenia, podpis, sposób pisania na klawiaturze, cechy charakterystyczne ruchu ust lub poruszania gałki ocznej.
Danych wrażliwych nie wolno przetwarzać bez zgody zainteresowanego. Jego zgodna ma być „wyraźna”. Może zostać złożona przez internet, nie musi być – jak teraz – pisemna. Równocześnie RODO tworzy szerokie katalogi dopuszczalności korzystania z danych biometrycznych. Na przykład dla potwierdzenia tożsamości, identyfikacji i zatwierdzania transakcji czy autoryzacji dostępu do systemów informatycznych. A to znaczy, że banki będą mogły w komunikacji z klientem używać biometrii, o ile on wyrazi na to zgodę.
Równocześnie – choć także za zgodą zainteresowanego – dopuszczone jest profilowanie. RODO definiuje profilowanie jako zautomatyzowane przetwarzanie danych osobowych, które polega na wykorzystaniu ich – na przykład – do opisu i oceny zachowań osoby fizycznej, analizy lub prognozy efektów jej pracy, sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań, wiarygodności oraz lokalizacji.
Rozporządzenie postanawia, że na profilowanie każda osoba, której ma dotyczyć, może się nie zgodzić. W przypadku zgody zainteresowanego, musi on być uprzedzony o skutkach profilowania.
– Istnieje obowiązek informacyjny dotyczący profilowania i jego konsekwencji. Konsument może sprzeciwić się profilowaniu jako takiemu – mówi Michał Balicki.
Tu pozostawiona zostaje pewna furtka, pozwalająca wymuszać zgodę na profilowanie. Bank może postawić sprawę tak: jeśli nie zgodzisz się na profilowanie, nie udzielimy ci kredytu, bo jest ono konieczne do zawarcia umowy.
Podobnie jest z automatycznym podejmowaniem decyzji, na przykład decyzji kredytowych. Jeśli konsument się na taki sposób podejmowania decyzji nie zgodzi, może żądać decyzji podjętej przez człowieka. Ale też – jeśli chce zawrzeć umowę z administratorem danych, a ten stwierdza, że do jej zawarcia konieczna jest zgoda na automatyczne podejmowanie decyzji – klient nie ma wyjścia. Choć może jej wyniki zakwestionować.
– Automatyczne podejmowanie decyzji nie jest w zasadzie dozwolone przez RODO, z wyjątkiem, gdy klient, aby zawrzeć umowę z administratorem (danych), zgadza się na podjęcie decyzji automatycznej. Ma prawo wiedzieć, jak będzie podejmowana ta decyzja i jakie będą jej konsekwencje. Ma prawo do zakwestionowania decyzji automatycznej – dodaje Balicki.
Dzięki RODO, które dopuszcza szczegółowe krajowe przepisy, instytucje sektora finansowego mają zyskać prawo do wymieniania się danymi w kontekście przestępstw lub podejrzenia przestępstwa. Choć rozporządzenie wymienia dane o karalności wśród danych wrażliwych, instytucje te będą mogły też pozyskiwać informacje o karalności dotyczące kandydatów do pracy. Firmy będą mogły także przetwarzać dane biometryczne pracownika po uzyskaniu jego zgody i tylko przez okres zatrudnienia.
Polska ustawa o ochronie danych osobowych, mająca wypełnić marginesy dowolności pozostawione przez RODO, jest obecnie na etapie ostatnich uzgodnień. Prawdopodobnie w styczniu projekt będzie miał ostateczny kształt, lecz kiedy zostanie uchwalony – nie wiadomo. Polska ustawa zmieni ok. 130 ustaw sektorowych. Choć wszystkie instytucje, którym powierzamy dane, już dawno zabrały się do pracy, im później polskie prawo zostanie ogłoszone, tym bardziej wszystko będą robić na ostatnią chwilę.
Dotyczy to także instytucji rządowych. Mają one ponad 300 baz danych, a odpowiedzialność za ich ochronę jest rozproszona. Trwa teraz typowanie rejestrów referencyjnych, bo na przykład ok. osiem tysięcy Polaków ma w nich po dwie płci.
Nowe prawo otwiera ogromne szanse dla sektora usług finansowych i szeroko rozumianych dóbr konsumpcyjnych dzięki biometrii, możliwości profilowania i analizy danych. Bankom umożliwia poszukiwanie i wprowadzanie nowych modeli oceny ryzyka konsumentów, prócz tradycyjnych modeli scoringowych. Zgodnie z osobnymi wytycznymi KNF dotyczącymi wyboru dostawców chmurowych pozwala na przetwarzanie danych osobowych w chmurze. Przetwarzanie i wykorzystywanie danych znajduje dzięki RODO twardy grunt prawny.
– Dane behawioralne klientów pomagają określić np. gdzie najczęściej chodzą na zakupy, do jakich krajów podróżują, sprawdzić, czy są osobami poruszającymi się w mniej więcej tej samej lokalizacji i dopasować do każdego klienta jego profil ryzyka. Każda transakcja klienta tworzy unikalne połączenie między jej stronami, relację, która może tworzyć nowy kontekst analityczny – mówi Łukasz Huńka, dyrektor Biura Ryzyka Kredytowego Klienta MŚP w PKO BP.
Nakazuje jednak bezwzględne usunięcie danych wrażliwych, gdy na ich przetwarzanie nie ma zgody.
– Niszczenie danych to bardzo ważna decyzja. W głowie mamy tysiące możliwości, kiedy do nich będziemy musieli wrócić – podkreśla Agnieszka Wieczorek-Nowak.
Brak jednoznacznych zakazów i nakazów oraz rozbieżności powodują powstawanie kodeksów dobrych praktyk. Własny przygotowuje Związek Banków Polskich.
– Będzie to rodzaj przewodnika dla branży, zobowiązujący i mający konsekwencje prawne (…). Kodeks jest dość szczegółowy. Zapewniamy jednak spójność i pewność środowisku wypełniającemu jego postanowienia – mówi Tadeusz Białek, dyrektor zespołu prawno-legislacyjnego w ZBP.
RODO stara się godzić wartości związane z zachowaniem prywatności i potrzeby biznesu w gospodarce cyfrowej. Dopiero jednak wtedy, gdy analityka danych, będąca wciąż w fazie raczkowania, pokaże pełnię swoich możliwości, okaże się, czy wartości te zostały wyważone umiejętnie.
W styczniu 2020 roku Wielka Brytania formalnie opuściła Unię Europejską. Oczekiwane korzyści z brexitu, poza odzyskaniem suwerenności w zakresie kształtowania prawa i zewnętrznych relacji gospodarczych, jednak się nie zmaterializowały. Widoczny jest natomiast spadek wydajności i konkurencyjności brytyjskiej gospodarki, co wpływa także na kondycję rynku pracy.
