GDPR – od regulacji do monetyzacji
Zmiany w przepisach o ochronie danych osobowych – RODO / GDPR
Unia Europejska, chcąc zapewnić obywatelowi większe prawa do ochrony danych osobowych, rozszerzając jednocześnie odpowiedzialność przedsiębiorców, przygotowała Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation, tekst właściwy regulacji: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC). Zgodnie z rozporządzeniem organizacje gromadzące, przechowujące i przetwarzające dane osobowe mają czas na dostosowanie się do nowych wytycznych do 25 maja 2018 roku.
Zmian jest wiele, duża część z nich wymaga redefinicji procesów biznesowych i polityk zarządzania danymi, identyfikacji źródeł przetwarzania danych i inwentaryzacji przepływów danych. Obawy związane z reorganizacją procesów i ze skomplikowaną przebudową systemów IT potęguje brak ściśle określonych przez rozporządzenie wymagań. Ciążący na przedsiębiorcach obowiązek bieżącej samodzielnej analizy i ewaluacji ryzyka ochrony danych osobowych oraz podejmowania związanych z nimi decyzji może wzbudzać niepokój.
Regulacja stanowi podłoże do oferowania organizacjom swoich produktów i usług przez firmy informatyczne, kancelarie prawne i firmy konsultingowe. Oferenci nierzadko używają argumentu potencjalnych kar, które grożą nieprzestrzegającym przepisów. Podkreślają kosztowe ujęcie wdrożenia rozporządzenia, nie wkładając wysiłku w to, by potraktować je jako środek, który pozwoli ulepszyć działanie przedsiębiorstwa. Tymczasem wdrożenie odpowiednich rozwiązań, zapewniających zgodność z wymogami GDPR, może przynieść organizacji wymierne korzyści, w postaci nie tylko działania zgodnie z literą prawa, ale także stworzenia dodatkowej wartości biznesowej.
Prawa jednostki dobrem nadrzędnym
Zanim jednak zajmiemy się wartością dodaną, spójrzmy na główne cele powstania rozporządzenia. GDPR ma przede wszystkim za zadanie rozszerzenie i umocnienie praw jednostki do ochrony danych osobowych. Każda osoba ma mieć prawo do informacji oraz prawo do bycia zapomnianym, co oznacza, że na jej wniosek przedsiębiorca powinien usunąć wszelkie dotyczące jej informacje. Ze wszystkich źródeł. Część procesu usuwania jest dość prosta – łatwo usunąć rekord klienta z bazy CRM, ale już nie tak prosto zlokalizować jego dane, które pojawiły się w korespondencji elektronicznej między dwoma pracownikami banku. Klient będzie miał także prawo do przeniesienia swoich danych, prawo do sprzeciwu i niepodlegania automatycznym decyzjom oraz prawo do ograniczenia przetwarzania. Korzyści wynikające z tych praw dla osoby fizycznej są dość oczywiste, a służą poprawie bezpieczeństwa oraz wspieraniu wolnego przepływu usług. Przetwarzanie danych czy groźba ich utraty przy zmianie usługodawcy nie powinna być elementem wpływającym na decyzję konsumenta.
Z punktu widzenia przedsiębiorcy umożliwienie klientowi korzystania z tych praw jest zadaniem niełatwym, szczególnie w dużych, posiadających ogromną liczbę źródeł danych, organizacjach.
Rejestr danych osobowych nieodzownym elementem przygotowań
Podchodząc do zadania metodycznie, pierwszym krokiem powinno być odkrycie istniejących w przedsiębiorstwie źródeł danych, a następnie ich skatalogowanie. Źródła należy przeszukać pod kątem zawierania danych osobowych i danych wrażliwych. Jeśli uda się to osiągnąć, przedsiębiorca uzyska rejestr danych osobowych, centralną informację o tym, gdzie i jakie dane wrażliwe przechowuje i skąd należy je usunąć.
Rejestr danych osobowych umożliwi klientowi korzystanie z nadanych mu przez rozporządzenie praw. Bez takiego rejestru ich wykonanie wydaje się niemożliwe. Rozporządzenie dopuszcza niewykonalność spełnienia oczekiwań klienta w zakresie udostępniania mu informacji o przetwarzaniu danych osobowych. Należy wtedy jednak udowodnić, że dołożono wszelkich starań i jest to „technicznie niemożliwe”, żeby dane udostępnić. Wydaje się jednak, że udowodnienie jest równie, jeśli nie bardziej, skomplikowane, niż samo udostępnienie. Szczególnie, że stworzenie i okresowe uaktualnianie rejestru jest technicznie możliwe.
Innowacyjne narzędzie do tworzenia rejestru danych osobowych
Stworzenie rejestru jest możliwe, nie jest jednak banalne. Firma TUATARA oferuje narzędzie, które zostało zbudowane specjalnie na potrzeby wdrożenia rozporządzenia GDPR. Jego główną przewagą, oprócz możliwości zintegrowania źródeł o dowolnym stopniu skomplikowania, jest funkcjonalność rozpoznawania polskich danych osobowych, bez względu na ich formę i miejsce występowania.
Jest to możliwe dzięki zaawansowanych technikom Natural Language Processing oraz modelom Machine Learning, które leżą u podstaw rozwiązania i zostały przygotowane z myślą o krajowych organizacjach. To z kolei sprawia, że narzędzie jest pierwszym tego typu rozwiązaniem na polskim rynku i pozwala na stworzenie rejestru danych osobowych koniecznego do prawidłowego wdrożenia rozporządzenia GDPR.
Dodatkowa wartość ze zgodności z rozporządzeniem
Wyobraźmy sobie, że rejestr danych osobowych w przedsiębiorstwie został stworzony. Jest kompendium wiedzy o istnieniu danych osobowych i wrażliwych w całej organizacji. Zawiera informacje ze źródeł strukturalnych – z baz danych, aplikacji, danych archiwalnych czy systemów obsługi klienta, ale także ze źródeł niestrukturalnych – chatów, emaili, transkrypcji rozmów call center, social mediów. Połączenie wysiłków zapewnienia jednostce przysługujących jej praw do ochrony danych osobowych przy jednoczesnym uporządkowaniu danych wewnątrz przedsiębiorstwa może przynieść realne korzyści – optymalizację procesów operacyjnych, zmniejszenie ryzyka operacyjnego oraz poprawę obsługi klienta.
GDPR: od regulacji do monetyzacji – konferencja
W trójstronnym porozumieniu z firmą IBM oraz kancelarią Gawronski & Partners TUATARA opracowała koncepcję pozwalającą spojrzeć na GDPR z perspektywy korzyści dla organizacji. Uzyskana przez nas synergia pomiędzy obowiązkiem ochrony danych osobowych a ich przetwarzaniem pozwala na kreowanie dodatkowej wartości biznesowej i poprawę zadowolenia klientów.
Z przyjemnością podzielimy się z Państwem swoją wiedzą i doświadczeniem, przedstawimy stworzoną przez nas koncepcję oraz zaprezentujemy trzy realne przypadki wykorzystania wdrożenia rozwiązań GDPR dla uzyskania dodatkowej wartości biznesowej w sektorze bankowym.
W panelu dyskusyjnym, który odbędzie się w trakcie konferencji, weźmie udział dr Maciej Kawecki, Zastępca Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji oraz autorytet w dziedzinie ochrony danych osobowych w kontekście cyfryzacji.
Więcej o konferencji: https://www.tuatara.pl/gdpr
Jeśli chcą Państwo wziąć udział, zachęcamy do kontaktu pod adresem e-mail: marketing@tuatara.pl
GDPR