Zdjęcie Echo / Getty Images
Rosyjski biznes dopóki nie nadaje poważnego znaczenia Europejskiego rozporządzenia o ochronie danych osobowych (GDPR), pomimo grzywnę w wysokości €20 mln lub 4% globalnego rocznego dochodu
Europejskie przepisy w zakresie ochrony danych (GDPR) działa prawie trzy i pół miesiąca. Na wnioski podmiotów danych osobowych w Unii europejskiej rozpoczęły się pierwsze kontrole organizacji. Na przykład, w dniu, w którym rozporządzenie weszło w życie, austriacki działacz i prawnik Max Шермс podał trzy skargi na łączną kwotę €3,9 mld na Facebook i jej spółki zależne WhatsApp i Instagram, a także skargę na system operacyjny Android od Google na kwotę €3,7 mld jego zdaniem, pola zgody na przetwarzanie danych osobowych u tych firm nie dają użytkownikowi swobodę wyboru na udzielanie lub nieudzielanie swoich danych, jak tego wymaga GDPR (freely given).
Regulamin działa na экстерриториальному zasadzie, a to oznacza, że muszą przestrzegać jego i firmy spoza Europejskiego obszaru gospodarczego (kraje członkowskie Unii europejskiej oraz Islandia, Lichtenstein i Norwegia), jeżeli: 1) przetwarzają dane osobowe podmiotów, znajdujących się w Unii europejskiej, dostarczając im produkty i usługi lub poprzez monitorowanie ich działania, 2) przetwarzają dane osobowe, dostarczanie usługi w zakresie ich przetwarzania organizacjom, trafiającym na działanie GDPR.
Rosyjskie firmy — nie jest wyjątkiem, i biorąc pod uwagę ogromnych kar za naruszenie regulaminu (do €20 mln lub 4% globalnego rocznego dochodu grupy firm), można było przypuszczać, że biznes z wielką uwagą co do nowych wymagań.
Postanowiliśmy sprawdzić tę hipotezę i studiowali stron internetowych największych rosyjskich firm, biorąc za podstawę ranking Forbes “200 największych przedsiębiorstw prywatnych Rosji” za 2017 rok. Co najmniej jedna czwarta z 160 analizowanych organizacji objęty GDPR ze względu na obecność filii, przedstawicielstw i biur w krajach Unii europejskiej, strony w języku kraju członkowskiego Unii europejskiej, za pomocą którego użytkownicy z Europy mogą zamówić usługi lub towary, a także dostępności wolnych miejsc, na które mogą odpowiedzieć podmioty znajdujące się tam. Najczęściej firmy zbierają imię i NAZWISKO, adres e-mail, telefon, nazwę użytkownika, adres IP, pliki cookie z wykorzystaniem stron internetowych.
W wyniku analizy okazało się, że zaledwie 4 strony blisko do zgodności z wymaganiami GDPR. Z pozostałych: 83% nie przewidują okienko do zgody na gromadzenie plików cookies, u 77% nie ma możliwości uzyskania wyraźnej zgody na przetwarzanie danych osobowych, u 60% nie jest dostępna do wglądu polityka prywatności. A to tylko wierzchołek góry lodowej, a przecież GDPR reguluje nie tylko procedurę uzyskiwania zgody na stronach internetowych firm, ale i wewnętrzne procesy firmy w zakresie przetwarzania i ochrony danych osobowych.
Mówimy o największych firmach w kraju, które posiadają niezbędne finansowymi i zasobami ludzkimi dla wdrożenia rozporządzenia. Ale są i pozytywne przykłady, o których dużo mówiło się w MEDIACH: wielu z nas w przeddzień wejścia GDPR w życie — 25 maja 2018 roku — otrzymał powiadomienie o aktualizacji zasad ochrony danych osobowych od naszych rosyjskich firm, z usług których korzystamy. Ale procent organizacji, które w całości lub częściowo nie spełniają postanowień regulaminu, jest przerażająco duży.
“Nie wiedzieliśmy, że nam się to należy”
Europejskie przepisy w zakresie ochrony danych składa się z 88 stron, w tym wprowadzenie część i 99 artykułów, rozmieszczonych na 11 rozdziałów. On wpływa na wiele aspektów działalności firm, które trzeba nie tylko ujawnić, ale i doprowadzić do zgodności z przepisami, co z pewnością wymaga dodatkowych wydatków. Być może to jest jednym z powodów, dla których niektóre rosyjskie firmy postanowili, że regulamin do nich nie należy, lub odnosi się tylko częściowo. Ale, jak wiadomo, nieznajomość prawa nie zwalnia od odpowiedzialności.
Pod działanie GDPR trafiają wszystkie procesy biznesowe, w ramach których odbywa się przetwarzanie danych osobowych. To ważne dla firm praktycznie z każdej branży: od naftowego i gazowego, finansowego i transportowego do sektorów IT i mediów, portali społecznościowych, gier online, promocyjnych i rekrutacyjnych agencji. I każda organizacja mogą mieć swoje wyjątkowe sytuacje, kiedy może być konieczne przestrzeganie GDPR.
Podstawowe procesy, które podlegają przepisom GDPR i przewidziane funkcjonalności stron internetowych firm, to przynajmniej przetwarzanie danych klienta (w ramach wsparcia informacyjnego, przy potencjalnym zawieraniu umów, przy składaniu zleceń na usługi, w przypadku dokonywania zakupów online), a także przetwarzanie danych podczas tworzenia kont, odpowiedzi na oferty pracy, korzystania z klientami form sprzężenia zwrotnego i internetowych czatów.
Najbardziej podatne sankcji regulatorów, najprawdopodobniej będą firmy zajmujące się e-commerce (np. sklepy internetowe, transport pasażerski firmy, instytucje finansowe), bo jak usługi danych firm mogą być dostępne i na terenie Unii europejskiej, a kontrole przeprowadzą w pierwszej kolejności na podstawie złożonych przez klientów skarg.
Obowiązek przestrzegania regulaminu występuje, jeśli firma posiada program lojalnościowy, w którym klient może potencjalnie korzystać na terenie Europy. W trudnej sytuacji znaleźli się i twórcy gier online dostępnych w tym na terenie Unii europejskiej, ponieważ wiele ich klienci nieletnich i zbierać dane można tylko za wyraźną zgodą rodziców, a to wymaga oddzielnych działań.
Inny przykład — ubezpieczenie dla podróżnych, sprzedana w Rosji podmiotu danych osobowych, który później może zwrócić się do zakładu opieki zdrowotnej w Europie, tym samym wywołując potrzebę przekazania swoich danych osobowych, odnoszących się do konkretnych kategorii. Ponieważ firma ubezpieczeniowa współpracuje z licznymi instytucjami medycznymi, między nimi powstaje międzynarodowe transfery danych, dlatego umowy z takimi organizacjami wymagają poprawy.
W ten sposób, przynosząc procesów w zgodności z GDPR wymaga wnikliwej analizy działalności wszystkich działów firmy, aby wykryć nawet potencjalne możliwości wystąpienia nieprawidłowości. Przy tym przy wdrażaniu procesów i procedur, należy wziąć pod uwagę zalecenia grupy Roboczej (Working Party Article 29), wyjaśnienia European Data Protection Board, European Data Protection Supervisor i European Commission, a także wymogi lokalnego prawa w zakresie ochrony i przetwarzania danych osobowych, co czasami może być trudne do wykonania siłami jednej organizacji.
“Mam ważniejsze sprawy na głowie”
Wymagania GDPR w dużej mierze podobne do tych z wymaganiami 152-FZ “O danych osobowych” w Rosji. Podstawowe zasady przetwarzania danych są identyczne w obu dokumentach, ale w GDPR rozszerzone podmiotów prawa i obowiązki operatorów danych osobowych. Problem w tym, że niektóre firmy i do momentu pojawienia się regulaminu europejskiego ignorowali polskie prawo w zakresie ochrony danych.
Jednym z powodów takiej postawy jest stosunkowo niewielkie kary. Druga pobłażliwość i lekceważący stosunek do swoich danych osobowych, ich samych rosjan. Według badania KPMG ds. prywatności, tylko 11% naszych rodaków martwi się o tym, jak będą wykorzystywane ich dane osobowe.
Mieszkańcy Unii europejskiej, wręcz przeciwnie, są bardzo wrażliwe na treści swoich danych, większość z nich raczej zrezygnują z zakupu lub usługi, niż zagrożone informacji o sobie. A w sferze B2B nawet mały incydent, związany z wyciekiem danych i dostał się do MEDIÓW, może wpływać na reputację firmy i odstraszyć europejskich partnerów. Aby ocenić ryzyko takiego wyniku, wystarczy wbić odpowiednie zapytanie w wyszukiwarkę — podobne wypadki zdarzają się prawie codziennie, w tym z największymi firmami w Rosji.
Ale jeśli organizacja odpowiedzialnie co do ochrony danych osobowych swoich klientów — to może stać się jej silnym atutem konkurencyjnym. Jakie zadanie ani decydował człowiek przez internet — planował wakacje, kupowałem nową koszulkę, wysłałem cv do przyszłego pracodawcy, — pewien ważny klienta doświadczenie. A z koniecznością przekazywania danych osobowych ludzie najczęściej spotykają się na samym początku na stronie internetowej swojej firmy, dlatego przestrzeganie norm GDPR — dobry sposób, aby wywrzeć pozytywne wrażenie na europejskich klientów i partnerów biznesowych.
redakcja poleca
Śladami Google Docs: jak uniknąć wycieku dokumentów korporacyjnych
Piątek, 13-czyli Jak zapobiec wyciekowi danych użytkowników
Wybawieniem dla szpiega: jak Telegram i Facebook trafiły na listę niebezpiecznych aplikacji mobilnych