Nadciąga RODO. Co to oznacza dla Twojej firmy? [WYWIAD]
Magdalena Parys

25 maja 2018 r. wejdzie w życie unijne rozporządzenie dotyczące ochrony danych osobowych. Co to oznacza dla konsumentów, jak firmy powinny przygotować się na zmiany i co im grozi, jeśli tego nie zrobią – wyjaśnia Bartosz Berestecki, członek zarządu PayU

Rozporządzenie Ogólne o Ochronie Danych Osobowych to efekt czterech lat pracy unijnych specjalistów, którzy podjęli trudną próbę ujednolicenia i unowocześnienia przepisów dotyczących ochrony danych osobowych dla wszystkich 28 państw członkowskich (aktualnie obowiązujące przepisy pochodzą z 1995 roku). Jest ono „technologicznie neutralne”, czyli nie zawiera żadnych wytycznych, jak konkretnie należy zabezpieczyć dane. Wszystko zależy od przedsiębiorców. Co może być zarówno plusem, jak i minusem...

RODO zakłada m.in. zwiększenie możliwości kontrolowania przez konsumentów, co dzieje się z ich danymi osobowymi. Zyskają oni m.in. prawo do bycia zapomnianym – na ich życzenie administrator danych będzie musiał przestać je przetwarzać. Będą mogli również wyrazić sprzeciw wobec profilowania zwykłego, czyli wykorzystywania ich danych przy targetowaniu i reklamach kontekstowych. Natomiast każda zgoda konsumenta na przetwarzanie danych osobowych będzie musiała być jawna, świadoma, dobrowolna i potwierdzona. A to wszystko oznacza mnóstwo zmian dla przedsiębiorców.

Więcej o RODO dowiesz się z artykułu: RODO: Rewolucja w ochronie danych osobowych (i w Twojej firmie)

O tym, co konkretnie RODO oznacza dla firm i konsumentów, jak należy przygotować się do zmian, jak może w praktyce wyglądać wejście w życie rozporządzenia, wyjaśnia Bartosz Berestecki, członek zarządu PayU, w rozmowie z Łukaszem Grassem, redaktorem naczelnym Business Insider Polska (cały odcinek programu Na czasie możecie obejrzeć TUTAJ). A poniżej zapis najważniejszych fragmentów tej rozmowy:

Łukasz Grass, Business Insider Polska: Lada chwila wejdą w życie unijne regulacje dotyczące ochrony danych osobowych. Z czym się wiąże RODO?

Bartosz Berestecki, PayU: Możemy  rozpatrywać rozporządzenie w kilku aspektach: zarówno pod względem tego, w jaki sposób dotknie konsumenta, szeregowego obywatela, ale też w jaki sposób dotknie firmy, które przetwarzają dane osobowe. Jeśli chodzi o konsumentów, możemy nowe regulacje oceniać bardzo pozytywnie. Po pierwsze: RODO nakłada na wszystkie podmioty przetwarzające dane osobowe bardzo wysokie standardy technologiczne, które mają na celu zapewnienie bezpieczeństwa tych danych. Wniosek? Każdy konsument będzie mógł czuć się bardziej bezpieczny. Po drugie: RODO daje konsumentom więcej praw. Będą mogli żądać od podmiotów przetwarzających nasze dane informacji, w jaki sposób to robią, gdzie je przetwarzają, a także aby je usunęli. Wreszcie po trzecie: powstanie nowy organ, - w naszym kraju będzie to GIODO w nowej odsłonie – który uzyska znacznie szersze kompetencje, większy budżet i zasoby, aby egzekwować przestrzeganie praw konsumentów.

Zastanawiam się, ilu konsumentów będzie korzystać z prawa do bycia zapomnianym. Chciałbym, żebyśmy prześledzili ten zapis na przykładzie Pana firmy. Załóżmy, że jestem waszym klientem i też mam też swoich klientów.

PayU to instytucja płatnicza i naszym bezpośrednim klientem są sklepy internetowe. Nasze działania można pokazać na przykładzie sklepu, w którym dokonujemy codziennych zakupów – nie internetowego, tylko stacjonarnego. Aby taki sklep mógł przyjąć płatność kartą, musi posiadać terminal. W internecie tym terminalem jest PayU. Zapewniamy sklepom internetowym taki wirtualny terminal. W związku z tym, korzystając ze sklepu internetowego, płaci Pan swoją kartą i przekazuje dane osobowe nie tylko sklepowi internetowemu, ale również PayU. Dzięki temu PayU może dokonać zapłaty na rachunek – mówiąc językiem branżowym, przeprocesować transakcję płatniczą na rachunek sklepu.

I ja chciałbym zostać zapomniany. Bo dokonałem transakcji raz i więcej dany sklep mi się nie przyda.

Tutaj pojawia się istotny wątek, bo w procesie przetwarzania danych osobowych występuje cały łańcuch zgód i podmiotów. Dla każdego z nich podstawa do przetwarzania danych może być inna. W związku z tym, to od Pana zależy, który podmiot powinien o Panu zapomnieć. Czy powinny to być wszystkie, czy tylko niektóre z nich. Może Pan dojść do wniosku, że akurat w tym sklepie internetowym dokonał zakupu tylko jeden raz i nie zamierza robić tego ponownie, ale już z metod płatniczych PayU chciałby pan korzystać w dalszym ciągu, płacąc w ten sposób w innych sklepach. Dlatego jest to bardziej skomplikowane. Chcąc być zapomnianym we wszystkich tych podmiotach, należałoby wystąpić do każdego z nich z wnioskiem o usunięcie danych osobowych.

Ile to roboty…

To prawda, ale musimy pamiętać o jednej rzeczy: RODO nakłada na przedsiębiorców bardzo szczegółowe obowiązki, aby w kompleksowy sposób traktowali prośby i żądania klientów o usunięcie. W związku z tym, wydaje mi się, że w niedalekiej przyszłości dojdziemy do takiej praktyki, że każdy e-mail czy telefon, który zostanie nagrany i w którym zostanie jasno wyrażone żądanie, będzie musiał być potraktowany w sposób poważny.

Właśnie..jakiego narzędzia będę musiał użyć, żeby poprosić was o bycie zapomnianym? E-maila, telefonu?

Tutaj potrzebne jest wypracowanie jakiejś praktyki. W mojej ocenie na każdą prośbę, która zostanie w jakikolwiek sposób utrwalona, trzeba będzie odpowiednio zareagować. Wszystkie firmy, które posiadają call center i kontaktują się z klientami przez telefon, mają obowiązek nagrywania tych rozmów. W warunkach obowiązywania RODO trudno sobie wyobrazić, żeby firma mogła zignorować prośbę tylko dlatego, że została złożona telefonicznie.

Macie 72 godziny na zgłoszenie wycieku danych. Regulator ma w ręku niezły bat.

To też zależy od skali zaawansowania danego przedsiębiorstwa. My nie możemy sobie pozwolić na żaden błąd w obszarze bezpieczeństwa danych. Dla nas jest to chyba najcenniejsza rzecz, jaką mamy: dane naszych klientów i ich zaufanie. Z związku z tym stosujemy bardzo zaawansowane metody bezpieczeństwa. W naszym przypadku te 72 godziny to jest dużo. Monitorujemy na bieżąco cały przepływ informacji, dlatego gdyby zdarzył się incydent, od razu byśmy o nim wiedzieli. Moglibyśmy go zaraportować w ciągu 24 godzin, a nie 72.

Regulator nakłada dosyć wysokie kary. 20 mln euro może otrzymać firma, która nie przestrzega regulacji,

To prawda, jest to istotne zwiększenie sankcji za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych. Ale warto podkreślić jedną rzecz. RODO jest rozporządzeniem o charakterze ogólnym. W wielu miejscach zostawia przedsiębiorcy możliwość interpretacji i dostosowania się, zastosowania metod adekwatnych do swojej działalności. Jako przedsiębiorcy wierzymy, że przynajmniej w pierwszych miesiącach czy latach obowiązywania nowego rozporządzenia regulator, który ma prawo nakładać sankcje, będzie dla nas partnerem do dyskusji i organem konsultacyjnym, co pozwoli wypracować wspólne standardy tego, jakie środki bezpieczeństwa stosować i jak się najlepiej dostosować do przepisów. A dopiero po okresie konsultacji, będzie nakładał kary.

Zobacz cały odcinek programu Na czasie poświęcony RODO: