Rynek Finansowy: Płynny manewr
Przed 25 maja br. w mediach zaroiło się od informacji o zbliżającym się terminie wprowadzenia rozporządzenia RODO. Wskazywano na szereg zagrożeń, zgłaszano alarmy nieprzygotowania, straszono wysokimi karami. A koszt niezgodności rzeczywiście jest wysoki. Przypomnijmy kolejny już raz, że poważne naruszenie przepisów może skutkować grzywną w wysokości nawet 20 mln euro lub 4% rocznego obrotu – w zależności od tego, która kwota jest wyższa. Minęło pięć miesięcy i – jak dotąd – nie słyszymy o nałożeniu kar na polskie instytucje, choć w innych krajach zdarzają się one. W styczniu 2018 r. brytyjski organ nadzoru w zakresie ochrony danych osobowych, Information Commissioner’s Office (ICO), wymierzył grzywny w wysokości 1,7 mln funtów, co oznacza wzrost aż o 312% w porównaniu z miesięczną średnią w 2017 r.
Najlepiej zabezpieczone
Czy po niemal pół roku obowiązywania RODO można stwierdzić, że wpłynęło ono na rynek finansowy? Piotr Ruszowski, dyrektor sprzedaży i marketingu w Mondial Assistance, uważa, że zarządzenie – gdyby pominąć potężny trud dostosowawczy i wielkie wydatki za tym idące – nie wprowadziło szczególnie istotnych zmian. Instytucje finansowe długo przed RODO były jednymi z najlepiej zabezpieczonych technologicznie przed atakami i wyciekami. Procedury pracy z danymi klienta były bardzo restrykcyjne. Sam konsument zyskał dodatkowe uprawnienia, choćby prawo do zapomnienia swoich danych.
– Rynek zmienił się, ale nie w sposób drastyczny. Sektor finansowy od dawna był szczególnie wyczulony na kwestie ochrony danych osobowych. Nie będzie przesadą stwierdzenie, że był i jest najprawdopodobniej najlepiej przygotowany do wdrożenia RODO. Zwiększyła się liczba obowiązków informacyjnych i regulacyjnych. Konieczne jest też zarządzanie wnioskami podmiotów danych osobowych. W tej ostatniej kwestii po początkowym dość dużym wpływie spraw ilość wniosków i żądań spadła – informuje Marek Pilc, radca prawny w Europ Assistance Polska.
Marcin Rypniewski-Mogiła, menedżer Zespołu CRM w Departamencie Customer Intelligence w Banku Credit Agricole, potwierdza, że po wprowadzeniu RODO rynek bankowy nie przeszedł rewolucji ani poważniejszych zmian, które byłyby widoczne z perspektywy klientów. Banki oczywiście przygotowały się do RODO, robiąc gruntowny przegląd wszystkich procesów, weryfikując zgodność z każdym z paragrafów rozporządzenia. Wymagało to znacznego zaangażowania prawników, analityków biznesowych i systemowych, tak by potwierdzić, że procesy są bezpieczne i zgodne z zarządzeniem. Ale mimo tego całego wysiłku trudno mówić o spektakularnych zmianach w sposobie traktowania danych klientów, ich bezpieczeństwo i ochrona zawsze były dla banków priorytetem.
– Jako banki jesteśmy bardziej transparentni, mówimy otwarcie o rzeczach, które do tej pory wydawały się oczywiste, ale takie nie były z perspektywy klienta. W szczególności przedstawiamy cele przetwarzania danych, kwestie profilowania – wylicza Marcin Rypniewski-Mogiła.
Zyskaliśmy wszyscy
W założeniu na wprowadzeniu RODO powinni zyskać konsumenci, zaś giganci technologiczni – zwłaszcza ci zza oceanu – powinni stracić, a przynajmniej lepiej informować użytkowników, jakie dane wykorzystują, w jaki sposób, czy i kiedy te dany utracili, choćby w wyniku ataku hakerskiego.
Marcin Rypniewski-Mogiła przekonuje, że największym beneficjentem RODO jesteśmy my wszyscy. Możemy nareszcie domagać się tego i skutecznie to egzekwować, by nasze dane przetwarzane były wyłącznie za naszą zgodą i w zakresie, na który świadomie się zdecydujemy i były kasowane, gdy cel – w jakim zostały przekazane – wygaśnie. – Na rozporządzeniu zyskały przede wszystkim osoby fizyczne, ponieważ podmioty gospodarcze muszą być bardziej transparentne i przekazywać otwarcie cel i sposób przetwarzania danych osobowych – potwierdza Liliana Rother-Obrączka, oficer ds. ochrony danych w ING Banku Śląskim.
W kontekście biznesowym na RODO zyskały też firmy, które analizowały rozporządzenie od strony prawnej i technicznej, audytując zgodność z nim, a także firmy szkoleniowe i IT wprowadzające zabezpieczenia i inne zmiany w systemach wykorzystywanych na rynku.
– RODO nie wpłynęło na rynek bankowy, raczej na zasoby ludzkie w firmach, które w dużej mierze zostały przesunięte do obsługi zapytań klientów związanych z danymi osobowymi. Najwięcej spraw dotyczy zaprzestania przetwarzania danych – wiele osób słyszało o nowych uprawnieniach wynikających z zarządzenia, ale nie zna ograniczeń, jakie wynikają z przepisów prawa. Banki mają prawo, ale także i obowiązek przetwarzać dane osobowe nawet do 12 lat po wygaśnięciu umów wcześniej zawartych – zauważa Bartosz Zborowski, dyrektor Departamentu Innowacji i Płatności w Banku Pekao S.A. – Cały szum medialny związany RODO ze względu na wysokość kar, które mogą zostać nałożone na firmy, spowodował zainteresowanie oraz wzrost świadomości polskiego społeczeństwa odnośnie danych osobowych. Niewątpliwie obywatele zyskali na wprowadzeniu rozporządzenia, choć już poprzednia ustawa z 1997 r. w wystarczający sposób chroniła te dane. Społeczeństwo zaczyna sobie zdawać sprawę z tego, jak w dzisiejszych czasach wzrosła wartość danych osobowych i że trzeba je chronić dla własnego bezpieczeństwa – dodaje.
Była taka potrzeba
Czy z tej krótkiej perspektywy można ocenić, czy takie rozporządzenie było potrzebne? Marek Pilc uważa, że z pewnością tak, gdyż od poprzedniej regulacji minęły 23 lata i otoczenie prawne oraz biznesowe uległo radykalnej przemianie. Konieczne było podjęcie próby umożliwienia podmiotom zajmującym się danymi osobowymi odzyskania kontroli nad nimi.
– Z dużą częścią rozwiązań, albo może bardziej z ich interpretacją w Polsce, nie zgadzam się i uważam za nadmierne, np. obowiązek informacyjny, nie wspominając już o skomplikowanym sposobie wdrożenia, do którego żaden mały podmiot nie jest przygotowany. Na wprowadzeniu zyskały jednostki świadome swych praw, gdyż uzyskały w końcu realne narzędzia ich egzekwowania, zwiększyła się też możliwość kontroli nad przetwarzaniem danych. W świecie idealnym powinny też zyskać podmioty, które w sposób profesjonalny i zgodny z rozporządzeniem podchodzą do ochrony danych osobowych. Niestety obawiam się, że ten cel może się nie ziścić – zauważa radca prawny w Europ Assistance Polska.
Marcin Rypniewski-Mogiła sądzi także, że rozporządzenie na pewno było potrzebne. Sektor bankowy nie był, co zresztą można odczytać z lektury RODO, głównym adresatem rozporządzenia. Według menedżera Zespołu CRM w Departamencie Customer Intelligence w Banku Credit Agricole, wszyscy wiemy, że w dobie globalizacji funkcjonuje na rynku wiele firm, które przetwarzają masowo dane osobowe, nie dając osobie, której one dotyczą, możliwości ograniczenia takiego przetwarzania ani żadnej kontroli nad przepływem informacji. Po RODO mamy więcej możliwości egzekwowania od firm tego, by nasze dane były należycie przetwarzane lub by zaprzestać ich przetwarzania i skutecznie je usunąć. Jego obserwacje potwierdza Liliana Rother-Obrączka.
– Rozporządzenie było potrzebne przede wszystkim osobom fizycznym, aby przypomnieć im o potrzebie ochrony danych osobowych w dobie internetu oraz szybkiego postępu technologicznego i globalizacji. Było również potrzebne mniejszym podmiotom gospodarczym (nie bankom), aby uporządkowały swoje działania w zakresie przetwarzania danych osobowych – twierdzi oficer ds. ochrony danych w ING Banku Śląskim.
Dziś trudno mówić o pozytywnych czy negatywnych skutkach RODO. Konsument widzi to oblicze zarządzenia, które sprowadza się do tego, że w każdym serwisie mamy wyskakujące okienka z nieprzyjemnymi w lekturze regulaminami czy tuzinami zgód, jakie zaznaczamy, gdy kupujemy coś w internecie, lub chociażby bareizmami, jakie ustawa wyprodukowała.
– Najwcześniej za rok będziemy mogli sobie odpowiedzieć na pytanie, czy nasze dane są faktycznie lepiej chronione, ich wycieków jest mniej, a duże firmy rzeczywiście nie wykorzystują już ich w sposób inny niż ten, na który się zgodziliśmy lub wydawało nam się, że się zgodziliśmy – podsumowuje Piotr Ruszowski.
Miliardowe wycieki2,6 mld rekordów (wpisów do baz danych) skradzionych w 2300 wyłomach bezpieczeństwa – oto bilans pierwszej połowy 2018 r., upubliczniony w najnowszym raporcie firmy bezpieczeństwa IT Risk Based Security. Chociaż statystyki są lepsze niż w 2017 r., kiedy przy 2439 naruszeniach wyciekło 6 mld rekordów, to wciąż mowa o potężnej ilości źle zabezpieczonych danych, krążących w sieci bez kontroli właścicieli. W 45% narażonych rekordów znajdowały się adresy e-mail, a w 41% również hasła poszkodowanych osób – razem ponad 1 mld kont pocztowych gotowych do przejęcia i złośliwego wykorzystania, np. jako skrzynki spamowe do rozsyłania ransomware i popularnych trojanów bankowych. Osobiste szkody z takiej utraty mogą być jednak bardziej bolesne. Eksperci Xopero przypominają, że razem z dostępem do czyjegoś konta majlowego cyberprzestępca zyskuje też dostęp do całej wirtualnej tożsamości tej osoby, mogąc np. resetować jej hasła praktycznie w każdym portalu i usłudze, do których przypisano feralny adres e-mail. Skąd wyciekały dane w pierwszych miesiącach 2018 r? Wedle autorów raportu najwięcej, bo 40% zidentyfikowanych naruszeń bezpieczeństwa, miało miejsce w sektorze biznesowym, opiece medycznej (8,3%) i administracji rządowej (8,2%). Skąd taka przewaga biznesu? Prawdopodobnie stąd, że najwięcej – bo blisko 48% – tych danych wykradziono, oszukując osoby odpowiedzialne za ich przetwarzanie. Drugą przyczyną mogą być nowe priorytety cyberataków. Od wrażliwych danych pacjentów – cennych do tej pory np. dla autorów ransomware – agresorzy wolą obecnie mniej szczegółowe, za to nieporównanie większe bazy danych podmiotów komercyjnych. Źródło: Xopero Software |