Aż 9 na 10 przedstawicieli sektora finansowego biorących udział w badaniu Linux Polska przyznało, że reprezentowane przez nich instytucje planują wdrożyć dodatkowe rozwiązania z obszaru IT w związku z RODO. W dodatku, w związku z nowymi przepisami, co trzecia firma zwiększyła lub planuje w znacznym stopniu zwiększyć wydatki na cyberbezpieczeństwo. Unijna regulacja dot. ochrony danych osobowych zacznie obowiązywać już za kilkanaście tygodni, przedsiębiorstwom pozostaje więc niewiele czasu na dostosowanie się do nowych zasad. Może być to jeden z powodów, dla którego blisko połowa z nich skorzysta z pomocy firmy zewnętrznej, aby przygotować obecnie stosowaną infrastrukturę informatyczną na wymogi stawiane przez prawo, które zacznie obowiązywać w maju.
Jak pokazują wyniki badania Linux Polska, chociaż prace przygotowawcze zostały w pełni zakończone tylko w co 10 firmie, to aż blisko 75 proc. ankietowanych ocenia stan przygotowania swojej instytucji na moment obowiązywania RODO jako dobry lub bardzo dobry. Skąd ten optymizm? Według badanych, aż 9 na 10 firm z sektora bankowego wdroży dodatkowe rozwiązania IT z obszaru bezpieczeństwa danych osobowych klientów, które będą zgodne z wymogami stawianymi przez nową regulację. Osoby biorące udział w badaniu zostały zapytane również o to, kto w instytucjach, które reprezentują jest odpowiedzialny za wprowadzenie zmian dotyczących gromadzenia i przetwarzania danych osobowych nałożonych przez RODO?
“W blisko jednej trzeciej przypadków rola ta przypadnie zespołom IT, co świadczy o tym, że firmy w kompleksowy sposób podchodzą do wprowadzenia nowych zasad i co więcej, są świadome trudności technologicznych związanych ze spełnieniem wymogów stawianych przez RODO. To wyjaśnia, dlaczego prawie połowa instytucji korzysta lub planuje skorzystać z pomocy firmy zewnętrznej, aby przygotować obecnie stosowaną infrastrukturę IT na obowiązywanie unijnej regulacji.” – zaznacza Tomasz Dziedzic, Chief Technology Officer w Linux Polska.
Firmy nie tylko chcą powierzyć to ważne zadanie firmom zewnętrznym, ale również zwiększyć wydatki na bezpieczeństwo IT w związku z RODO, co jednogłośnie zadeklarowali wszyscy ankietowani biorący udział w badaniu. W blisko co trzeciej instytucji wydatki na ten cel wzrosną znacząco.
Co z tymi danymi, czyli jakie wyzwania dla instytucji finansowych niesie RODO?
Wśród wymogów stanowiących największe wyzwanie dla firm z sektora finansowego w związku z obowiązywaniem RODO, ankietowani na pierwszym miejscu wskazali ograniczenie przechowywania danych (ponad 33 proc.), a zaraz za nim na liście znalazło się ograniczenie celu wykorzystania danych (blisko 28 proc.). Jak zaznacza Marek Najmajer, wyniki badania odzwierciedlają rzeczywiste problemy techniczne i organizacyjne, jakie napotykają firmy chcące dostosować dotychczasową infrastrukturę IT do wymogów stawianych przez nowe prawo.
“Jedna z zasad wprowadzonych przez RODO, czyli ograniczenie przechowywania danych, mająca na celu graniczenie do minimum czasu ich gromadzenia, w praktyce ma się sprowadzać do trwałego usunięcia danych po ustaniu celu ich przetwarzania lub na prośbę podmiotu udostępniającego te informacje np. bankowi. Zapis ten wymaga szczegółowej interpretacji, ponieważ takie skrajne podejście do kwestii ograniczenia przechowywania danych dla wielu instytucji pod względem technicznym będzie trudne w realizacji. Z kolei ograniczenie celu wykorzystania danych zostało wprowadzone, by sankcjonować użycie danych do innych celów, niż te, na które wyraził zgodę użytkownik w momencie ich przekazania. Respektowanie tego wymogu wymusza na firmach, z jednej strony – zmianę wielu formularzy i odpowiednich struktur danych, z drugiej – może mieć wpływ na przepływ danych w systemach CRM, hurtowaniach danych, które zbierają je z systemów głównych i często używają tych informacji do efektywniejszej analizy potencjału nabywczego klienta.” – wyjaśnia Tomasz Dziedzic, Linux Polska.
Zdaniem eksperta Linux Polska jest zaskakujące, że „tylko” ponad co piąty ankietowany wymienił obowiązek powiadamiania konsumentów o naruszaniu bezpieczeństwa danych osobowych w ciągu 72 godzin od wykrycia takiego zdarzenia.
“Gdy nowe regulacje weszły w życie, firmy z sektora finansowego najgłośniej mówiły o tym, jak gigantyczne kary pieniężne mogą zapłacić banki, jeżeli nie spełnią obowiązku dotyczącego powiadamiania w ciągu 72 godzin o naruszenia czy wycieku danych osobowych. Natomiast wyniki ankiety mogą sugerować, że ten wymóg został niedoceniony przez respondentów. Ten fakt zdumiewa tym bardziej, że wskazany czas, czyli trzy doby, musi wystarczyć na analizę przyczyny, zakresu i konsekwencji naruszenia danych oraz na powiadomienie o tym fakcie klienta. Jeżeli dana instytucja chce się odpowiednio przygotować do tego zadania, powinna liczyć się z tym, że takie działanie będzie wymagać wdrożenia we właściwym czasie niezbędnych rozwiązań informatycznych.” – dodaje Tomasz Dziedzic, Linux Polska.
Nieodpowiednia infrastruktura IT mniejszym problemem niż niejasności przepisów
Jak zauważa Marek Najmajer, przedstawiciele sektora bankowego biorący udział w badaniu również nie zwrócili szczególnej uwagi na kwestie techniczne związane z bezpieczeństwem systemów informatycznych stosowanych przez banki oraz przygotowanie ich na wymogi stawiane przez RODO. Ich zdaniem niejasności dotyczące ostatecznego kształtu przepisów czy duże nakłady finansowe potrzebne do przygotowania się firmy na obowiązywanie nowych regulacji (odpowiednio 54 i 27 proc. ankietowanych) stanowią dla banków większe przeszkody niż nieodpowiednia infrastruktura IT wewnątrz reprezentowanej instytucji (13,5 proc.).
“Przed takimi instytucjami jak banki, RODO w pierwszej kolejności stawia obowiązek wdrożenia niezbędnych rozwiązań, które jeszcze w efektywniejszy sposób niż dotychczas będą pomagały dbać o bezpieczeństwo danych osobowych klientów. Chodzi przede wszystkim o weryfikowaniei usprawnienie istniejących systemów informatycznych stosowanych przez banki, które odpowiadają za bezpieczeństwo danych osobowych. Inwestowanie w rozwiązania IT, które będą zgodne z wymogami stawianymi przez nowe regulacje, to dopiero kolejny etap.” – komentuje Marek Najmajer, ekspert Linux Polska.
Zasugerowane podejście nie oznacza całkowitej wymiany oprogramowania dbającego o bezpieczeństwo danych, a raczej wsparcie go nowymi rozwiązaniami zgodnymi z wymogami stawianymi przez RODO i zadbanie o jak najszybsze obniżenie poziomu ryzyka związanego z naruszeniem danych. To podejście powinno eliminować obawy banków o przeznaczenie znacznych środków na dostosowanie się do unijnej regulacji.
