Temat numeru: Dane gotowe do wysyłki

BANK 2017/10

Zwiększenie poziomu zabezpieczenia danych osobowych przed wyciekiem i ochrona prywatności osób fizycznych przed nadmierną ingerencją ze strony usługodawców i urzędów to część efektów, jakie ma przynieść wdrożenie ogólnego rozporządzenia o ochronie danych (RODO). Jednym z celów nowego prawa unijnego jest zapewnienie osobom, których dane dotyczą, prawa do pozyskania ich od administratora oraz przekazania wskazanemu podmiotowi.

Jerzy Majka

Określone w art. 20 RODO prawo do przenoszenia danych stanowi istotną nowość w stosunku do dotychczas obowiązujących standardów postępowania z danymi osobowymi. Nałożenie na administratora danych osobowych obowiązku udostępniania tychże informacji na wniosek osoby, której dotyczą „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego” oraz zapewnienie warunków, by dane osób fizycznych mogły być przekazywane na ich żądanie bezpośrednio między administratorami wpisuje się w wizję gospodarki elektronicznej, przyjętą przez wspólnotowego ustawodawcę. Integralnym elementem tej koncepcji jest maksymalna automatyzacja procesów cyfrowych, zapewnienie klientom szerokiego wyboru usługodawcy oraz doprowadzenie do sytuacji, w której zmiana tego ostatniego dokonywać się będzie bez osobistego ich zaangażowania, a jedynie po złożeniu przez nich stosownej dyspozycji.

Jednak w przeciwieństwie do takich rozwiązań, jak zagwarantowane dyrektywą PSD2 prawo do przenoszenia rachunku bankowego, art. 20 RODO umożliwia transfer danych nie tylko do innego przedsiębiorcy. Osoba, której one dotyczą, może zażądać wysłania zasobu informacji zgromadzonych na jej temat np. do organu administracji publicznej bądź też organizacji pozarządowej, a administrator danych ma prawo odmówić wykonania takiego żądania jedynie w sytuacji, kiedy „nie jest to technicznie możliwe” (czyli np. wtedy, kiedy wskazany odbiorca danych nie dysponuje w ogóle możliwością maszynowego ich odczytu lub też wykorzystywany przezeń system teleinformatyczny nie pozwala na odczyt danych zapisanych „w powszechnie używanym formacie”). Z kolei na instytucji otrzymującej dane ciąży obowiązek przyjęcia otrzymanych informacji „bez przeszkód” – rzecz jasna pod warunkiem dopełnienia przez nadawcę wymogu powszechnie używanego formatu danych.

Jaki format jest odpowiedni?

Tak ogólne sformułowanie powinności administratorów danych, co poniekąd stanowi konsekwencję przyjętej podczas tworzenia RODO zasady neutralności technologicznej aktu prawnego, stawia szereg wyzwań przed instytucjami zobligowanymi do uczestnictwa w procesie przenoszenia danych. Z tej przyczyny twórcy rozporządzenia szczególny nacisk położyli na analizę ryzyka związanego z określonymi zachowaniami administratora. Już samo uznanie formatu danych wysyłanych przez bank lub otrzymywanych od podmiotu trzeciego za „powszechnie używany” dalekie jest od jednoznaczności. Rozbieżność w interpretacji tego kluczowego pojęcia przez administratora danych i organ ochrony danych osobowych może tymczasem skutkować uznaniem podjętych przez bank działań za uchybienie obowiązkom wynikającym z RODO, zaś konsekwencją będzie nałożenie na administratora kary pieniężnej w wysokości do 20 mln euro lub 4% rocznych obrotów firmy – zgodnie z na art. 83 ust. 5 pkt b) rozporządzenia. Ryzyko ukarania znacząco zwiększa fakt, iż nowe prawo eliminuje obowiązek wezwania administratora do usunięcia naruszenia przed nałożeniem sankcji.

Warto jednak przypomnieć, iż RODO nie pozostawia zobowiązanych instytucji bezbronnymi wobec szczególnie problematycznych sytuacji. Istotnym wsparciem jest możliwość tworzenia dla poszczególnych branż kodeksów postępowania, pozwalających również na doprecyzowanie pojęć budzących najwięcej wątpliwości i zastrzeżeń. W takowym zbiorze dobrych praktyk powinny się znaleźć kryteria klasyfikacji formatów danych jako „powszechnie stosowanych”, oczywiście z uwzględnieniem specyfiki sektora bankowego. Alternatywne rozwiązanie wskazał dr Maciej Kawecki, zastępca dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji. W wywiadzie udzielonym naszemu miesięcznikowi w czerwcu br. wskazał on na potrzebę stworzenia jednolitego formatu zapisu danych, pozwalającego na ich przenoszenie pomiędzy instytucjami z różnych sektorów.

RODO nie pozostawia zobowiązanych instytucji bezbronnymi wobec szczególnie problematycznych sytuacji. Istotnym wsparciem jest możliwość tworzenia dla poszczególnych branż kodeksów postępowania, pozwalających również na doprecyzowanie pojęć budzących najwięcej wątpliwości i zastrzeżeń.

Przenosząc nie ujawnić know-how

Jednym z najistotniejszych wyzwań związanych z transferem danych do podmiotów trzecich jest takie przygotowanie wychodzących dokumentów, by nie zawierały one żadnych informacji stanowiących tajemnicę przedsiębiorstwa. Nieodpowiednio przygotowane dane dotyczące zaciągania zobowiązań kredytowych przez klienta mogłoby prowadzić do ujawnienia metod scoringowych wykorzystywanych przez bank, z czego bez wątpienia skwapliwie skorzystaliby konkurenci. Z drugiej jednak strony, bezzasadne w opinii organu ochrony danych ograniczenie przenoszonych informacji również może zostać uznane za naruszenie obowiązującego prawa. Aby uniknąć ryzyka w takich sytuacjach, nie wystarczy dochować należytej staranności podczas samego procesowania danych pod kątem wysyłki czy nawet przygotowywania aplikacji do obsługi tego procesu. Potrzeba przyszłego przeniesienia danych dotyczących poszczególnych klientów powinna być uwzględniona już na etapie tworzenia nowych systemów gromadzenia i przetwarzania danych bądź adaptacji dotychczasowych na potrzeby RODO (tzw. zasada protected by design).

– Zanim instytucja zdecyduje się na inwestycje w konkretny produkt związany z nową infrastrukturą zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, w szczególności obrotu danymi osób fizycznych. Pierwszym krokiem powinien być audyt tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia IT, które pozwolą spełnić wymogi stawiane przez regulację, to dopiero kolejny etap przygotowań – przestrzega Marek Najmajer, ekspert Linux Polska.

Z przenoszeniem danych wiąże się jeszcze jedno zadanie, jakie staje przed sektorem biznesu w związku z przyjęciem RODO. Jest nim opanowanie narastającego w imponującym tempie zasobu danych nieustrukturyzowanych. Według szacunków podawanych przez ekspertów, pod koniec obecnej dekady jedynie 10% danych posiadanych przez firmy będzie miało charakter uporządkowany. Jeśli w takowych zasobach znajdą się informacje istotne z punktu widzenia konsumenta, wówczas ich pominięcie w procesie wysyłki danych do podmiotu trzeciego graniczyć będzie z pewnością. Chaos i brak kontroli nad danymi może być również przyczyną innych nieprawidłowości, poczynając od przekroczenia dopuszczalnego czasu przechowywania informacji a kończąc na ryzyku przypadkowego udostępnienia chronionych zasobów osobom trzecim. Inwentaryzacja żywiołu danych nieuporządkowanych powinna być zatem uznana za absolutny priorytet w procesie dostosowywania bankowych systemów do wymagań ogólnego rozporządzenia o ochronie danych osobowych.

Dobrze opracowany proces zarządzania danymi

image

Ewa Pasewicz
wiceprezes zarządu eSecure Sp. z o.o.

Nowe rozporządzenie dotyczące ochrony danych osobowych niesie za sobą wiele wyzwań, szczególnie dlatego, że proces zarządzania tymi danymi powinien być prowadzony tak, aby móc działać prewencyjnie a nie post factum. Dodatkowo liczy się tutaj czas i to nie tylko te 72 godziny, aby zgłosić dany incydent, ale i ten niezbędny do tego, aby odpowiednio monitorować i przeciwdziałać incydentom, by nie doszło do naruszeń. Dla mnie to jest jak gra w szachy – incydent, to jest „szach”, ważne, aby nie doprowadzić do sytuacji „szach-mat”. I tutaj bezpieczeństwo danych osobowych zarządzane na dużą skalę możliwe jest tylko poprzez automatyzację i użycie zaawansowanej technologii. Co ważne, nie chodzi tylko o dane, które już znajdują się w organizacji, ponieważ trzeba też zadbać o dane w kontekście ich przenaszalności. Musimy je szybko zinwentaryzować i monitorować. Należy wiedzieć kto może mieć do nich dostęp i czy sam proces przenoszenia danych nie generuje nam kolejnych ryzyk. Rozporządzenie ma za zadanie usprawnić proces ochrony danych osobowych, kary będą tylko przykrą konsekwencją jeśli tego nie zrobimy. Należy zatem się skupić na identyfikacji tych ryzyk i sprawnemu zarządzeniu nimi, zaś automatyzacja przy użyciu technologii może nam tylko w tym pomoc.

Rola centralnego systemu zarządzania zgodami w procesach przenoszenia danych

image

Wawrzyniec Hyska
dyrektor sektora bankowego, ePoint SA

Centralny system zarządzania zgodami pełni z punktu widzenia RODO istotną rolę w organizacji. Jest to miejsce ewidencjonowania wszelkich zgód wyrażonych przez klientów, a wykorzystywanych w różnych obszarach – np. przez systemy CRM, mailingowe, call-center czy w personalizacji portalu WWW. Takie narzędzie wspiera proces przenoszenia danych zgodny z wymaganiami RODO, np. scenariusz, gdzie przenoszone dane dotyczą właśnie wyrażonych zgód. Według rozporządzenia wszystkie przenoszone dane muszą być odpowiednio ustrukturyzowane oraz opatrzone metadanymi. Stąd też system zgód buduje hierarchiczną strukturę zgód i tzw. podzgód w podziale na akcje marketingowe, kanały kontaktu, status zgody.

W takim centralnym systemie zarządzania przechowuje się pełną historię udzielania, modyfikacji i wycofywania zgód dla każdego użytkownika. System jest w stanie odpowiedzieć – a także udostępnić systemom zewnętrznym w procesie przenoszenia danych – kto, kiedy i na co wyraził zgodę, czy potwierdził ją linkiem z maila, jaki termin ważności ma zgoda. Podobny log audytowy jest prowadzony dla wszelkich operacji przenoszenia danych. Oznacza to, że klient może sprawdzić nie tylko historię swoich operacji na zgodach, ale także kiedy i w jakim zakresie dane były przenoszone.

(współpraca SBW)