Cel tego działania jest prosty – ujednolicenie zasad ochrony danych osobowych na terenie całej UE. Czego powinien obawiać się biznes i co ta zmiana oznacza w praktyce?
Czytaj także: mytaxi match – w Warszawie rusza współdzielenie przejazdów taksówką
Przejrzystość i spójność danych osobowych
Podstawowe zmiany, jakie wprowadza rozporządzenie dotyczą:
-
Prywatności – osoby fizyczne będą miały prawo do dostępu do swoich danych, w tym uzyskania ich kopii, i poprawy błędów, które te informacje mogą zawierać, usunięcia danych osobowych, które są w posiadaniu konkretnej firmy, ale także wyrażenia sprzeciwu odnośnie do sposobu przetwarzania danych a nawet prawo do ich przeniesienia.
-
Kontroli i powiadamiania – regulacja nakłada na firmy zbierające dane rygorystyczne wymogi dotyczące m.in. obowiązku powiadamiania o naruszeniu dostępu do informacji (zarówno osób, których dane dotyczą, jak i organu nadzoru), a także odpowiedniego formułowania zgody na przetwarzanie danych osobowych (zapytanie o zgodę musi być przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem oraz musi zawierać wyraźną informację o możliwości wycofania zgody; naruszenie tych wymogów spowoduje, że zgoda nie będzie wiążąca i nie będzie mogła stanowić podstawy przetwarzania danych). Firmy stają także przed obowiązkiem utrzymania odpowiedniego poziomu poufności i ewidencjonowania przetwarzanych informacji.
-
Przejrzystości zasad – zarówno w zakresie informowania o zbieraniu danych, jak również ich przetwarzania, przechowywania czy usuwania. Ujednolicenie europejskiego prawa w zakresie ochrony danych to duże ułatwienie. Do tej pory firmy musiały borykać się z aż 28 różnymi zasadami dotyczącymi prywatności. Rozporządzenie ujednolica tę mozaikę i tworzy jedną, spójną regulację.
-
Edukacji i inwestycji – rozporządzenie obliguje firmy do przyjęcia nowych procedur i procesów, mających na celu uzyskanie większej kontroli nad posiadaną dokumentacją. Konieczne będą szkolenia pracowników i osób odpowiadających za ochronę danych osobowych – firmy będą zobowiązane przedstawić klarowne zasady polityki ochrony prywatności, a te, które zatrudniają powyżej 250 osób dodatkowo będą zobowiązane do powołania Inspektorów Ochrony Danych.
Nowe definicje, stare potrzeby
Cyfrowa transformacja spowodowała sytuację, w której większość firm dążących do uzyskania przewagi rynkowej zauważyła potencjał drzemiący w Big Data i zaczęła gromadzić dane. Oczywiście samo zbieranie informacji to tylko fragment recepty na sukces. Sztuką jest odpowiednie ich łączenie, wyciąganie wniosków a także skuteczna analiza. Według raportu Economist Intelligence Unit, aż 60 proc. przedsiębiorców, którzy wzięli udział w badaniu, odnotowało wzrost przychodów dzięki wykorzystaniu cyfrowych informacji. Firmy gromadzą oczywiście różne informacje, w zależności od profilu swojej działalności. Mogą to być tzw. 1st party data (np. dane gromadzone w systemach CRM), ale także 2nd – informacje uzyskane np. w wyniku prowadzenia kampanii reklamowych, a nawet 3rd party. W przypadku tych ostatnich mówimy o partnerze, który te informacje dostarczył.
– Nie ulega wątpliwości, że posiadanie odpowiedniej ilości informacji pozwala nie tylko lepiej zrozumieć potrzeby klienta, a często nawet wyprzedzić jego plany zakupu bądź odstąpienia od dalszej współpracy – mówi Michał Grams, prezes zarządu TogetherData.
– W świetle zmieniających się przepisów istotne będzie nie tylko ich odpowiednie analizowanie i szukanie nieoczywistych połączeń, ale także ich odpowiednie i bezpieczne przechowywanie – dodaje Michał Grams.
GDPR zaktualizuje pojęcie danych osobowych
Zmiana, którą zapoczątkuje nowe rozporządzenie, przyniesie aktualizację pojęcia danych osobowych. W myśl nowej definicji będą to wszelkie informacje, które umożliwiają identyfikację osoby, której dotyczą, także adres IP oraz tzw. ciasteczka (cookies), czyli niewielkie informacje wysyłane przez serwisy internetowe odwiedzane przez użytkownika. Po wejściu w życie GDPR informacje te będą musiały być chronione na równi z numerami PESEL, czy NIP.
W praktyce dla biznesu oznacza to m.in. istotną zmianę w zasadach profilowania klientów i wykorzystywania w tym celu danych – szczególnie, gdy wynikiem takiego automatycznego przetwarzania może być ograniczanie dostępu do niektórych usług lub oferowanie usług w innej cenie w zależności od profilu użytkownika. W praktyce uregulowania te mogą mieć np. wpływ na procesy scoringu – zarówno w przypadku udzielania kredytów lub wykrywania fraudów, ale również w przypadku branży ubezpieczeniowej, windykacyjnej czy marketingowej. Zmiana, którą wniesie GDPR spowoduje, że klienci będą mieli prawo do tego, aby nie podlegać automatycznym decyzjom, które opierają się na zautomatyzowanym przetwarzaniu zbieranych o nich informacji.
– Wejście w życie RODO – które w sposób istotny rozszerza zakres informacji podlegających ochronie – sprawi, że firmy opierające swój model biznesowy o Big Data oraz profilowanie będą musiały zwrócić szczególną uwagę na sposób zarządzania i zapewnienie bezpieczeństwa przetwarzanych danych. – twierdzi Paweł Tobiczyk, adwokat współpracujący z kancelarią prawną Maruta Wachta, która specjalizuje się w prawie ochrony danych osobowych i pomaga wielu podmiotom na rynku przygotować się do wdrożenia RODO.
– Zapewnienie bezpieczeństwa danych osobowych będzie wymagało wdrożenia przez przedsiębiorców określonych rozwiązań organizacyjnych i technicznych, w tym dostosowania środowiska IT do nowych wymogów. Co istotne, RODO nie określa twardych wytycznych w tym zakresie – każdy podmiot będzie musiał na własną rękę przeprowadzić analizę ryzyka i dokonać wyboru środków, które zapewnią skuteczną i adekwatną ochronę danych w jego organizacji. Często dokonanie takiej oceny będzie wymagać zaangażowania wyspecjalizowanych doradców zewnętrznych – w szczególności, gdy w grę wchodzą tak skomplikowane i wrażliwe procesy przetwarzania danych jak w przypadku analityki Big Data. – zauważa Paweł Tobiczyk.