Prywatność Kowalskiego pod specjalnym nadzorem

opublikowano: 20-02-2018, 22:00

Unia wypowiedziała wojnę niekontrolowanym praktykom zbierania o nas informacji. Co na to polskie firmy?

Przedsiębiorcy zbierają, przechowują i analizują dane, które tworzymy jako pracownicy, konsumenci i użytkownicy internetu. Często robią to bez naszej wiedzy i zgody. Prześwietlają różne aspekty życia swoich klientów — od tego, co czytają i oglądają, przez ich zarobki, perspektywy zawodowe, po światopogląd, pasje i sytuację rodzinną. Śledzą aktywność ludzi w danym momencie. Ustalają, z kim się kontaktują i jak sobie wyobrażają idealne wakacje. To nie inwigilacja. Chodzi o informacje, które pozwolą nam dopasować ofertę handlową do potrzeb poszczególnych osób — zapewniają przedsiębiorcy.

W najbliższych latach lawinowo będzie rosnąć liczba cyfrowych danych analizowanych przez biznes. Prawo stawia sprawę jasno: te zbiory treści to nie kapitał firmy, ale także ogromna odpowiedzialność — mówi Martyna Waluśkiewicz, radca prawny w SAP Polska.
Zobacz więcej

OBOWIĄZEK:

W najbliższych latach lawinowo będzie rosnąć liczba cyfrowych danych analizowanych przez biznes. Prawo stawia sprawę jasno: te zbiory treści to nie kapitał firmy, ale także ogromna odpowiedzialność — mówi Martyna Waluśkiewicz, radca prawny w SAP Polska. Marek Wiśniewski

Czyżby? Dane, które gromadzą firmy, są zbyt osobiste i mogą zostać użyte przeciwko nam — ostrzega w książce „Dane i Goliat” Bruce Schneier, ekspert od bezpieczeństwa cyfrowego. Jego zdaniem, banki, towarzystwa ubezpieczeniowe i agencje turystyczne wiedzą o nas stanowczo za dużo. Przypomina eksperyment, który prowadzono na Uniwersytecie Stanforda: 500 wolontariuszy zgodziło się na rejestrowanie przez kilka miesięcy, do kogo dzwonią.

To wystarczyło naukowcom, by odkryć ich sekrety. Przykład: jeden z mężczyzn w ciągu trzech tygodni kontaktował się ze sklepem wyposażenia wnętrz, ślusarzem i sprzedawcą systemów bezglebowej uprawy roślin na pożywkach wodnych. Dla badaczy było jasne, że to domowy hodowca marihuany. Pewna kobieta odbyła długą poranną rozmowę z siostrą, a po dwóch dniach skontaktowała się z ośrodkiem planowania rodziny. Dwa tygodnie później zatelefonowała kilka razy pod ten sam numer, a miesiąc później wykonała ostatnie połączenie. Wniosek: uczestniczka dokonała aborcji.

Przełom majowy

Podejście przedsiębiorców do naszej prywatności powinno się zmienić — 25 maja zacznie ich obowiązywać unijne Rozporządzenie o Ochronie Danych Osobowych (RODO). — Szczególnej ochronie i kontroli będą podlegać: imiona i nazwiska, PESEL, adresy e-mailowe, numery telefoniczne i adresy IP, zdjęcia, transakcje, CV, a także dane geolokalizacyjne gromadzone np. w aplikacjach instalowanych w samochodach flotowych, urządzeniach nawigacyjnych i telefonach oraz dane pozyskiwane w wyniku tzw. profilowania — wymienia Martyna Waluśkiewicz, radca prawny w SAP Polska.

Sęk w tym, że w Polsce tylko 13 proc. menedżerów wie, kiedy RODO zacznie obowiązywać — wynika z badania Ipsos zleconego przez Microsoft. A według raportu Deloitte’a, zaledwie 15 proc. firm w regionie EMEA (Europa, Bliski Wschód, Afryka) zdąży się przygotować na wejście w życie nowych regulacji. — RODO wymaga złożonych działań, nie tylko technologicznych, których zaniechanie może skończyć się dotkliwymi karami. Dlatego UE dała przedsiębiorcom długi czas na dostosowanie swojej działalności do nowych przepisów. Wielu jednak zbyt długo zwlekało ze zmianami — ocenia Dominika Kufel, menedżer ds. jakości i bezpieczeństwa w itelligence. Ale znajduje dwie okoliczności łagodzące. Po pierwsze — ochrona danych osobowych to skomplikowana dziedzina, co może demotywować szefów. Po drugie, zapisy pozostawiają pole do interpretacji i nie wskazują bezpośrednio konkretnych narzędzi i rozwiązań.

Ochrona ochronie nierówna

Martyna Waluśkiewicz stwierdza wprost, że zmiany mogą przyprawić biznesowych decydentów o zawrót głowy. Obejmują one wiele działań — jak wzmocnienie zabezpieczeń, zakup lepszej analityki, umiejętne podejście do zarządzania ryzykiem, a także monitoring zachowań pracowników w sieci i szkolenia. Dodaje, że zakres prac adaptacyjnych zależy od wielkości i cyfrowej dojrzałości przedsiębiorstwa.

— Im bardziej rozbudowane środowisko technologiczne, tym więcej potrzeba inwestycji i zaangażowania ludzi. To oznacza, że korporacje stoją przed trudniejszym zadaniem niż małe i średnie firmy. Z drugiej strony duże spółki od dawna wdrażają systemy bezpieczeństwa IT, co w przypadku podmiotów z sektora MSP wcale nie jest regułą — część biznesowej drobnicy dopiero zaczyna myśleć o nadrabianiu zaległości w teleinformatyce. Zmiany czekają jednak wszystkich — argumentuje prawniczka z SAP.

Bez paniki!

Natomiast menedżerka itelligence uważa, że w lepszej sytuacji są dostawcy outsourcingu IT i data center. Nie mogliby zarządzać systemami i danymi swoich klientów, gdyby nie prowadzone od lat wdrożenia pod hasłem IT security. Są to wielopoziomowe systemy zabezpieczeń — od fizycznych do kompleksowych procedur dotyczących zapobiegania incydentom, monitorowania i reakcji na wykryte podatności.

— Powiedzenie szewc bez butów chodzi z pewnością nie pasuje do naszej branży. Pomagamy innym przedsiębiorstwom chronić dane, przez co jesteśmy wyczuleni na tym punkcie. W przypadku centrów danych dodatkowe działania związane z RODO będą polegały na doskonaleniu procesów — twierdzi Dominika Kufel. Czy RODO trzeba się bać? To zależy. Jeśli zapisy będą rozumiane zbyt dosłownie, są powody do niepokoju.

— Wyobraźmy sobie, że firma przechowuje na dyskach setki CV i tylko w jednym nie ma klauzuli zgody na przetwarzanie danych. Nieważne, czy osoba, która wysłała ten życiorys, zostanie zatrudniona. Firma Przedsiębiorstwo może spotkać się z zarzutem złamania przepisów. Ale wierzę w ludzki rozsądek i w to, że sankcje w maksymalnym wymiarze będą nakładane tylko w sytuacjach szczególnie niebezpiecznych — mówi Martyna Waluśkiewicz.

Przypomina, że RODO nie jest żadną rewolucją w stosunku do obecnych regulacji. Najważniejsza nowość: klient może zażądać od przedsiębiorcy, by „zapomniał” jego dane. Wywiązanie się z tego obowiązku będzie w wielu przypadkach rodziło problemy prawne, organizacyjne i techniczne. Kolejne wyzwanie: w razie wycieku lub kradzieży danych osobowych spółka będzie miała tylko 72 godziny na poinformowanie o incydencie. Dotyczy to zarówno wielkiej sieci handlowej, obsługującej miliony klientów, jak i małego sklepu internetowego, „gubiącego” informacje przez błąd pracownika. Zasadnicza zmiana to możliwość skuteczniejszego egzekwowania ochrony danych osobowych.

— Wiele firm nie jest w pełni gotowych na RODO, ale to nie znaczy, że lekceważą naszą prywatność. Być może dopiero z czasem uda się im całkowicie sprostać wymogom regulacji UE. Niemniej już niebawem zawiśnie nad nimi ryzyko kar. Oby nie spełniły się czarne scenariusze — zaznacza Martyna Waluśkiewicz. Optymistką jest Dominika Kufel, która uważa, że nie ma sensu płakać nad straconym czasem. Lepiej zakasać rękawy. A jeśli zmiany przerastają firmę, trzeba zwrócić się do zaufanego partnera IT. Dzięki niemu prace — jak przegląd wymogów RODO, analiza ryzyka, audyt procesów, polityk i procedur zbierania danych — od razu nabiorą tempa.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Mirosław Konkel

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Prywatność Kowalskiego pod specjalnym nadzorem