- Nie jestem zwolennikiem straszenia, ale teraz to zrobię: rozporządzenie unijne daje możliwość nałożenia kary w wysokości 20 mln euro albo 4 proc. obrotu. A mowa o obrotach światowego koncernu, a nie tylko polskiego oddziału. Co więcej, na polski podmiot karę będzie mógł nałożyć organ niemiecki czy francuski – tak ubezpieczycieli straszył jeszcze w maju br. podczas kongresu Polskiej Izby Ubezpieczeń dr Maciej Kawecki, doradca w Ministerstwie Cyfryzacji.
Mówił o rozporządzeniu unijnym RODO, które wymusza zmianę prawa o ochronie danych osobowych w państwach członkowskich. I te właśnie zmiany szykuje teraz Ministerstwo Cyfryzacji. To będzie prawdziwa rewolucja.
Gigantyczna zmiana informatyczna
Rewolucja będzie dotyczyła wszystkich firm, które przechowują dane osobowe. Ale banki i ubezpieczyciele są w szczególnej sytuacji. Bo przecież tajemnica bankowa, bo ocena jego zdolności kredytowej albo stanu zdrowia.
Dlatego MC konsultuje projekt ustawy z bankami i ubezpieczycielami w ramach Związku Banków Polskich i Polskiej Izby Ubezpieczeń. Wraz z nową ustawą zmienić będzie się musiało również prawo bankowe czy ubezpieczeniowe. I wiele innych. W sumie ok. 600 aktów prawnych.
- To jeden z największych projektów od lat zarówno jeśli chodzi o skalę oraz koszty, jak i ilość zmian. To jedna z największych zmian legislacyjnych w Polsce w ostatnim czasie – podkreśla dr Tadeusz Białek, dyrektor zespołu prawno-legislacyjnego w ZBP.
Wdrożenie rozporządzenia RODO jest dla banków również jednym z największych projektów informatycznych w ciągu ostatnich kilku lat. - Zmiany, jakie są konieczne w ich systemach informatycznych, wymagają dużych budżetów – podkreśla Białek.
Ubezpieczyciele wcale nie mają łatwiej.
Ubezpieczyciele robią wspólną check-listę
PIU cały czas prowadzi konsultacje z Ministerstwem Finansów oraz z Ministerstwem Cyfryzacji. Jaki będzie efekt, okaże się lada dzień, kiedy projekt ustawy ujrzy światło dzienne. Ale branża już od roku przygotowuje się na zmiany.
Powiedzieć, że jest popłoch, byłoby przesadą, ale ubezpieczyciele obawiają się, że pogubią się we wszystkim, co muszą zmienić, żeby nie groziły im wielomilionowe kary. Dlatego, zamiast ze sobą konkurować jak zwykle, postanowili współpracować w ramach Polskiej Izby Ubezpieczeń.
Z naszych nieoficjalnych informacji wynika, że każdy ubezpieczyciel dostał przygotowaną check-listę i odhacza, co już zrobił, a z czym musi się pospieszyć.
A zadań jest dużo. - Po pierwsze zakład musi przejrzeć wszystkie procesy biznesowe, w których w jakikolwiek sposób przetwarza się dane. Dotyczy to po kolei: podstaw prawnych, celów przetwarzania danych, realizacji obowiązków informacyjnych, sytuacji powierzania przetwarzania danych innym podmiotom, przetwarzania danych pozyskanych od innych podmiotów, dokumentacji przetwarzania danych po zastosowanie środków technicznych i organizacyjnych zabezpieczenia danych osobowych oraz archiwizacji – wylicza Marcin Tarczyński z Polskiej Izby Ubezpieczeń.
- Do tego dochodzi proces zbierania zgód na przetwarzanie danych, procedura zgłaszania naruszeń, ocena wpływu na prywatność przy tworzeniu lub modyfikacjach produktów czy obowiązek wyznaczenia inspektora ochrony danych – kontynuuje Tarczyński.
Odhaczanie zadań na liście zaczęło się już dawno. Ale nie do końca wiadomo co robić. Bo rozporządzenie RODO jest dość ogólne. Dopiero zmiany w polskim prawie będą szczegółowe, a poznamy je dopiero w lipcu.
Potem czas na konsultacje społeczne i uzgodnienia międzyresortowe. Jesienią zmiany w prawie mają być głosowane w parlamencie. Vacatio legis wyniesie zaledwie kilka miesięcy, bo przepisy muszą wejść w życie w maju 2018 r. To niewiele czasu jak na przeprowadzenie rewolucji.
Chcę moje dane. Natychmiast
Co się zmieni? Po pierwsze chodzi o prawo do przenoszenia danych osobowych.
- Każdy będzie miał prawo wystąpić z żądaniem, żeby w trybie natychmiastowym przekazać mu wszystkie jego dane osobowe. Każdy obywatel będzie też mógł zażądać przekazania swoich danych innemu podmiotowi, gminie, MOPS-owi czy innemu bankowi lub ubezpieczycielowi. Jak nie, kara 20 mln euro, i dla tego, który tych danych nie udostępni, i dla tego, który nie może ich odebrać. Dlatego tak ważne, żeby wszyscy wypracowali kompatybilny system – wyjaśniał dr Kawecki.
- Ale, co ważne, nie będzie można przenieść kredytu czy innej usługi do innego banku. Bo chodzi o przeniesienie jedynie danych. To oznacza, że możliwe będzie przeniesienie np. historii rachunku – przestrzega dr Białek z ZBP. I dodaje: do tej pory zresztą klienci też mieli takie prawo, ale w trybie pisemnego upoważnienia do udostepnienia tajemnicy bankowej.
W praktyce było ono więc realizowane tylko na papierze.
RODO wprowadza również prawo do bycia zapomnianym. - Ale w przypadku banków musi być ono ograniczone innymi przepisami prawa. Nie może być przecież tak, że klient nie spłacał w terminie kredytu i zażąda usunięcia swojej historii kredytowej z rejestru dłużników. Takie dane przecież prawo nakazuje zbierać – podkreśla dr Białek.
Zobacz również: kontrola sklepów i przychodni. GIODO sprawdzi ochronę danych osobowych
Tylko niech klient nie pyta za często
Rozporządzenie sporo namiesza, nakładając na firmy obowiązki informacyjne. Ale tu banki i ubezpieczyciele chcą specjalnych warunków.
- Banki w rozmowach z Ministerstwem Cyfryzacji postulowały ograniczenie obowiązków informacyjnych, żeby nie musiały np. odpowiadać w tym samym trybie na powtarzalne pytania tych samych klientów w krótkich odstępach czasu. Bo załóżmy, że klient codziennie zadaje bankowi pytanie o swoje dane osobowe. To dezorganizowałoby pracę banku – mówi dr Białek.
- Chcieliśmy ograniczenia tego prawa do jednego bezpłatnego zapytania raz na pół roku, pozostałe byłyby odpłatne. Chodzi np. o pytanie, jakie dane klienta są przetwarzane przez bank – wyjaśnia ekspert ZBP.
Ale to, że klient w końcu zacznie pytać, ma też swoje dobre strony. - Ważne jest budowanie świadomości klienta co do zgód dotyczących danych osobowych – podkreśla Paweł Dygas z Departamentu Zarządzania Ryzykiem UNIQA.
- Dodatkową korzyścią będzie jeszcze większa ochrona danych osobowych przed przechwyceniem ich przez inne podmioty takie jak kancelarie odszkodowawcze lub inne firmy ubezpieczeniowe – dodaje Dygas.
Pofilowanie, czyli ktoś cię oceni
Trzecia kluczowa zmiana, jaka czeka banki i ubezpieczycieli to przepisy dotyczące profilowania, a więc przetwarzania danych klienta, które niosą ze sobą element oceny. To po prostu ocena zdolności kredytowej czy analiza szkodowości.
Do tej pory profilowanie nie było regulowane prawem.
- RODO zezwala na profilowanie, ale tylko pod warunkiem, że przepisy prawa krajowego na to zezwalają, lub pod warunkiem uzyskania zgody klienta. Jednak uzyskiwanie takiej zgody w przypadku banków od setek tysięcy klientów byłoby karkołomne. Dlatego nowe przepisy mają w przypadku banków wyraźnie przesądzić możliwość profilowania – tłumaczy dr Białek.
- To oznacza, że zgoda klienta nie będzie potrzeba w przypadku instytucji, z których samego charakteru wynika konieczność profilowania. Przecież dokonanie analizy zdolności kredytowej jest wręcz obowiązkiem banków wynikającym z przepisów prawa – dodaje.
Zmian szykuje się dużo. Ale nie ma wyjścia. Szczególnie że nasze dane osobowe coraz częściej są zagrożone.
- To z racji rosnącej wagi danych osobowych, które coraz częściej postrzegane są jako cenne aktywo firmy - przyznaje Paweł Dygas z Departamentu Zarządzania Ryzykiem UNIQA.
- Oczekujemy wzmożonej aktywności podmiotów, które będą próbowały przechwycić lub wykraść zbiory danych osobowych firm ubezpieczeniowych – przyznaje szczerze Dygas.