Już 25 maja w życie wchodzi Rozporządzenie o Ochronie Danych Osobowych (RODO), które ma na celu zwiększenie kontroli nad tym, w jaki sposób firmy korzystają i przechowują dane o swoich klientach. Wprowadzane zmiany znacząco wpłyną na działanie firm z branży finansowej, zwłaszcza w zakresie wewnętrznych procedur dotyczących obrotu danymi osobowymi oraz automatyzacji procesów profilowania klienta.
Zgodnie z nowymi przepisami jednym z obowiązków firm z branży finansowej będzie powołanie Inspektora Ochrony Danych, którego zadaniem jest nadzór nad przeprowadzaniem wewnętrznych procedur. Taki wymóg będą musiały spełnić przedsiębiorstwa, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli ich działalność polega stricte na przetwarzaniu w szerokim zakresie szczególnych kategorii danych osobowych.
Wraz z wejściem w życie RODO wszystkie bazy danych dotyczące klientów będą musiały być znacznie bardziej uporządkowane. Jeśli dana osoba wycofa upoważnienie do przetwarzania jego danych osobowych to firma będzie musiała usunąć ze swoich systemów wszelkie informacje na jego temat. Może to powodować problemy, z uwagi na fakt, że niektóre przepisy wymagają przechowywania danych o umowach lub klientach przez określony czas – czasami dłuższy niż klient by sobie tego życzył, wycofując wcześniej zgodę na przetwarzanie danych.
– Istotną sprawą dla firm związanych z sektorem finansowym jest kwestia automatyzacji procesów profilowania klienta. RODO wymaga, aby mimo wszechobecnych chatbotów i nowych technologii pozwalających na automatyczną wycenę wysokości ubezpieczenia lub pożyczki, w procesie decyzyjnym uczestniczył człowiek, który ostatecznie oceni możliwości klienta. Oznacza to, że firmy nie będą mogły podejmować decyzji wyłącznie na podstawie działania systemu automatycznego profilowania – wyjaśnia mec. Paweł Pawlukiewicz, Członek Zarządu Aasa Polska.
Sankcje za niestosowanie się firm do nowych przepisów
Za złamanie przepisów dotyczących ochrony danych osobowych po 25 maja będą groziły nowe sankcje karne, administracyjnoprawne oraz cywilnoprawne. RODO wprowadza dodatkowo wysokie kary pieniężne, których wartość będzie określana indywidualnie w odniesieniu do każdego przedsiębiorcy w zależności od tego, jakiego uchybienia się dopuścił.
Rozporządzenie wyróżnia dwa przedziały kar: do 10 milionów euro lub do 2% wartości rocznego globalnego obrotu przedsiębiorstwa (w przypadku naruszenia art. 25 oraz art. 29-32) albo do 20 milionów euro lub do 4% wartości rocznego globalnego obrotu przedsiębiorstwa (w przypadku naruszenia art. 5, art. 7 lub art. 15-16) – przy czym w obu przedziałach zastosowanie będzie miała zawsze kara wyższa.
Środki finansowe pochodzące z kar pieniężnych będą stanowić dochód budżetu państwa, przy czym 1% zgromadzonych środków zostanie przeznaczonych na Fundusz Ochrony Danych Osobowych – państwowy fundusz celowy powołany w celu upowszechniana wiedzy o prawach i obowiązkach związanych z ochroną danych osobowych.
Bez zgody klienta ani rusz
Nowe regulacje mają za zadanie przede wszystkim chronić interesy konsumentów i zadbać o bezpieczeństwo ich danych osobowych, zwłaszcza, że dotychczas problemy w egzekwowaniu istniejących uregulowań były powszechne.
– Istotną kwestią dla klientów będzie wyrażanie przez nich zgody na przetwarzanie ich danych osobowych. Od 25 maja przedsiębiorstwa nie tylko będą musiały szczegółowo określić zakres i cel przetwarzania danych, ale również poinformować klientów o możliwości cofnięcia na to zgody. Taka informacja musi się również znaleźć w e-mailach ofertowych – tłumaczy mec. Pawlukiewicz.
Zmiany w przepisach mają zakończyć, a przynajmniej ograniczyć przypadki, w których dzwoniący telemarketer nie chce ujawnić informacji, skąd posiada numer telefonu danej osoby. Na firmach kupujących bazy będzie spoczywał obowiązek udowodnienia, że uzyskały zgodę na przetwarzanie zawartych w nich danych od poszczególnych osób. W przypadku, gdy klient stwierdzi, że jednak takowej zgody nie wyrażał, to firma musi udowodnić, że było inaczej.