Konsument coraz ostrożniejszy
WróćWprowadzenie nowych przepisów o ochronie danych osobowych i dyskusja medialna, która temu towarzyszyła, znacznie podniosła świadomość społeczeństwa w tym zakresie. Świadczyć o tym może duża liczba skarg i zapytań, które od maja 2018 roku wpływają do Urzędu Ochrony Danych Osobowych. Konsumenci przyznają, że bardziej dbają o swoją prywatność i ostrożniej wyrażają zgody na przetwarzanie danych. Znacząco zmieniło się także podejście firm, które przejmują odpowiedzialność za bezpieczeństwo tych informacji – chodzi nie tylko o nowe narzędzia IT, które służą wzmocnieniu ochrony, lecz również wdrożenie odpowiednich procedur oraz edukowanie pracowników.
Zmiany, zmiany, zmiany…
58 proc. konsumentów podkreśla, że stali się bardziej ostrożni w dzieleniu się swoimi danymi z firmami i organizacjami – wynika z globalnego badania Deloitte przeprowadzonego w 11 krajach pół roku po wprowadzeniu w życie nowych przepisów. 41 proc. deklaruje, że więcej uwagi poświęca oświadczeniom dotyczącym prywatności. To, czy wyrażą zgodę na ich wykorzystanie, zależy przede wszystkim od transparentności firmy. Chętniej dzielą się informacjami na swój temat z podmiotami, którym ufają. Przyznają też, że są mniej skłonni, by zrezygnować z usług takiej firmy lub wystąpić z roszczeniem wobec niej, gdy do naruszenia RODO dojdzie. Zachętą do powierzenia firmie swoich danych może także być nagroda, na jaką konsument może liczyć, np. zniżki czy atrakcyjne oferty.
Niewątpliwie RODO wpłynęło na podniesienie poziomu wiedzy na temat ochrony danych osobowych. Ponad połowa badanych przez Deloitte przyznaje, że reguły przetwarzania danych stały się dla nich bardziej zrozumiałe, a trzy czwarte jest świadome kluczowych praw, które wynikają z nowych przepisów. Ze wzrostem świadomości wiąże się jednak również wzrost obaw o utratę kontroli nad danymi. Większość ankietowanych boi się, że informacje na ich temat zostaną niewłaściwie wykorzystane lub też udostępnione nieuprawnionym podmiotom. Chociaż ponad połowa badanych uznaje, że RODO pozytywnie wpłynęło na ochronę danych i ich etyczne wykorzystanie przez firmy i organizacje, to wciąż co piąty obywatel UE uważa, że firmy nie dbają o ich prywatność. Najbardziej surowi w swojej ocenie byli Holendrzy, Francuzi i Niemcy.
Dostosowanie do wymogów nowych przepisów wymagało od firm wielu miesięcy przygotowań, wysokich nakładów finansowych (m.in. w narzędzia IT), wdrożenia odpowiednich procedur i przeszkolenia ludzi, a czasem także zatrudnienia nowych osób. Wiele z organizacji przyznaje, że proces ten jeszcze się nie zakończył i będzie wymagał jeszcze wiele wysiłku. To jednak wyzwanie, które podejmują nie tylko ze względu na wysokie kary finansowe przewidywane w RODO. Widzą w tym również szansę na zbudowanie lojalnej bazy klientów. 17 proc. badanych przez Deloitte twierdzi bowiem, że zmieniliby dostawcę usług, gdyby u poprzedniego doszło do naruszenia ich prywatności. 7 na 10 podkreśla, że taki incydent wpłynąłby na poziom zaufania do tej firmy.
Czym to grozi?
Z przytaczanych przez UODO szacunków wynika, że wartość danych osobowych Europejczyków może w 2020 roku sięgnąć 1 bln euro. Informacje o obecnych i potencjalnych klientach są dziś cenną walutą i stanowią podstawę funkcjonowania wielu firm, ale także wielu oszustów. Czym może grozić utrata danych osobowych. W czarnym scenariuszu może dojść do kradzieży tożsamości, a to z kolei może prowadzić do problemów finansowych, kiedy złodziej zaciągnie w czyimś imieniu kredyt lub pożyczkę. Wrażliwe dane mogą posłużyć także do hejtowania lub ośmieszania, co również może mieć poważne konsekwencje.
Dlatego eksperci podkreślają, że dzieląc się danymi osobowymi, należy zwracać uwagę na to, kto i w jakim celu będzie je przetwarzał, na jakiej podstawie będzie to robił i przez jaki czas, komu będzie je przekazywał. Szczególnie ostrożnym trzeba być przy udostępnianiu wrażliwych danych, np. na temat stanu zdrowia. Przy jakichkolwiek wątpliwościach konsument nie powinien wyrażać zgody marketingowej. Jeśli już to nastąpiło, a obawy o bezpieczeństwo pozostały, można zwrócić się do administratora danych, korzystając z prawa do wglądu w nasze dane, ich sprostowania czy żądania ich usunięcia. Jeśli konsument ma podejrzenia, że informacje o nim są wykorzystywane niezgodnie z prawem, może zwrócić się w tej kwestii do UODO. Jeśli w wyniku utraty danych doszło do szkody materialnej lub niematerialnej, ma on także możliwość dochodzenia swoich praw i żądania odszkodowania przed sądem cywilnym.
Ludzie skargi piszą
Jak przyznała w wywiadzie prezes Urzędu Ochrony Danych Osobowych dr Edyta Bielak-Jomaa, od 25 maja ub.r do końca stycznia br. do urzędu wpłynęło ponad 3 tys. skarg dotyczących przetwarzania danych. Dotyczą one m.in. wymuszania zgód marketingowych, niechcianej korespondencji, udostępniania danych osobom nieuprawnionym, nieprawidłowości przy monitoringu pracowniczym, żądania usunięcia danych osobowych. Chociaż do tej pory kary nie zostały nałożone, to prezes UODO nie wyklucza, że wkrótce takie się pojawią. Kary mogą być bardzo dotkliwe – w skrajnych przypadkach mogą sięgać 20 mln euro lub 4 proc. rocznego globalnego obrotu przedsiębiorstwa. Jak podkreślają przedstawiciele urzędu, każda taka sprawa jest traktowana indywidualnie.
Do urzędu trafia także wiele zawiadomień od firm o naruszeniach ochrony danych osobowych. W wywiadzie z Money.pl Weronika Kowalik, dyrektor Zespołu ds. Sektora Prywatnego w UODO, podkreśliła, że od maja ub.r. do połowy lutego br. wpłynęło ich blisko 2 tysiące (od podmiotów sektora prywatnego). Zgodnie z przepisami administratorzy danych osobowych muszą w określonych przypadkach zgłaszać incydent naruszenia bezpieczeństwa. Mają na to 72 godziny od momentu jego stwierdzenia. Często zgłoszenia dotyczą takich nieprawidłowości jak wysłanie maila z danymi osobowymi do niewłaściwych odbiorców lub z ujawnioną listą adresatów. Rzadziej zdarzają się informacje o wyciekach danych na skutek ataku hakerskiego. Wśród zgłaszających firm są zarówno sklepy internetowe, jak i banki, ubezpieczyciele czy firmy telekomunikacyjne. Jeśli w danej organizacji tego typu incydenty często się powtarzają, staje się do podstawą do wszczęcia kontroli przez UODO. Urząd zapowiada, że będą one prowadzone m.in. w sektorze finansowym w zakresie profilowania klientów, firmach rekrutacyjnych czy podmiotach świadczących usługi medyczne. Na celownik UODO bierze także kwestie telemarketingu oraz monitoringu w firmach.
RODO w ubezpieczeniach
Pierwsze miesiące obowiązywania RODO pokazały, że ochrona danych osobowych jest wyzwaniem dla firm i organizacji w każdej branży. Szczególnie istotne jest to w takich sektorach jak ubezpieczenia, gdzie przetwarzane są duże ilości danych i to tych wrażliwych, a dodatkowo istnieją wymogi dotyczące np. retencji danych. Jak wynika z analizy ODO 24, do firm ubezpieczeniowych trafia sporo żądań od osób fizycznych dotyczących realizacji praw wynikających z RODO. Najczęściej dotyczą one prawa do bycia zapomnianym. Jednak w większości przypadków są one rozpatrywane negatywnie, właśnie ze względu na obowiązujące terminy przechowywania danych osób ubezpieczonych.
Eksperci ODO 24 podkreślają, że w sektorze istotne jest wdrożenie odpowiednich procedur, które ułatwią i przyspieszą (zgodnie z terminami wyznaczonymi przez RODO) rozpatrywanie takich żądań. Praktyka pokazuje, że ubezpieczyciele powinni postawić na edukację pracowników i agentów w zakresie bezpieczeństwa informacji, bo to oni są częstym źródłem incydentów naruszenia danych osobowych. Szczególnie ważny jest aspekt uregulowania kwestii przekazywania danych osób ubezpieczonych podmiotom trzecim, np. firmom likwidującym szkody. Zgodnie z przepisami ubezpieczyciel może takie dane udostępnić na zewnątrz, jednak musi upewnić się, czy podmiot trzeci gwarantuje zgodność z RODO. Taka weryfikacja to proces żmudny, ale konieczny, bowiem za wszelkie nieprawidłowości związane z naruszeniem ochrony danych osobowych przez firmę trzecią odpowiedzialność ponosi zakład ubezpieczeń.