Zmiany w przepisach o ochronie danych osobowych – RODO
Unia Europejska, chcąc zapewnić obywatelowi większe prawa do ochrony danych osobowych, rozszerzając jednocześnie odpowiedzialność przedsiębiorców, przygotowała Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation). Zgodnie z rozporządzeniem organizacje gromadzące, przechowujące i przetwarzające dane osobowe mają czas na dostosowanie się do nowych wytycznych do 25 maja 2018 roku.
Zmian jest wiele, duża część z nich wymaga redefinicji procesów biznesowych i polityk zarządzania danymi, identyfikacji źródeł przetwarzania danych i inwentaryzacji przepływów danych. Obawy związane z reorganizacją procesów i ze skomplikowaną przebudową systemów IT potęguje brak ściśle określonych przez rozporządzenie wymagań. Ciążący na przedsiębiorcach obowiązek bieżącej samodzielnej analizy i ewaluacji ryzyka ochrony danych osobowych oraz podejmowania związanych z nimi decyzji może wzbudzać niepokój.
Regulacja stanowi podłoże do oferowania organizacjom swoich produktów i usług przez firmy informatyczne, kancelarie prawne i firmy konsultingowe. Oferenci nierzadko używają argumentu potencjalnych kar, które grożą nieprzestrzegającym przepisów. Podkreślają kosztowe ujęcie wdrożenia rozporządzenia, nie wkładając wysiłku w to, by potraktować je jako środek, który pozwoli ulepszyć działanie przedsiębiorstwa. Tymczasem wdrożenie odpowiednich rozwiązań, zapewniających zgodność z wymogami RODO, może przynieść organizacji wymierne korzyści, w postaci nie tylko działania zgodnie z literą prawa, ale także stworzenia dodatkowej wartości biznesowej.
Prawa jednostki dobrem nadrzędnym
Zanim jednak zajmiemy się wartością dodaną, spójrzmy na główne cele powstania rozporządzenia. RODO ma przede wszystkim za zadanie rozszerzenie i umocnienie praw jednostki do ochrony danych osobowych. Każda osoba ma mieć prawo do informacji oraz prawo do bycia zapomnianym, co oznacza, że na jej wniosek przedsiębiorca powinien usunąć wszelkie dotyczące jej informacje. Ze wszystkich źródeł. Część procesu usuwania jest dość prosta – łatwo usunąć rekord klienta z bazy CRM, ale już nie tak prosto zlokalizować jego dane, które pojawiły się w korespondencji elektronicznej między dwoma pracownikami banku. Klient będzie miał także prawo do przeniesienia swoich danych, prawo do sprzeciwu i niepodlegania automatycznym decyzjom oraz prawo do ograniczenia przetwarzania. Korzyści wynikające z tych praw dla osoby fizycznej są dość oczywiste, a służą poprawie bezpieczeństwa oraz wspieraniu wolnego przepływu usług. Przetwarzanie danych czy groźba ich utraty przy zmianie usługodawcy nie powinna być elementem wpływającym na decyzję konsumenta.
Z punktu widzenia przedsiębiorcy umożliwienie klientowi korzystania z tych praw jest zadaniem niełatwym, szczególnie w dużych, posiadających ogromną liczbę źródeł danych, organizacjach.
Rejestr danych osobowych nieodzownym elementem przygotowań
Podchodząc do zadania metodycznie, pierwszym krokiem powinno być odkrycie istniejących w przedsiębiorstwie źródeł danych, a następnie ich skatalogowanie. Źródła należy przeszukać pod kątem zawierania danych osobowych i danych wrażliwych. Jeśli uda się to osiągnąć, przedsiębiorca uzyska rejestr danych osobowych, centralną informację o tym, gdzie i jakie dane wrażliwe przechowuje i skąd należy je usunąć.
Rejestr danych osobowych umożliwi klientowi korzystanie z nadanych mu przez rozporządzenie praw. Bez takiego rejestru ich wykonanie wydaje się niemożliwe. Rozporządzenie dopuszcza niewykonalność spełnienia oczekiwań klienta w zakresie udostępniania mu informacji o przetwarzaniu danych osobowych. Należy wtedy jednak udowodnić, że dołożono wszelkich starań i jest to „technicznie niemożliwe”, żeby dane udostępnić. Wydaje się jednak, że udowodnienie jest równie, jeśli nie bardziej, skomplikowane, niż samo udostępnienie. Szczególnie, że stworzenie i okresowe uaktualnianie rejestru jest technicznie możliwe.
Innowacyjne narzędzie do tworzenia rejestru danych osobowych
Stworzenie rejestru jest możliwe, nie jest jednak banalne. Firma TUATARA oferuje narzędzie, które zostało zbudowane specjalnie na potrzeby wdrożenia RODO. Jego główną przewagą, oprócz możliwości zintegrowania źródeł o dowolnym stopniu skomplikowania, jest funkjonalność rozpoznawania polskich danych osobowych, bez względu na ich formę i miejsce występowania.
Jest to możliwe dzięki zaawansowanych technikom Natural Language Processing oraz modelom Machine Learning, które leżą u podstaw rozwiązania i zostały przygotowane z myślą o krajowych organizacjach. To z kolei sprawia, że narzędzie jest pierwszym tego typu rozwiązaniem na polskim rynku i pozwala na stworzenie rejestru danych osobowych koniecznego do prawidłowego wdrożenia RODO.
Dodatkowa wartość ze zgodności z rozporządzeniem
Wyobraźmy sobie, że rejestr danych osobowych w przedsiębiorstwie został stworzony. Jest kompendium wiedzy o istnieniu danych osobowych i wrażliwych w całej organizacji. Zawiera informacje ze źródeł strukturalnych – z baz danych, aplikacji, danych archiwalnych czy systemów obsługi klienta, ale także ze źródeł niestrukturalnych – chatów, emaili, transkrypcji rozmów call center, social mediów. Połączenie wysiłków zapewnienia jednostce przysługujących jej praw do ochrony danych osobowych przy jednoczesnym uporządkowaniu danych wewnątrz przedsiębiorstwa może przynieść realne korzyści – optymalizację procesów operacyjnych, zmniejszenie ryzyka operacyjnego oraz poprawę obsługi klienta.
RODO: od regulacji do monetyzacji – konferencja
W trójstronnym porozumieniu z firmą IBM oraz kancelarią Gawronski & Partners TUATARA opracowała koncepcję pozwalającą spojrzeć na RODO z perspektywy korzyści dla organizacji. Uzyskana przez nas synergia pomiędzy obowiązkiem ochrony danych osobowych a ich przetwarzaniem pozwala na kreowanie dodatkowej wartości biznesowej i poprawę zadowolenia klientów.
12. września, zorganizowaliśmy w biurze TUATARA konferencję o podejściu do wdrożenia RODO. Przedstawiliśmy stworzoną przez nas koncepcję oraz zaprezentowaliśmy trzy realne przypadki wykorzystania wdrożenia rozwiązań RODO dla uzyskania dodatkowej wartości biznesowej w sektorze bankowym.
Mecenas Maciej Gawroński omawiał prawne aspekty regulacji, eksperci IBM i TUATARA opowiedzieli o obszarze technologicznym, który jest konieczny do uzyskania zgodności z RODO. Przestawiliśmy po raz pierwszy, unikalne na polskim rynku narzędzie, oparte o zaawansowane algorytmy przetwarzania języka naturalnego, które umożliwia odkrywanie danych wrażliwych w źródłach strukturalnych i niestrukturalnych oraz prowadzenie rejestru takich danych w każdej organizacji. Na podstawie wiedzy zgromadzonej w rejestrze można uzyskiwać dodatkową wartość.
Obraz jest wart więcej niż tysiąc słów – konferencję można przeżyć jeszcze raz odtwarzając nagranie z transmisji online.
Konferencję zamknęliśmy niezwykle ciekawym panelem, w którym udział wzięli:
- mec. Maciej Gawroński – Ekspert ds. Prawa Biznesowego i Prawa Technologii Informacyjnych, Managing Partner, Gawronski & Partners
- dr Maciej Kawecki – Koordynator Krajowej Reformy Ochrony Danych Osobowych, Zastępca Dyrektora Departamentu Zarządzania Danymi, Ministerstwo Cyfryzacji
- Marta Olipra-Kruszka – Ekspert ds. Kampanii Bezpośrednich, PKO Bank Polski SA
- Moderator: Grzegorz Kuliszewski, Dyrektor Sektora Finansowego, IBM.
