GDPR/ RODO: jak to się ma do PSD2? 5 najważniejszych zmian w prawie i ich konsekwencje dla banków

Nowa ustawa o ochronie danych osobowych wchodzi w życie już 25 maja 2018. Głównym celem Rozporządzenia o Ochronie Danych Osobowych (inaczej General Data Protection Regulation, w skrócie GDPR) jest ochrona obywateli Unii Europejskiej przed naruszeniem ich prywatności i danych. Kluczowe zasady są nadal zgodne z poprzednią taką ustawą z 1995 roku. Pojawiło się jednak wiele nowości, które mają za zadanie dopasować prawo do dzisiejszej, cyfrowej rzeczywistości.

W dyrektywie pojawiają się na przykład takie terminy, jak minimalizacja danych czy ich pseudonimizacja. Zostają wprowadzone szczegółowe definicje jednostek kontrolnych i nadzorujących czy funkcja Inspektora danych osobowych. Na organy centralne państw członkowskich oraz na przedsiębiorców i wszystkie podmioty, które choćby w minimalnym stopniu przetwarzają dane osobowe, zostało nałożone wiele nowych obowiązków. Dodatkowo, w ustawie przewidziane są wysokie kary za niedostosowanie się. A czasu jest mało.

• Pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą (np. przez zastosowanie numerów). Identyfikacja nie będzie możliwa bez użycia dodatkowych informacji. Te dodatkowe informacje (takie jak np. adres IP, lokalizacja, czy email) muszą być przechowywane osobno i objęte środkami ochronnymi, uniemożliwiającymi ich przypisanie możliwej do zidentyfikowania osobie fizycznej. Pseudonimizacja jest zalecanym w ustawie zabiegiem ochronnym, który pozwoli m. in. na analizowanie zbiorów danych (w postaci np. Big Data) bez ryzyka połączenia ich z informacjami o konkretnej osobie.

• Minimalizacja danych – jedna z zasad dotyczących utrzymywania baz danych osobowych, która mówi, że powinny one być adekwatne i ograniczone tylko do celów, w których są przetwarzane. W praktyce, nie będzie można zbierać i przetwarzać danych w celach innych, niż objętych wyraźną zgodą użytkownika. Dodatkowo, czas przechowywania danych powinien być ograniczony do minimum. O tym, jak długo trwa minimum, zadecyduje indywidualnie administrator.

• Privacy by design – dyrektywa nakłada na wszystkie podmioty, które w jakimkolwiek stopniu będą przetwarzać dane osobowe, obowiązek przekształcenia swoich procesów projektowych. Odtąd, kwestie ochrony prywatności i danych osobowych powinny mieć charakter nadrzędny i stanowić priorytet we wszystkich fazach projektowania produktu, usługi czy systemu.Jednocześnie, dostęp podmiotów zewnętrznych do tych danych powinien być maksymalnie ograniczony. Jeśli weźmiemy to pod uwagę podczas implementacji publicznego API w systemach bankowych, zastosowane rozwiązanie (by design) powinno umożliwić dostęp z zewnątrz tylko do tej części danych, które są objęte wywołaniem API. Nie powinno zatem dawać możliwości przetwarzania żadnych innych danych użytkownika, korzystającego z usług podmiotu wywołującego i przekazującego zgodę tylko na konkretne cele przetwarzania.

• Prawo do bycia zapomnianym – jest jedną z najbardziej dyskusyjnych kwestii w nowej ustawie. Czy jest w ogóle możliwe całkowite wymazanie informacji na nasz temat ze wszystkich istniejących systemów i baz danych? Głosy są tutaj podzielone. W brzmieniu ustawy, prawo do bycia zapomnianym upoważnia osobę, której dane dotyczą, do żądania usunięcia swoich danych osobowych przez ich administratora (np. banku), zaprzestania dalszego ich rozpowszechniania i w konsekwencji do wstrzymania ich przetwarzania przez podmioty zewnętrzne (np. TPP – third party providers, czyli dostawcy usług płatniczych lub innych finansowych, korzystający z publicznego API banku). Podmioty te mają w takim przypadku obowiązek usunąć wszelkie ślady omawianych informacji, w tym łącza, kopie danych lub ich replikacje.Nie może to jednak zapobiec kopiowaniu i ponownemu udostępnianiu w sieci www informacji (obejmujących również dane osobowe), raz ujawnionych publicznie, przez prywatnych użytkowników. Jest to częstym zjawiskiem np. w społecznościowym serwisie video YouTube. Istnieje nawet powiedzenie „Once in the web, forever in the web”, wyrażające pogląd, że aktualnie każda informacja, wprowadzona do sieci, zostanie tam na zawsze. Biorąc pod uwagę rosnącą w ogromnym tempie pojemność światowych serwerów i rozproszonych systemów przechowywania, sytuacja taka wydaje się być prawdopodobnym scenariuszem.Warunki usunięcia swoich danych obejmują przede wszystkim takie informacje, które nie są już istotne dla pierwotnych celów przetwarzania lub zgoda podmiotu danych została wycofana. Co ciekawe, przy rozpatrywaniu wniosków o usunięcie, będzie musiał być brany pod uwagę taki czynnik, jak „interes publiczny” w zakresie dostępności danych. Może to podlegać różnym interpretacjom na poziomie krajowym.

• Prawo do ograniczenia przetwarzania – uzupełnienie poprzedniego prawa, które pozwalać będzie osobom fizycznym na zmniejszenie zakresu przetwarzania ich danych, bez konieczności całkowitego ich usuwania, np. gdy pewne sposoby przetwarzania są użytkownikowi wciąż potrzebne. Tutaj również obowiązuje nadrzędne prawo „interesu publicznego”, więc nie w każdym przypadku dane takie będą usuwane na żądanie.

 Czytaj więcej:  Uwierzytelnianie biometryczne, standardy FIDO i bezpieczeństwo naszych pieniędzy

1. Zwiększony zakres terytorialny przetwarzania danych osobowych

Rozszerzona jurysdykcja RODO będzie mieć teraz zastosowanie do wszystkich podmiotów, przetwarzających dane obywateli Unii Europejskiej. W poprzedniej wersji dyrektywy było to sformułowane niejednoznacznie i odnosiło się do procesowania danych w kontekście organizacji, odpowiedzialnej za ten proces, a która nie zawsze miała siedzibę na terenie UE. W konsekwencji prowadziło to do częstych procesów sądowych o naruszenia prywatności.

GDPR obejmie więc również przetwarzanie danych osobowych obywateli Unii przez administratora lub podmiot przetwarzający, który nie ma siedziby na terenie Unii. Muszą oni dostosować się do regulacji, jeśli przetwarzanie dotyczyć będzie oferowania towarów bądź usług europejskim obywatelom (niezależnie od tego, czy wymagana jest płatność) oraz obejmować monitorowanie ich zachowań, które mają miejsce na terenie EU (np. poprzez analitykę internetową czy kamery przemysłowe). Odnosić się to może np. do reklam i systemów automatyzacji marketingu, śledzących zachowanie użytkowników i na tej podstawie dobierających narzędzia reklamowe. Podmioty, przetwarzające dane w takim zakresie, będą musiały utworzyć swoje przedstawicielstwa na terenie Unii, by spełnić wymogi regulacji.

2. Wysokie kary za naruszenia wytycznych RODO

Przedsiębiorstwa i podmioty, które będą naruszać postanowienia ustawy, mogą zostać ukarane grzywną w wysokości aż do 4% rocznego obrotu globalnego lub 20 milionów euro (w zależności od tego, która wartość jest większa). Jest to maksymalna wysokość grzywny. Może zostać nałożona w przypadku poważnych naruszeń, np. za przetwarzanie danych bez zgody użytkownika.Nawet „chmury” nie będą zwolnione z egzekwowania nowych przepisów. Tysiące firm w kolejnych kilku miesiącach musi zaktualizować regulaminy, przeszkolić kadry, wprowadzić rozporządzenia wewnętrzne i odpowiednie elementy do interfejsów swoich systemów.

RODO szczególnie mocno dotyka branżę e-commerce, gdzie pozyskiwanie i przetwarzanie danych jest nieodłączną częścią procesu zakupu. Promieniuje to na ekosystem powiązanych usług (w tym płatniczych czy kredytowych). Obowiązkiem będzie wskazanie, do czego dokładnie posłużą pozyskiwane informacje. Nie będzie dozwolone użycie jednej zgody do wielu celów.

W tym samym czasie, GDPR zdejmuje z niektórych podmiotów gospodarczych obowiązek zgłaszania baz danych do GIODO (ta polska jednostka zostanie teraz przekształcona w UODO – Urząd Ochrony Danych Osobowych). Co ważne, zbiory danych osobowych wciąż będą musiały zgłaszać firmy, które przetwarzają te informacje na skalę masową. Między innymi banki. Pozostałe firmy będą musiały prowadzić do celów kontrolnych tzw. rejestr czynności przetwarzania, mówiący o tym, jak i w jakim celu dane klientów są przetwarzane.

3. Świadoma zgoda na przetwarzanie danych

Warunki udzielania zgody zostały w ustawie wzmocnione a przedsiębiorstwa nie będą już mogły stosować długich, nieczytelnych warunków zgód, zapisanych małym drukiem gdzieś na dole formularza. Wniosek o wyrażenie zgody na przetwarzanie musi zostać przedstawiony w zrozumiałej i łatwo dostępnej formie, z jasno określonym celem tego przetwarzania, dołączonym do zgody. Zgoda musi być wyraźnie wyrażona poprzez akcję użytkownika (niedozwolone będą automatyczne zaznaczenia w tzw. boksach zgody) i możliwa do odróżnienia od innych elementów procesu (np. transakcyjnego) oraz przedstawiona przy użyciu prostego i zrozumiałego języka. Dodatkowo, użytkownikowi musi być tak samo łatwo wycofać zgodę, jak ją wyrazić.

Co to oznacza dla biznesu? Między innymi, konieczne będzie zapewnienie kanałów komunikacji dla osób, których dane są przez przedsiębiorstwo przetwarzane oraz możliwości szybkiej reakcji na wnioski o usunięcie danych czy ograniczenie ich przetwarzania.

4. Powiadomienie o naruszeniu danych osobowych

Powiadomienie o naruszeniu stanie się obowiązkowe we wszystkich państwach członkowskich, w których może ono spowodować „zagrożenie dla praw i wolności jednostek”. Informacja musi zostać przekazana stosownym organom i podmiotom naruszonych danych w ciągu 72 godzin od chwili, gdy administrator danych dowiedział się o ich naruszeniu (np. wycieku czy kradzieży danych z systemów). Przetwarzające dane osobowe podmioty gospodarcze również są zobowiązane do powiadamiania swoich klientów oraz organy kontrolne „bez zbędnej zwłoki”, po tym jak dowiedzą się o naruszeniu bezpieczeństwa danych.

5. Prawo dostępu do danych osobowych i ich przenoszenia
Częścią nowych, rozszerzonych praw obywateli EU w zakresie ich danych osobowych, jest prawo do uzyskania od administratora danych potwierdzenia, czy ich dane osobowe są przetwarzane, gdzie i w jakim celu. Ponadto administrator ma obowiązek przekazania użytkownikowi na żądanie bezpłatnie kopii danych osobowych w formacie elektronicznym. To duża ewolucja w zakresie przejrzystości danych i wzmocnienie pozycji osób, których te dane dotyczą.

Nie mniej ważnym aspektem ustawy GDPR będzie możliwość przenoszenia swoich danych. Użytkownik będzie mógł wystąpić o przekazanie informacji, wcześniej udostępnionych w „powszechnie używanym i możliwym do odczytu komputerowego formacie” (czyli np. publikacja w Internecie, powiązana z kontem użytkownika) i zyskuje prawo do przekazywania tych danych innemu podmiotowi administracyjnemu.

 Czytaj więcej:  3 kroki do PSD2 – czy Twój bank jest gotowy na zmianę?

Aktualnie, administratorzy danych są zobowiązani do zgłaszania swoich działań w zakresie przetwarzania lokalnym organom kontrolnym. W przypadku przedsiębiorstw międzynarodowych to biurokratyczny koszmar, ponieważ większość państw członkowskich ma różne wymogi w tym zakresie.

Zgodnie z nową regulacją, nie będzie już konieczne składanie do każdego lokalnego organu powiadomień o fakcie i zakresie przetwarzania danych, ani też nie będzie wymogiem uzyskiwanie każdorazowego zatwierdzenia klauzul w umowach. Zamiast tego, pojawią się wewnętrzne procedury, dotyczące przechowywania danych i powiązanej z nimi dokumentacji.

Gdy – w ramach przetwarzania danych osobowych – administratorzy i inne podmioty, przetwarzające te dane na dużą skalę, korzystają z regularnego i systematycznego monitorowania użytkowników, czy przetwarzają kategorie danych specjalnych lub danych dotyczących wyroków skazujących i przestępstw, muszą one powołać wewnętrznych Inspektorów ochrony danych. Dotyczyć to będzie min. dużych banków.

Inspektor ma stać się pewnego rodzaju łącznikiem podmiotu gospodarczego z organami kontrolnymi, powoływanymi na poziomie lokalnym i centralnym (unijnym). Będzie w imieniu konsumentów dbał o odpowiednią ochronę ich danych w swojej organizacji i stał na straży właściwego, bezpiecznego i zgodnego z prawem ich przetwarzania.

Administrator danych osobowych powinien zastosować odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z dyrektywą i aby móc wykazać zgodność na każde żądanie organów nadzorczych. Administrator musi uwzględniać charakter, zakres, kontekst i cele przetwarzania danych, oraz każde ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane.

Administrator będzie dokumentować i zgłaszać każdy przypadek naruszenia integralności czy bezpieczeństwa tych danych. Jako potwierdzenie stosowania odpowiednich środków ochronnych, administrator może wykorzystywać zatwierdzone kodeksy postępowania lub oficjalne mechanizmy certyfikacji. Kodeksy wewnętrzne pomogą w doprecyzowaniu stosowania zasad dyrektywy w konkretnych sytuacjach i przypadkach, powiązanych z działalnością danej organizacji. Certyfikaty będą służyć czasowemu potwierdzeniu zdolności administratora do odpowiedniej ochrony danych i mają być docelowo zebrane w rejestrze Europejskiej Rady Ochrony Danych wraz ze znakami jakości, pełniącymi podobną do certyfikatów rolę.

Administrator danych może również współadministrować nimi z drugim podmiotem na mocy wspólnie wypracowanych ustaleń i zakresu odpowiedzialności. Muszą być one w takim przypadku dostępne również też dla osób, których dane są przedmiotem wspólnej administracji (przykładem może być współpraca banku z zewnętrznym dostawcą rozwiązań, służących przetwarzaniu danych klientów banku, takich jak: chmury obliczeniowe, technologie weryfikacyjne czy systemy mailingowe).

Administrator powinien ściśle współpracować i prowadzić konsultacje z niezależnie działającymi organami kontrolnymi, szczególnie w przypadkach uzasadnionych obaw o poprawne wykonywanie obowiązków, wynikających z ustawy. Złamanie przepisów będzie się wiązać z dotkliwymi sankcjami finansowymi lub ograniczającymi działalność biznesową, które sama dyrektywa opisuje jako „odstraszające”.

Powyższe zestawienie tylko dotyka szczegółów tej niezwykle ważnej ustawy. Fakt jej opracowania w świetle wprowadzania innych ważnych dyrektyw konsumenckich (takich jak PSD2) to dowód, że czas na kwestie danych osobowych spojrzeć z należytą powagą. Są one jednymi z najcenniejszych dzisiaj zasobów informacji. Ich nieodpowiednie użycie może spowodować zagrożenie nie tylko mienia, ale również zdrowia i życia. Dyrektywa GDPR/RODO (tutaj oryginalny tekst ustawy), podobnie jak wiele innych regulacji, wchodzących w życie właśnie teraz, to odpowiedź na gwałtowne przemiany całego rynku. GDPR to w istocie niezbędna legislacja, chroniąca podstawowe prawa hiperpołączonego konsumenta i mająca wpływ na poprawną realizację innych dyrektyw.

Już jest! „Odszyfruj RTS” czyli podręcznik standardów technicznych do dyrektywy PSD2.

Pobierz RTS-y „w pigułce” i przyspiesz swoją pracę nad implementacją Dyrektywy.

Jaka będzie najlepsza postawa wobec tylu zmian? Z pewnością taka, która modyfikacje prawa traktuje jako okazję do ulepszenia obecnych, niedoskonałych systemów i procesów. I która zadba, by z należytą starannością otaczać opieką naszych odbiorców i ich sprawy. Jednym słowem, przetrwanie regulacyjnej fali zapewni niezachwiany, strategiczny i pełen entuzjazmu klientocentryzm.