Banki gotowe na nowe przepisy o ochronie danych osobowych RODO?

Banki gotowe na nowe przepisy o ochronie danych osobowych RODO?
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Na rynku pojawiają się kolejne raporty pokazujące, że polskie firmy wciąż nie są gotowe na nowe przepisy o ochronie danych osobowych. Za to banki starannie odrobiły lekcję.

#ArkadiuszJurkiewicz, #PKOBP w ramach #ZBP opracowywane są dobre praktyki dla sektora – co pozwoli uniknąć różnic w interpretacji #RODO przez różne banki

25 maja 2018 r. wejdzie w życie Ogólne Rozporządzenie o Ochronie Danych (RODO, a po angielsku General Data Protection Regulation – GDPR). Przedsiębiorstwa w Polsce powinny się do tego odpowiednio przygotować. Tymczasem z badań przeprowadzonych niedawno przez Trend Micro wynika, że dyrektorzy najwyższego szczebla nie traktują GDPR z należytą powagą, a zapytani o konieczność dostosowania się do nowych regulacji, wykazują nadmierną pewność siebie. Aż 97 proc. dyrektorów ma świadomość, że musi się do dostosować do rozporządzenia GDPR, a 90 proc. zapoznało się z nimi – przy czym 84 proc. jest przekonanych, że dane osobowe w firmie mają zapewniony najwyższy możliwy poziom ochrony.

Z kolei z badań firmy Bakotech, wynika że 37 proc. respondentów po prostu nie wie, czy ich organizacja musi przestrzegać RODO, podczas gdy ponad jedna czwarta (28 proc.) uważa, że ​​ich organizacja nie musi w ogóle ich przestrzegać. Tymczasem zgodnie z kryteriami RODO każda firma przechowująca lub przetwarzająca dane osobowe obywateli UE musi wykazać zgodność. Spośród respondentów, którzy nie wierzą, że prawo ma zastosowanie do ich organizacji, jeden na siedmiu (14 proc.) zbiera dane osobowe od obywateli UE, a 28 proc. respondentów, którzy nie byli pewni zgodności z RODO, również zbiera tego typu informacje. Nie tylko istnieje ogólny brak wiedzy na temat RODO, ale wyniki badania podkreślają również, że firmy błędnie interpretują, które rodzaje danych stanowią wskazanie do przestrzegania przepisów.

 

Awangarda postępu

Na szczęście wydaje się, że ten chaos nie dotyczy sektora bankowego.

– Bank już w tym momencie osiągnął zgodność z wieloma zagadnieniami zawartymi w RODO. Koncentrujemy się na analizie nowych obowiązków i ich wpływu na procesy biznesowe. W ramach branży – bank jest członkiem ZBP i w ramach tego zrzeszenia opracowywane są obecnie dobre praktyki dla sektora – co pozwoli ujednolicić podejście banków do nowych praw i obowiązków jak również uniknąć różnic w interpretacji RODO przez różne banki. Dobre praktyki będą podlegać akceptacji przez regulatora. Bank cały czas dostosowuje infrastrukturę do nowych potrzeb. Tu należy pamiętać, iż cześć wymogów RODO było wcześniej wdrożone w celu zapewnienia zgodności banku z Rekomendacją D KNF czy obecną ustawą o ochronie danych osobowych – informuje Arkadiusz Jurkiewicz, dyrektor biura zabezpieczeń systemowych w PKO Banku Polskim.

Branża, czyli banki zrzeszone w Związku Banków Polskich, opracowuje Kodeks Postępowania, który zostanie przedstawiony GIODO do akceptacji.

– Bank Millennium jest dobrze przygotowany do nadchodzących zmian regulacyjnych. Wiele zmian wprowadzanych przez GDPR jest od wielu lat praktyką w organizacjach przykładających szczególną wagę do ochrony danych osobowych. W sektorze bankowym takim przykładem jest stosowana powszechnie już od jakiegoś czasu koncepcja “prywatności w projektowaniu”. W Banku Millennium wykorzystujemy wysoce elastyczną platformę IT, wspieraną przez modularną, zintegrowaną architekturę, która zapewnia sprawną kontrolę nad całościowym przetwarzaniem danych osobowych, a także względnie szybkie wdrażanie nowych zasad przetwarzania tych danych – potwierdza Adam Mańka, dyrektor Departamentu Rozwoju Aplikacji, Bank Millennium.

 

Długofalowe działania

Zatem jakie czynniki miały wpływ na dobre i wcześniejsze przygotowanie banków do wymagań RODO. Dlaczego jedni mogą, a inni nie potrafią przygotować się do nowych przepisów?

– Z oczywistych przyczyn łatwiej jest tym, którzy wcześniej zaczęli przygotowania. Niezależnie jednak o tego jest kilka czynników, które wpływają na tempo dostosowania do nowej regulacji. Są to między innymi: sposób gromadzenia oraz zakres zgód w zakresie przetwarzania danych osobowych, prawa i obowiązki zawarte w umowach ze stronami trzecimi biorącymi udział w przetwarzaniu danych osobowych, stopień uporządkowania systemów informatycznych oraz kontrola nad danymi na stacjach użytkowników (tak zwany „end user computing”). Przydaje się również uporządkowany i sprawnie działający proces obsługi incydentów dotyczących danych osobowych – wylicza Cezary Piekarski, dyrektor Departamentu Bezpieczeństwa, Bank Millennium.

Więcej o stanie przygotowań polskiej gospodarki do warunków rozporządzenia GDPR w grudniowym numerze miesięcznika finansowego BANK.