Wszelkie obowiązki i zmiany wynikające z RODO znajdują swoje zastosowanie w działach finansowo-kadrowych, jednakże ilość informacji o klientach, kontrahentach i partnerach, jakie te działy przechowują i przetwarzają sprawia, że podlegają one również innym niż RODO przepisom.
Jakie kwestie RODO odnoszą się do instytucji finansowych i kadrowych?
Tak jak do tej pory, organizacje, które przetwarzają dane osobowe będą musiały mieć uzasadnione podstawy na ich przetwarzanie. Jeśli podstawą, którą bierzemy pod uwagę, jest zgoda podmiotu którego dane są przetwarzane, zgodnie z wymogami RODO, zgoda taka powinna mieć charakter konkretny i odnosić się do określonego działania związanego z przetwarzaniem tych danych. Jest to istotna zmiana dla instytucji finansowych które będą teraz wymagały pewnej formy wyraźnego działania afirmatywnego od osoby, której dane dotyczą, tak aby nadal przechowywać takie dane osobowe w swoich systemach elektronicznych. Obecna praktyka, gdzie bazując na milczeniu czy bezczynności klienta lub też wykonywaniu różnych działań w oparciu o politykę wyrażania swoich preferencji poprzez wybieranie pewnych opcji w polach, w których należy tego dokonać poprzez kliknięcie myszką, nie będzie już wystarczająca. Ponadto podmiot danych będzie miał prawo do wycofania tej akceptacji w dowolnym czasie. Uzyskana zgoda niesie ze sobą również inne prawa, jakie osoby których dane są przetwarzane posiadają: „prawo do przenoszenia danych” czy “prawo do bycia zapomnianym”. Jest bardzo możliwe, że instytucje finansowe zaniepokojone obciążeniem jakie mogą odczuwać w związku z utrzymaniem zgodności z RODO, będą starały się odejść od polityki uzyskania zgody jako przedmiotu przetwarzania.
W dzisiejszym świecie cyfrowym potrzeba właściwego użytkowania, zarządzania i optymalizacji danych klienta nigdy nie była większa. Połączone ze sobą urządzenia oraz dane, które udało się zebrać właśnie za ich pośrednictwem, generują dane osobowe wykorzystywane do przewidywania preferencji osobistych i zachowań, a także budowania profili klientów, co może skutkować dopasowaniem usług do potrzeb i wymogów klientów. Zgodnie z nową dyrektywą, instytucje finansowe będą zobligowane rozważyć wszelkie czynniki używane podczas przetwarzania danych osobowych (jak dane online adresy IP, lokalizację danych, ciasteczka). Kolejnym pytaniem, które powinny sobie zadać takie instytucje to czy swoje działania uzależniają od uzyskanej zgody, w jaki sposób ją otrzymują oraz czy włącza ona również pozyskanie zgody na dane online i użycia do których mogą mieć one zastosowanie.
Instytucje finansowe będą musiały zapewnić, że posiadają funkcjonalność techniczną konieczną do wdrożenia i będącą zgodną z wymogami RODO. Systemy używane przez instytucje mają wyszukiwać i wyodrębniać wszelkie dane osobowe konkretnego podmiotu. Nowi uczestnicy rynku, którzy potrafią budować swoje systemy od zera, bazując na ich spójności z pojęciem „privacy by design and privacy by default”, mogą mieć przewagę konkurencyjną nad tymi, którzy są hamowani przez niewygodne technologie. Z tego też względu, RODO powinno być postrzegane jako szansa na poprawę lub zastąpienie baz danych, systemów i tych zarządzających dokumentami, mając na względzie zachowanie trzech nadrzędnych celów: systemy mają być zgodne z RODO, idealnie było by gdyby mogły wykorzystywać najnowsze cyfrowe technologie i stały się jeszcze bardziej odporne na cyberataki.
Finansowa cena za niedopełnienie któregokolwiek z wymogów RODO jest bardzo wysoka, bo wynosi aż 4% obrotów. Wymaganie dotyczące obowiązkowego raportowania naruszeń zarówno regulatorów, jak i niektórych klientów dotkniętych takimi sytuacjami wnosi dodatkowy element ryzyka jakim jest szkoda reputacyjna.
Instytucje finansowe i kadrowe muszą być przygotowane stawić czoła surowym spojrzeniom mediów i kontroli ze strony klientów, jeśli okaże się, że w jakikolwiek sposób zostały uznane za niezgodne z RODO. Będą również musiały zapewnić, że dysponują zasobami pozwalającymi zarówno ocenić, czy doszło do naruszenia, a następnie zgłosić je w ciągu 72 godzin od momentu ustalenia, że taka sytuacja miała miejsce. W zaciętej konkurencji przemysłu usług finansowych, w przypadku kiedy wyciek lub korupcja danych mogą potencjalnie spowodować oczywistą szkodę finansową jakiejkolwiek osoby, klienci będą szukać innych dostawców, którzy zaoferują im należyte zaufanie i ochronę danych osobowych.
Wymagania odnoszące się do “privacy by design” oznaczają teraz, że po wystąpieniu naruszenia, organy nadzoru zbadają środki, używane przez daną organizację do ochrony danych osobowych w celu ustalenia wysokości grzywny. Działania inspektora ochrony danych i rozwiązanie będące odpowiedzią na zaistniałą sytuację są zatem niezwykle istotne. Nikt nie jest chroniony przed naruszeniem, ale jeśli organizacja wdrożyła działania proaktywne już w procesie zarządzania ryzykiem, można na nią spojrzeć przychylniej.
Zobacz naszą ofertę wdrożenia RODO
