Gdy pytamy o przygotowania do wejścia w życie nowych przepisów dotyczących ochrony danych osobowych w części firm słychać sporo optymizmu. Patrząc jednak na ogrom zmian oraz wiszące w powietrzu wysokie kary za nieprzestrzeganie przepisów możemy dojść łatwo do wniosku, że problem jest i im szybciej się z nim uporamy, tym mniej stresu nas czeka w przyszłości.
Zmiany
Co zmieni się po 25 maja 2018 roku? Zmieni się całkiem sporo. Do tego dnia firmy muszą przeanalizować wszystkie realizowane obecnie procesy biznesowe i odpowiednio je modyfikując – jeśli zajdzie taka potrzeba. Część procedur musi też być konsultowana z partnerami biznesowymi. Przy małych outsourcingowych call center[1] to nie problem, ale w firmach realizujących po kilkadziesiąt nawet projektów może to stanowić spore wyzwanie. A do tego trzeba jeszcze przeszkolić cały personel – i to bardzo dobrze przeszkolić.
Nie jest to zadanie do wykonania w 30 dni. Nie jest to też zadanie do wykonania w kwartał. Trzeba temu poświęcić nieco więcej uwagi…
Do wdrożenia lub dostosowania jest m.in. Polityka Ochrony Danych, zgodne z nowym prawem Procedury Postępowania oraz wdrożenie właściwych rozwiązań technicznych i organizacyjnych wewnątrz firmy. Ale – i co zdaniem wielu nastręcza największe problemy – opracowanie procedur kontroli i wykrywania wycieków danych osobowych. Temu ostatniemu musi towarzyszyć dobrze przemyślana i sprawna procedura informowania organów nadzoru.
Firmy po odnotowaniu incydentu naruszenia ochrony danych mają tylko 72 godziny na poinformowanie organów nadzoru. Niby nic strasznego, ale firma musi nabyć umiejętności skutecznego udokumentowania podjętych działań zapobiegawczych.
Często sam dokument nie wystarczy. Wato więc wcześniej opracować zbiór procedur „co – jeśli”.
A życie swoje…
– Zmiany wprowadzone Rozporządzeniem ze względu na swój charakter oraz rozległość, nie mogą zostać skutecznie wdrożone bez skrupulatnego przygotowania – mówi manager działu prawnego CCIG Group Damian Fedeczko. I nie sposób się z nim nie zgodzić, gdy sięgamy po lekturę przepisów GDPR (General Data Protection Regulation).
– Firma administrująca danymi osobowymi będzie miała nie tylko obowiązek stosowania się do wymogów Rozporządzenia, ale również będzie musiała potrafić wykazać, że stosowane przez nią metody są zgodne z Rozporządzeniem oraz skuteczne – komentuje Magdalena Pisarczyk, Dyrektor ds. Projektów Informatycznych w Unima 2000 Systemy Teleinformatyczne S.A.
Zdaniem Dawida Wójcicki, prezesa zarządu Voicetel Communications S.A. ci, którzy wcześniej zaczęli kierować się zdroworozsądkowym i odpowiedzialnym podejściem, w kontekście nowych przepisów nie mają zbyt wiele pracy nad dostosowaniem swojej działalności do nowych regulacji. – Nowe przepisy dotykają w większości kwestii, które były przedmiotem różnych dyskusji już od czasów pierwszych formularzy rejestracyjnych na stronach internetowych.
Pełna optymizmu jest Karolina Serwańska, prezes zarządu holdingu Polski HR International – Dla firm śledzących sytuację i z wyprzedzeniem przygotowujących się do wejścia w życie nowych przepisów prawnych przystosowanie się do sytuacji nie powinno być wyzwaniem.
Zupełnie inaczej na problem nieustannie zbliżającej się godziny zero wprowadzającej nowe przepisy patrzy Marcin Łukasik, Commercal Director CEE w Unicall Communication Gropu Poland. – Możemy zidentyfikować dwa obszary dopasowania do nowych wymogów określonych Rozporządzeniem. Pierwszy to obszar operacyjny, czyli takie dopasowanie scenariuszy rozmów, aby pobieranie zgody na przetwarzanie danych osobowych, było zgodne z nowymi wytycznymi. Drugim – jest dostosowanie systemów informatycznych do zbierania wszystkich wymaganych danych. – mówi Łukasik.
– Firma zarządzająca danymi osobowymi będzie musiała zapewnić, że zgromadzone dane osobowe są poprawne i aktualne, a ich przetwarzanie przebiega bez zakłóceń – dodaje Magdalena Pisarczyk z Unima 2000.
– Fakt ten może mieć znaczący wpływ na chęć zautomatyzowania przez firmy procesów związanych z kontrolą poprawności i aktualizacją danych. – potwierdza to Pisarczyk – Należy spodziewać się, że wzrośnie zainteresowanie firm systemami bezpieczeństwa wspierającymi zarządzanie tożsamością i dostępem, szyfrowaniem, anonimizowaniem, usuwaniem, audytowaniem, monitorowaniem i lokalizowaniem zbiorów danych osobowych w różnych repozytoriach firm, zarówno tych strukturalnych jak i niestrukturalnych.
Dawid Wójcicki z Voicetel podkreśla jeszcze jedno: czynnik ludzki, który jak pokazują doświadczenia wielu firm na przestrzeni ostatnich lat, jest najsłabszym ogniwem w procesie ochrony danych osobowych. Jednak dzięki zastosowaniu nowoczesnych technologii w obsłudze klienta czynnik ten można zmarginalizować – Nasza technologia z uwagi na swoje założenia konstrukcyjne – nie pozostawia żadnego pola dla uchybień proceduralnych na linii kontaktu z klientem. – dodaje Wójcicki – To interfejs dialogowy pomiędzy człowiekiem, a wirtualnym konsultantem. Przechowywanie i zarządzanie danymi osobowi pozostaje w gestii właściciela sytemu.
Czy nowe przepisy coś zmienią?
Głównym założeniem wprowadzanych nowych przepisów jest ujednolicenie i standaryzacja panującego w krajach członkowskich Unii Europejskiej ładu prawnego. – Z naszego punktu widzenia przeciętny Kowalski nie zauważy zmian – mówi Marcin Łukasik z Unicall – Panuje zbyt mała świadomość tego, czym są dane osobowe i jak należy bać o własną prywatność.
Swoje obawy wyraża też Wójcicki z Voicetel. – Nie wierzę w to, aby samo wprowadzenie nowych regulacji wpłynęło na zauważalny wzrost poziomu bezpieczeństwa systemów przechowujących bądź przetwarzających dane osobowe. Wierzę natomiast, że klientom końcowym może być łatwiej egzekwować swoje prawo do anonimowości.
Zmiany w samych organizacjach wróży też Magdalena Pisarczyk z Unima 2000 – Nowy porządek prawny, który nastąpi wraz z rozpoczęciem stosowania nowych regulacji GDPR, przyniesie wiele zmian w kulturze organizacyjnej firm oraz wzmocni odpowiedzialność w zakresie przetwarzania danych osobowych. Przepisy wymuszą na firmach i organizacjach dbałość o ochronę prywatności.
Czym mogą zmusić? Wysokimi karami. Na przedsiębiorcy, u którego nastąpi ciężkie naruszenie rozporządzenia GDPR ciąży kara w wysokości do 20 000 000 Euro. Jeśli firma działa globalnie – to nawet 4% jej całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Tej ostatniej kary w większości przypadków nie zobaczymy, gdyż nawet globalne firmy działają w wielu krajach jako odrębne spółki prawa handlowego.
Gdyby ciężkie naruszenie rozporządzenia DGPR miało miejsce wśród jednego z wielkiej 5 największych outsourcingowych call center w Polsce – to moglibyśmy usłyszeć, że łączna kara to 6 mln zł, podczas gdy jej roczny zysk operacyjny wyniósł 11 mln zł.
Nic więc dziwnego, że coraz chętniej w niektórych kręgach mówi się o wprowadzeniu rozwiązań automatyzujących – Mówiąc o bezpieczeństwie danych osobowych w contact center[2], należy pamiętać o zagrożeniach wynikających z samego faktu udziału człowieka w procesie pozyskiwania – a w związku z tym, także i przetwarzania – danych osobowych. – komentuje Dawid Wójcicki z Voicetel Communications. – Coraz częściej szala zaufania konsumentów przechyla się w stronę rozwiązań automatycznych, a zatem bardziej przewidywalnych i łatwiejszych do kontrolowania – dodaje Wójcicki.
Czy zatem powinniśmy się bać? Nie. W wielu wypadkach już stosujemy nawet bardziej rygorystyczne prawo ochrony danych osobowych. Zdaniem Damiana Fedeczko z CCIG Group powinien zadziałać mechanizm sumiennego wypełniania prawa w tym zakresie – Wydaje się, że możliwość nakładania drakońskich kar umownych, w jaką RODO wyposaża organy krajowe odpowiedzialne za kontrolę nad przetwarzaniem danych osobowych może działać na wyobraźnię przedsiębiorców i doprowadzić do poprawy faktycznego stanu bezpieczeństwa w tym zakresie.
Dla kilku call center w Polsce zmiany w prawie mogą przynieść ogromne korzyści – jak choćby ujednolicenie ryku Unii Europejskiej w kontekście ochrony danych osobowych. – Prowadzenie projektów obejmujących swoim zakresem obszary kilku krajów będzie obarczone mniejszym ryzykiem – podsumowuje Fedeczko. Podobnego zdania jest też Karolina Serwańska z Polski HR – Wspólne zasady dotyczące ochrony danych osobowych we wszystkich państwach UE zdecydowanie ułatwią funkcjonowanie firm działających na wielu rynkach.
Z drugiej strony dla firm działających na rynku krajowym nowe przepisy do duże zamieszanie – Na pewno jeśli mówimy o przekazywaniu danych do globalnych organizacji, zmiany będą miały pozytywny wpływ na prywatność użytkownika. Z drugiej strony nie widzimy potrzeby prowadzania tych zmian w odniesieniu do lokalnych organizacji na rynku polskim, które stosują wystarczająco restrykcyjne zasady ochrony danych osobowych – dodaje Łukasik.
Nie ulega jednak wątpliwości – zmiany są i trzeba je zaimplementować. A im szybciej to zrobimy, tym lepiej i mniej boleśnie przygotujemy się na godzinę zero, czyli 25 maja 2018 r.
Zgadzam się z Panem Dawidem – najważniejszy w tym wszystkim jest czynnik ludzki. Możemy mieć super system, procedury – a zawsze polegniemy na etapie człowieka.