W maju przyszłego roku w życie wejdzie RODO, czyli unijne rozporządzenie o ochronie danych osobowych. Banki będą miały 72 godziny na ujawnienie wycieku danych, a jeśli tego nie zrobią – grożą im surowe kary.
Jak wynika z badania „Ochrona danych osobowych oczami polskich konsumentów”, przeprowadzonego przez Deloitte, blisko połowa Polaków (46 proc.) ma negatywny stosunek do udostępniania danych osobowych instytucjom lub firmom i stara się ograniczać je do absolutnego minimum. Z kolei 43 proc. osób dzieli się nimi niechętnie, a tylko co piąta osoba pozytywnie patrzy na dzielenie się danymi.
Niemal każdy ankietowany (95 proc.) podczas robienia zakupów lub podejmowania decyzji o wyborze usługi zwraca uwagę na to, czy wymaga się od niego podania danych osobowych. Podając je, najbardziej obawiamy się natarczywego dzwonienia telemarketerów (55 proc.) oraz tego, że ktoś się pod nas podszyje (50 proc.).
Blisko połowa badanych darzy ograniczonym zaufaniem firmy i instytucje, które zbierają dane osobowe swoich klientów – 45 proc. sądzi, że firmy potrzebują tych danych po to, by następnie sprzedać je innym podmiotom.
– Obawy te są słuszne, choć firmy nie zawsze udostępniają dane klientów innym podmiotom dobrowolnie. Cyberprzestępcy sięgają po nie sami. Dane osobowe, finansowe oraz nasze identyfikatory i hasła do serwisów internetowych to informacje, które najczęściej padają ich łupem. Przestępcy wykorzystują je do opróżniania rachunków bankowych lub zaciągania kredytów w naszym imieniu – wyjaśnia Marcin Lisiecki, menedżer w dziale cyberbezpieczeństwa Deloitte.
Czytaj także: Bezpieczne jak w banku? Nie po GetBack
Co czwarty bank pada ofiarą cyberprzestępców
Ataki, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, to dziś realne zagrożenie. Z badania przeprowadzonego na początku 2017 roku przez Capgegmini wynika, że 26 proc. banków i firm ubezpieczeniowych przyznaje, że padło ofiarą cyberataku.
Badanie pokazuje też jaskrawe różnice pomiędzy wysokim poziomem zaufania społeczeństwa wobec banków, a rzeczywistą niezawodnością systemów. Najlepiej obrazuje to fakt, że choć jedna instytucja finansowa na cztery odnotowała akt cyberprzestępstwa, to zaledwie 3 proc. konsumentów wierzy, że ofiarą hakerów może być ich własny bank.
Majowa rewolucja w ochronie danych
Mieszkańcy Unii Europejskiego już w przyszłym roku zyskają poważnego sprzymierzeńca w walce o ochronę danych. Ogromną zmianę w tym zakresie ma przynieść RODO (z ang. GDPR – General Data Protection Regulation), czyli ogólne rozporządzenie o ochronie danych, które wejdzie w życie w maju 2018 roku. Zawierana ono przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Unijne rozporządzenie znacznie utrudni firmom zbieranie danych osobowych oraz zrewolucjonizuje ich przechowywanie i przetwarzanie.
RODO dotyczy wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą. Rozszerza zakres obowiązków podmiotów przetwarzających dane, ale też wyposaża osoby fizyczne i organy nadzorujące w skuteczne narzędzia reagowania w sytuacji naruszenia rozporządzenia. Kary administracyjne nałożone na skutek złamania przepisów rozporządzenia mogą wynieść do 20 mln euro lub w przypadku przedsiębiorców do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
72 godziny na ujawnienie wycieku
Nowe unijne rozporządzenie zmusi instytucje finansowe do ujawnienia wycieku danych w ciągu 72 godzin, a w przypadku zaniechania – zapłacenia wysokich kar.
– Gdy GDPR zostanie wprowadzony i wszystkie naruszenia będą podawane do wiadomości publicznej zaraz po ich wystąpieniu, wielu ludzi będzie zaskoczonych. Wprowadzenie nowego prawodawstwa w przyszłym roku jest dla banków i ubezpieczycieli ogromną okazją do przekształcenia się w „twierdze” cyfrowe, za które uważali je konsumenci – mówił Zhiwei Jiang, Global Head of Financial Services, Insights and Data w Capgemini.
Dodajmy, że jak wynika z badania Deloitte, zaledwie 16 proc. osób zostało kiedykolwiek zawiadomione o naruszeniu poufności (np. w wyniku włamania, wycieku) ich danych osobowych.
– To niewiele, zważywszy na nałożony przez RODO obowiązek informowania organu nadzoru o naruszeniu, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. Zawiadomienie to z reguły będzie musiało zostać skierowane również do osoby, której dane dotyczą. Oznacza to w praktyce konieczność wprowadzenia przez firmy procedury zgłaszania incydentów – mówi Agata Jankowska-Galińska, radca prawny w kancelarii Deloitte Legal.
Banki zapłacą prawie 5 mld euro kar?
Tymczasem, jak wynika z szacunków AllClear ID (amerykańskiej firmy zajmującej się ochroną danych klientów), europejskie banki mogą zapłacić nawet 4,7 miliarda euro kar w ciągu pierwszych trzech lat od momentu obowiązywania nowej unijnej regulacji, jeżeli nie zastosują się do wprowadzonych zmian.
Oprócz obowiązku poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu, sankcjom podlegać będzie także m.in. użycie danych do innych celów niż te, na które użytkownik wyraził zgodę w momencie ich gromadzenia.
Bowiem, jak tłumaczą eksperci, wedle nowego prawa, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony – instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, np. do oceny wiarygodności klienta w innym obszarze.
Ograniczeniom może podlegać także profilowanie i segmentowanie klientów i usług pod kątem wybranych danych, na wykorzystanie których nie została udzielona osobna zgoda.
Zdążyć na czas
Jednym z ważniejszych wyzwań związanych z przystosowaniem się przez instytucje finansowe do wprowadzenia RODO – podkreślają przedstawiciele branży IT – jest krótki czas pozostały do momentu, kiedy zaczną obowiązywać regulacje, przy jednoczesnych wątpliwościach związanych z interpretacją przepisów.
– Firmy, które do tego momentu nie rozpoczęły jakichkolwiek działań, już są spóźnione. Jeżeli chodzi o czekające je kary, jeszcze nie ma wykładni prawnej, więc nie ma pewności, jak będzie wyglądało w praktyce egzekwowanie nowego prawa. Dopiero pierwszy wyrok skazujący będzie wskazówką dla sądów, jak rozpatrywać takie sprawy. Wydaje się, że pomóc w uniknięciu lub ograniczeniu kar tym firmom, które jeszcze nie zaczęły przygotowań do wdrożenia nowych regulacji może rzetelna ocena ryzyka i analiza tych aplikacji i oprogramowania, którym dysponują obecnie oraz realny i wdrażany plan działań zmierzających do ograniczenia tego ryzyka – wyjaśnia Marek Najmajer z Linux Polska.
Co ciekawe, dyrektywa Unii Europejskiej będzie obowiązywała każdą firmę (nie tylko z siedzibą na terenie UE), która przetwarza dane osobowe obywateli europejskich i może mieć wpływ na banki i ubezpieczycieli w USA, Wielkiej Brytanii i Azji.