Regulacje dotyczące ochrony danych osobowych – zarówno te polskie jak i unijne – powstały w trosce o zapewnienie każdemu obywatelowi prawa do prywatności. Nikt jednak nie uczył nas jak z niego korzystać. Dopiero od kilkunastu lat jesteśmy społeczeństwem informacyjnym i zaczynamy dostrzegać zagrożenia dla ochrony naszych i powierzanych nam np. w pracy danych. Realizowane są projekty edukacyjne, które mają zwiększyć naszą wiedzę z tego zakresu. Na uwagę zasługują kampanie: mBanku „Nie robisz tego w realu? Nie rób tego w sieci!” i Fundacji Wiedza To Bezpieczeństwo „Potencjalnie nieBezpieczni” oraz inicjatywa Fundacji Nowoczesna Polska „Cybernauci – kompleksowy projekt kształtowania bezpiecznych zachowań w sieci”.
RODO.
Wsparcie się przydaje
Nowe przepisy
27 kwietnia 2016 roku Unia Europejska przyjęła rozporządzenie o ochronie danych osobowych (potocznie nazywane RODO), które wprowadza jednolite prawo w tym zakresie we wszystkich państwach członkowskich. Nowe przepisy dotyczą przeciętnych Kowalskich, organów publicznych, a także przedsiębiorstw przetwarzających dane osobowe, nawet na małą skalę. Jak wpłyną na firmy i realną ochronę naszego prawa do prywatności?
Wejście w życie RODO będzie wiązało się ze zmianą podejścia do ochrony danych osobowych przez właścicieli i osoby zarządzające firmami. Dla dużych organizacji, zwłaszcza tych których główna działalność opiera się na przetwarzaniu danych osobowych na dużą skalę, zmiany będą rewolucyjne. Jeden z czołowych telekomów po przeprowadzeniu audytu wewnętrznego zgodności z RODO stwierdził, że RODO ma wpływ na 90% jego biznesu. Zmiany nie obejmą, jak można by się spodziewać, tylko działu technicznego, budowy i serwisowania stacji anten. Firma będzie musiała dostosować do wymogów rozporządzenia m.in. kwestie związane z realizacją praw obywateli, np. odpowiednio wywiązywać się z obowiązku informacyjnego, poinformować o zamiarze przekazania danych, czasie ich usunięcia, zapewnić możliwość kontaktu z inspektorem ochrony danych (następcą obecnie funkcjonującego administratora bezpieczeństwa informacji). Zapewnić realizację nowych uprawnień jak prawo do przeniesienia danych czy prawo do bycia zapomnianym. Przebudować swoje systemy IT, aby te prawa mogły zostać zrealizowane. Przebudować organizację aby sprostać wyzwaniom jakie niosą wymagane przez RODO zasady domyślnie włączonej ochrony danych i wbudowanej ochrony danych już w fazie projektowania usług i produktów. Dostosowanie do nowych regulacji może się okazać czasochłonne i wymagające znacznego zaangażowania sił i środków. Społeczeństwo staje się coraz bardziej świadome swoich praw i przywiązuje wagę do ochrony prywatności. Tym bardziej przedsiębiorcy nie mogą pozwolić sobie na pomijanie tego aspektu przy wdrażaniu nowych regulacji. Unia Europejska przewidziała dwuletni okres dostosowawczy, ale wiele firm do tej pory nie zaczęło tego procesu. Można się domyślać, że część z nich po prostu nie wie od czego zacząć. Najlepszym rozwiązaniem w takiej sytuacji jest przeprowadzenie audytu zgodności z RODO, który pozwoli na przygotowanie dedykowanej danej organizacji mapy dostosowania. Większe organizacje powinny także rozważyć analizę i szacowanie ryzyka, która w sytuacji gdy organizacja ma wiele procesów i przetwarzania większe ilości danych osobowych stanowi niejako punkt wyjścia do konstruowania adekwatnego do zagrożeń systemu ochrony danych.
RODO a klienci
Spore zmiany w zakresie zarządzania danymi osobowymi czekają sektor Call Center. Inaczej będą wyglądały przede wszystkim relacje wynikające z outsourcowania procesów dla firm telekomunikacyjnych. Jeżeli okaże się, że klient Call Center jest zobowiązany na mocy przepisów RODO do wyznaczenia inspektora ochrony danych (IOD), dlatego że przetwarza dane osobowe na znaczną skalę lub przetwarza dane szczególnych kategorii (na dziś te dane nazywają się danymi wrażliwymi, to informacje np. o stanie naszego zdrowia czy pochodzeniu rasowym) to zgodnie z przepisami RODO Call Center też będzie musiało wyznaczyć IOD (ta funkcja może zostać wyoutsourocowana w wyspecjalizowanej firmie, chociażby naszej). To również oznacza, że relacje pomiędzy klientami, a usługodawcą Call Center będą wymagały większych nakładów na ochronę danych osobowych jak i bezpieczeństwo informacji. Ich pokrycie będzie leżało po stronie Call Center. Konieczność przeprowadzania okresowej weryfikacji zgodności działań Call Center z przepisami RODO przez IOD z pewnością w wielu podmiotach wykaże szereg niezgodności, które będą musiały zostać zniwelowane. Proces dostosowawczy może się więc okazać czasochłonny i kosztowny. Dużym plusem jest to, że dane osobowe i inne cenne informacje z czasem będą coraz lepiej chronione, a w społeczeństwie informacyjnym, informacja to złoto XXI wieku.
Największym wyzwaniem w Call Center po wejściu w życie RODO pozostanie zarządzanie nagraniami rozmów. Nagrania rozmów telefonicznych są bardzo często jedynym niezaprzeczalnym dowodem na prawidłowo wykonaną usługę. Weryfikacja możliwości przechowywania nagrań rozmów telefonicznych względem poszczególnych klientów, a ostatecznie wobec poszczególnych osób może być bardzo utrudniona. Obecnie takie nagrania są przechowywane najczęściej jedynie w celu badania jakości usług, a potem przekazywane klientowi. Jednak znaczna ich część nie jest usuwana, zdarza się, że klient sam nie ma wdrożonego systemu ochrony danych osobowych i nie zadbał o to by ten proces był wdrożony po stronie Call Center. Z drugiej strony w Call Center (szczególnie tych mniejszych) mogą nie być wdrożone procedury w tym zakresie. Skutkuje to tym, że przechowywane są nagrania „od początku świata”. Narusza to przepisy RODO. Gdy zaczną one obowiązywać (od 25 maja 2018 roku) to za niespełnienie wymogów związanych z usuwaniem danych, co do których ustał cel przetwarzania będzie mogła być nałożona wysoka kara do 20 000 000 euro, lub 4% całkowitego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.