RODO a zarządzenie wierzytelnościami: jak firmy radzą sobie z ochroną danych?
Pierwszą pozytywną zmianą, jaką przyniósł rok obowiązywania RODO, jest zwrócenie uwagi społeczeństwa na kwestię potrzeby ochrony danych osobowych. W ciągu ostatnich dwunastu miesięcy 95 tys. osób wniosło oficjalne skargi dotyczące naruszenia ich danych. Ochrona danych osobowych stała się jednym z kolejnych podstawowych praw każdego człowieka. Ten problem nigdy wcześniej nie był tak istotny jak właśnie teraz, kiedy znaczna część naszego życia toczy się w sieci. A jak funkcjonowanie i efektywność regulacji oceniają przedsiębiorcy?
Każda firma, która ma do czynienia z danymi osobowymi (gromadzi je, przetwarza, udostępnia), jest zobowiązana do przestrzegania RODO. To wiąże się nie tylko z wdrożeniem np. odpowiednich rozwiązań informatycznych, ale w niektórych przypadkach z głębszymi zmianami w działaniu firmy. Funkcjonują jednak na rynku firmy czy nawet całe branże, jak np. branża zarządzania wierzytelnościami, których kwestia ochrony danych osobowych dotyczy w szczególny sposób. Co na temat pierwszego roku obowiązywania RODO mają do powiedzenia jej przedstawiciele?
Kary nie takie straszne…
Według założeń RODO za rażące złamanie postanowień rozporządzenia na przedsiębiorstwa mogą być nakładane kary w wysokości nawet do 20 mln euro lub 4 proc. rocznych, globalnych dochodów. Wydaje się, że to właśnie sankcje finansowe budziły na początku największe kontrowersje. Czy jednak było się czego obawiać?
– Można wymienić przykłady firm, które otrzymały wysokie kary finansowe za uchybienia w respektowaniu RODO. Jednak, gdy przyjrzymy się poszczególnym decyzjom w takich sprawach, okazuje się, że kary nie są nakładane w związku z nieumiejętnym przetwarzaniem danych lub niedostosowania infrastruktury IT firmy do wymogów regulacji. To dobra informacja, bo jak się wydaje, przedsiębiorcy także w Polsce, obawiali się tych kwestii najbardziej. W naszym kraju także znajdziemy podobne przypadki. Na warszawską spółkę została nałożona kara w wysokości prawie1 mln zł, ale nie dlatego, że dopuściła do narażenia bezpieczeństwa gromadzonych danych. Firma nie poinformowała wszystkich swoich klientów o przetwarzaniu udostępnianych przez nich informacji. Tłumaczyła ten fakt koniecznością wykonania „niewspółmiernie dużego wysiłku” w tym kierunku – mówi zaznacza Piotr Badowski, Prezes Polskiego Związku Zarządzania Wierzytelnościami (PZZW).
… ale pojawiły się nowe wątpliwości
A co w przypadku, kiedy firma staje się administratorem danych osobowych mimowolnie? To scenariusz nieprzewidziany w zapisach rozporządzenia RODO, który nierzadko spotyka firmy windykacyjne.
– Podczas rozmowy telefonicznej z pracownikiem firmy windykacyjnej, osoba zadłużona może przekazać tzw. wrażliwe dane, np. informacje o swojej sytuacji życiowej, wpływające na trudność z regularnym spłacaniem zaciągniętych zobowiązań. Pojawia się wtedy pytanie o to, co zrobić z takimi danymi? Wyraźnych odpowiedzi na te pytania nie znajdziemy w rozporządzeniu RODO – stwierdza dr Jan Prasałek, RK RODO.
Z pomocą mogą tu przyjść materiały informacyjne, wydawane przez Ministerstwo Cyfryzacji. – W wydanym przez Ministerstwo Cyfryzacji poradniku dla sektora FinTech wskazano, że nie ma obowiązku usunięcia danych w przypadku, gdy zostały one przekazane administratorowi bez wiedzy i sygnalizowanej potrzeby przekazania takich danych. To tzw. „dane niechciane”, które mogą być przetwarzane w ograniczonym zakresie i przy zachowaniu odpowiednich zabezpieczeń tak długo, jak z przyczyn technicznych nie jest możliwe ich usunięcie – np. z kopii zapasowych nagrań czy pisma z żądaniem klienta i jego innymi danymi. – dodaje dr Jan Prasałek, RK RODO
Konieczność wyeliminowania niepotrzebnych błędów
Przedstawiciele branży zarządzania wierzytelnościami obecni na II Śniadaniu Technologicznym, organizowanym przez PZZW, na którym jednym z głównych poruszanych tematów była pierwsza rocznica obowiązywania RODO, zgodnie przyznali, że rozporządzenie w wersji podstawowej jest doskonale znane przez polskich przedsiębiorców i jest przestrzegane. Dopiero teraz na światło dzienne wychodzą pewne nieścisłości i bardziej szczegółowe zagadnienia, o których nie pomyślano wcześniej, a które są problematyczne dla przedsiębiorców, którzy są administratorami, bądź procesorami danych osobowych. Dlatego rozporządzenie RODO wymaga uzupełnień.
Jak zaznacza Piotr Gajda, Intrum, pierwszy rok obowiązywania RODO pokazał, że przed polskimi przedsiębiorcami czeka jedno bardzo ważne wyzwanie. Nie chodzi o wdrażanie w firmach kolejnych procedur czy rozwiązań IT, które mają jeszcze w większym stopniu zwiększyć bezpieczeństwo danych osobowych. – Najbardziej newralgiczny jest czynnik ludzki. Zarówno pod względem technicznym i organizacyjnym przedsiębiorstwa w Polsce są przygotowane do stosowania RODO. Jednak od respektowania tych zasad nie ma wyjątku, co pokazuje chociażby przypadek stołecznej firmy, na którą została nałożona wysoka kara. Jeszcze wyższa została nałożona na lotnisko w Londynie. Jeden z pracowników zgubił pen-drive z danymi. Problem polega na tym, że dane osobowe klientów linii lotniczych w ogóle znalazły się na takim nośniku. Niestety, na takich przypadkach będziemy uczyć się wszyscy – komentuje Piotr Gajda.
Jeżeli chodzi o kary związane z nieprzestrzeganiem RODO, problematyczna okazała się nie tylko ich wysokość, ale również sposób egzekwowania. Urzędnik może zakazać całkowicie przetwarzania danych, do momentu, kiedy kara nie zostanie opłacona. – W przypadku przedsiębiorców, którzy w swojej działalności bazują na przetwarzaniu danych osobowych, może oznaczać to spore problemy finansowe, które w pewnych okolicznościach mogą nawet prowadzić do wycofania firmy z rynku. To się rozmija z pierwotnymi założeniami rozporządzenia – sama procedura związana z nałożeniem kary powinna wskazywać podmiotowi, co robi źle, dać szansę na poprawę, a nie przyczyniać się do popadnięcia w jeszcze większe problemy – Piotr Gajda, Intrum.
Potrzebny dostęp do rejestrów danych osobowych
Zdaniem Piotra Badowskiego, zwrócenie uwagi na potrzebę ochrony danych osobowych, co jest efektem wprowadzenia RODO, przełoży się również na dostrzeżenie znaczenia tego rodzaju informacji dla biznesu. Chodzi przede wszystkim o branżę zarzadzania wierzytelnościami, która pomagając firmom w odzyskiwaniu należności, walczy z zatorami płatniczymi, co ma zbawienny wpływ na gospodarkę.
Aby realizować ten cel, firmy windykacyjne powinny mieć szeroki dostęp do informacji na temat osób zadłużonych, w tym najważniejsze – do ich danych osobowych. Ważne, by te informacje były prawdziwe i miały odzwierciedlenie w rzeczywistości. – Takie dane zapewniają np. urzędy i inne podmioty administracji publicznej. W Polsce wiele tych państwowych rejestrów danych nie jest „ogólnodostępnych”, więc windykatorzy nie mogą zweryfikować posiadanych informacji. Jest to niezwykle ważne w kontekście potwierdzenia tożsamości i danych teleadresowych osób zadłużonych, z którymi się kontaktują. Podmioty z branży posiadające niepełne informacje, muszą obecnie polegać na innych źródłach, często na rejestrach prowadzonych w sposób komercyjny. Błędna identyfikacja osób i zadłużonych podmiotów, może przyczynić się do niezamierzonych błędów w postępowaniach związanych z dochodzeniem wierzytelności, co w konsekwencji nie opłaca się nie tylko wierzycielom, ale także samym zadłużonym. Dlatego branża zarządzania wierzytelnościami postuluje możliwość dostępu do tzw. państwowych baz danych, ale oczywiście w sposób reglamentowany, po spełnieniu odpowiednich wymogów, właśnie po to, by eliminować ryzyko wspomnianych błędów i uchybień w postępowaniach windykacyjnych – zaznacza Piotr Badowski, PZZW.