Dwa lata po wejściu na europejski rynek, Verve, właściciel nowatorskiej platformy mobilnego marketingu postanowił wycofać ją ze Starego Kontynentu. Wszystko przez RODO – Uznaliśmy, że środowisko regulacyjne nie sprzyja naszemu modelowi biznesowemu. Postanowiliśmy więc skupić się na wzmocnieniu naszej działalności na terenie Stanów Zjednoczonych – ogłosiła Julie Bernard, CMO w Verve. Tymczasem inni przedstawiciele branży podeszli do sprawy bardziej zachowawczo, zlecając audyty swoich usług, inwestując w specjalistyczne oprogramowanie i dostosowując wewnętrzne procedury do nowych przepisów. Czego możemy się po nich spodziewać? Przedstawiamy 5 nieoczywistych scenariuszy:
Słone kary? Niekoniecznie.
Najwięcej obaw przedsiębiorców wywołują słone kary za niespełnienie wymagań RODO. Na zachodzie przewiduje się, że w początkowym okresie obowiązywania RODO, instytucje odpowiedzialne za ochronę danych osobowych traktować będą uchybienia w implementacji nowych przepisów z przymrużeniem oka. Nie znaczy to, że wszystkie niedociągnięcia ujdą płazem. Niemniej, w pierwszych miesiącach raczej nie posypią się najwyższe grzywny, a te - warto przypomnieć - mogą być na tyle bolesne, że w skrajnych przypadkach prowadzenie dalszej działalności gospodarczej przez ukarany podmiot będzie niemożliwe. Maksymalna kara finansowa, o którą mogą się pokusić urzędnicy to 4 proc. globalnego, rocznego obrotu przedsiębiorstwa lub 20 milionów euro, w zależności od tego, która z tych wartości jest wyższa. Firmy działające w Polsce mogą żywić nadzieję, że GIODO zachowa się jak jego brytyjski odpowiednik.
- Sugestie, że będziemy chcieli zrobić przykład z organizacji, które dopuszczają się drobnych naruszeń lub, że maksymalne grzywny staną się normą, to nic innego, jak sianie paniki. Zawsze woleliśmy marchewkę od kija - przekonuje Information Commissioner's Office. Takie stanowisko wydaje się racjonalne, należy jednak wziąć poprawkę na to, że angielski aparat państwowy słynie z przyjaznego nastawienia do biznesu - zarówno firmy z sektora M¦P, jak i międzynarodowych korporacji. Polska tymczasem ma odwrotną renomę.
- Zarówno prawo gospodarcze, w dużym stopniu będące spuścizną po poprzednim ustroju, jak i same urzędy, uważa się za raczej wrogo usposobione względem przedsiębiorców. Pozostaje nadzieja, że w przypadku RODO nasi urzędnicy zachowają się z klasą, a nowe przepisy nie staną się w ich rękach narzędziem do realizowania brudnych interesów - mówi Krzysztof Bryzek, właściciel ATET, jednej z wiodących firm na polskim rynku tłumaczeń.
RODO narzędziem szantażu?
O tym, że cyberprzestępcy słyną z kreatywności wiadomo nie od dziś. Unijna dyrektywa sprzyja wyłudzeniom. Eksperci w dziedzinie cyberbezpieczeństwa przewidują, że crackerzy kraść będą gromadzone przez firmy dane osobowe, by następnie je szantażować. Wciąż nie wiadomo, jakie grzywny stojące na straży RODO instytucje przewidują za wyciek danych osobowych. Nie zmienia to faktu, że przestępcy mogą szacować możliwą wysokość kary i żądać stosunkowo niższego okupu. Z pewnością nie zabraknie przedsiębiorstw, które zapłacą, byle tylko zamieść sprawę pod dywan.
Incydenty z pechowym dostawcą
RODO dla firm to przede wszystkim zmiany. Jedna z największych dotyczy sposobu zarządzania zewnętrznymi dostawcami i partnerami. Nowe prawo odpowiedzialnością za ewentualne naruszenia obarcza zarówno podmiot kontrolujący dane, jak i odpowiedzialny za ich przechowywanie. Innymi słowy, w razie problemu, gromy posypią się jednocześnie na dostawcę chmury obliczeniowej i firmę z niej korzystającą, a to tylko wierzchołek góry lodowej. £ańcuchy dostaw we współczesnych organizacjach są złożonymi sieciami współzależności. Zmapowanie ich i zabezpieczenie to często arcytrudne zadanie. Co zrobić, by zabezpieczyć się przed konsekwencjami płynącymi z uchybień po stronie dostawcy? Zdaniem Piotra Rojka z DSR, firmy dostarczającej zaawansowane rozwiązania IT dla przemysłu, rozwiązanie jest dość proste, a zarazem wymagające od przedsiębiorstw wprowadzenia radykalnych i kosztownych zmian.
- Rozwój chmury obliczeniowej sprawił, że oprogramowanie w modelu SaaS cieszy się dziś ogromną popularnością. Dotychczas głównymi kryteriami doboru dostawcy były cena i bezpieczeństwo. Dla rozwiązań przetwarzających dane klientów, w tym m.in. systemów CRM, takie wytyczne są już niewystarczające. By uniknąć problemów należy dopilnować, by zewnętrzna infrastruktura, z której korzysta oprogramowanie, nie znajdowała się w kraju będącym poza Unią Europejską, gdzie prawo ochrony danych jest znacznie lżejsze. Powinniśmy dążyć do tego, by nasi kontrahenci i dostawcy podlegali tym samym regulacjom - wyjaśnia Rojek.
Niebezpieczeństwo półprawdy
Nick Ismail, dziennikarz portalu Information Aga, zwraca uwagę, że pomimo wysokich kar oraz widma utraty reputacji i płynności w świadczeniu usług, nie wszystkie firmy zdecydują się na pełną synchronizację z nowymi przepisami. Niektóre dołożą wszelkich starań, by ukryć to, że świadomie łamią prawo. Na taki stan rzeczy może mieć wpływ zdefiniowana przez przepisy rola DPO (Data Protection Officer), niezależnego eksperta ds. zgodności działającego wewnątrz organizacji. To prosta droga do powstania kultury „my kontra oni”, będącej doskonałym środowiskiem do tuszowania wykroczeń. Na dłuższą metę prowadzenie takiej polityki z pewnością ściągnie na firmę tragiczne konsekwencje. Z drugiej strony, możemy spodziewać się sytuacji, w których przedsiębiorstwa nie będą przedstawiać całej prawdy o incydentach i to nie z powodu złej woli, lecz braku wystarczających informacji i narzędzi stanowiących kontrolę nad przetwarzanymi danymi osobowymi. Dlatego monitoring sieci, zaawansowane narzędzia do wykrywania naruszeń oraz plany reagowania na sytuacje kryzysowe są niezbędne do właściwego funkcjonowania organizacji w dobie RODO. Warto tu dodać, że według regulacji unijnej, gdy dojdzie do kradzieży danych, podmiot nimi zarządzający ma 72 godziny na zgłoszenie incydentu odpowiednim organom. Większy wgląd w przepływ danych jest więc koniecznością.
- Problem w tym, że z racji na ogrom rozlokowanych w różnych źródłach cyfrowych informacji będących w posiadaniu firm i organizacji, ręczny nadzór nad danymi i filtrowanie ich pod kątem tego czy zawierają dane personalne czy nie jest niemal niemożliwy. Oczywiście można podjąć się jego próby, ale z pewnością będzie ona bardzo kosztowna i wymagająca zaangażowania dużych zasobów ludzkich. Alternatywą może być "zatrudnienie” wirtualnego doradcy Data Protection Officera, w postaci inteligentnego narzędzia skanującego cały cyfrowy dobytek firmy i rozumiejącego kontekst w jakim zastosowano poszczególne frazy, precyzyjnie wychwytując rekordy zawierające personalia. Zarówno w dokumentach, skanach i mailach, jak i plikach audio czy graficznych - tłumaczy Jacek Grzyb z teamLeaders, firmy dostarczającej rozwiązania kognitywne.
RODO to dopiero początek
W cyfrowej gospodarce dane odgrywają główną rolę. Niektórzy nazywają je nową ropą, inni - nową ziemią. Nie ulega wątpliwości, że są one wartościowym towarem, o który firmy biją się nieustannie. Tymczasem, rynek danych uległ centralizacji, a korzyści z ich monetyzacji czerpią przede wszystkim najwięksi gracze. Taki stan rzeczy na całym świecie budzi coraz większy sprzeciw. Bardziej świadoma część społeczeństwa domaga się większej kontroli nad własnymi danymi oraz udziału w zyskach z ich monetyzacji. Pod tymi postulatami podpisuje się coraz prężniej działający ruch #OwnYourData, skupiony wokół środowisk blockchainowych. Trwają również intensywne prace nad rozwojem technologii mających odmienić sposób wymiany danych w internecie.
- Mamy tu do czynienia z gigantycznym rynkiem, na którym to my, zwyczajni ludzie, jesteśmy towarem. Tak być nie powinno. Dane są walutą cyfrowej gospodarki, od tego nie uciekniemy, jednak ta waluta może pracować na naszą korzyść. Pozbawiając firmy zdolności do samowolnej monetyzacji wprowadzamy porządek do internetu. Dzika monetyzacja danych, z którą boryka się współczesny internet, to przede wszystkim problem natury technologicznej i nie można rozwiązać go inaczej, niż za pomocą technologii - mówi Krzysztof Gagacki, twórca IOVO. Opracowana przez niego uniwersalna, zdecentralizowana baza danych, oparta o nowej generacji blockchain, umożliwia internautom bezpieczne gromadzenie cyfrowych informacji oraz ich dobrowolną monetyzację. Po wejściu w życie RODO, rozwiązania decentralizujące rynek danych zyskiwać będą na popularności. Niektórzy futuryści przewidują, że w przyszłości, za ich sprawą, internauci będą w stanie generować bezwarunkowy dochód podstawowy.