Firmy z sektora finansowego pilnie przygotowują się do wejścia w życie Rozporządzenia o Ochronie Danych Osobowych (RODO). Co dokładnie zmieni się dla nich oraz ich klientów po 25 maja w zakresie wewnętrznych procedur, dotyczących obrotu danymi osobowymi, automatyzacji procesów profilowania klienta, a także reklamowania produktów finansowych, na przykład na Facebooku? Wyjaśnia mec. Paweł Pawlukiewicz, Członek Zarządu Aasa Polska.
Branża finansowa a RODO
Pomimo zbliżającego się terminu wejścia RODO w życie prace nad ustawą na szczeblu krajowym jeszcze trwają. Dodatkowo Ministerstwo Cyfryzacji poinformowało, że z uwagi na szybki rozwój technologii prawdopodobnie szczegółowe regulacje zostaną zastąpione ogólnymi wytycznymi na temat tego, co należy chronić i w jaki sposób.
Wiadomo jednak, że niektóre firmy z branży finansowej będą zmuszone powołać Inspektora Ochrony Danych, który będzie nadzorował przeprowadzanie procedur wewnętrznych. Taki obowiązek będą miały podmioty, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli ich działalność polega stricte na przetwarzaniu w szerokim zakresie szczególnych kategorii danych osobowych.
Istotną sprawą dla firm związanych z sektorem finansowym jest kwestia automatyzacji procesów profilowania klienta. RODO wymaga, aby mimo wszechobecnych chatbotów i nowych technologii pozwalających na automatyczną wycenę wysokości ubezpieczenia lub pożyczki, w procesie decyzyjnym uczestniczył człowiek, który ostatecznie oceni możliwości klienta. Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji – w tym profilowania, czyli oceny czynników osobowych osoby fizycznej – jest coraz powszechniejszym zjawiskiem.
Finanse, bankowość, ubezpieczenia, ochrona zdrowia, branża reklamowa – to tylko niektóre z sektorów, gdzie korzysta się już z operacji profilowania. Ma to, oczywiście, związek z dynamicznym rozwojem technologicznym i praktycznie nieograniczonymi możliwościami gromadzenia i analizowania danych. Profilowanie skutecznie pomaga w analizie i wyciąganiu wniosków z zebranych danych.
Problem jednak w tym, że osoby, których dane dotyczą, często nie są nawet świadome, że tego typu operacje są dokonywane na ich danych osobowych – trudno im więc korzystać z przysługujących im praw związanych z przetwarzaniem ich danych i kwestionować dla przykładu trafność takich operacji. A jeśli konkretnej osobie zostaną przypisane nieprawidłowe atrybuty, może to w konsekwencji doprowadzić do sytuacji, w której przetwarzane dane są po prostu niepoprawne.
Ogólne rozporządzenie o ochronie danych kładzie szczególny nacisk na operacje przetwarzania przy użyciu technik profilowania, w sytuacji kiedy to przetwarzanie: jest zautomatyzowane, dokonywane jest na danych osobowych lub ma na celu analizę lub prognozę aspektów dotyczących efektów pracy osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Co do zasady, każda osoba, której dane dotyczą, ma prawo, by nie podlegać decyzji opierających się na przetwarzaniu zautomatyzowanym – w tym profilowaniu – i wywołującej dla niej określone skutki prawne (np. brak możliwości udzielenia kredytu lub pożyczki). Rozporządzenie wyraźnie wskazuje więc trzy sytuacje, w których profilowanie będzie możliwe, tj.:
– kiedy jest to niezbędne do zawarcia lub wykonania umowy,
– przepis prawa na to zezwala,
– osoba, której dane dotyczą, udzieliła wyraźnej zgody.
W każdym z powyższych przypadków, od administratora danych oczekuje się wdrożenia środków technicznych i organizacyjnych, mających na celu właściwe i bezpieczne przetwarzanie danych przy użyciu technik profilowania. Szczególnie, jeśli do profilowania używa się szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dzieci. Wszystkie zasady przetwarzania danych (jak zasada adekwatności czy ograniczonego celu) również będą miały tu zastosowanie. Przede wszystkim należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o jego konsekwencjach – w szczególności o zasadach podejmowania decyzji na tej podstawie. Pamiętać należy także o możliwości złożenia – w dowolnym momencie i bezpłatnie – sprzeciwu wobec przetwarzania swoich danych osobowych, szczególnie jeśli są one przetwarzane na potrzeby marketingu bezpośredniego. Pewnym jest, że wraz z wejściem w życie RODO wszystkie bazy danych dotyczące klientów będą musiały być znacznie bardziej uporządkowane. Jeśli dana osoba wycofa upoważnienie do przetwarzania jej danych osobowych, firma będzie musiała zrealizować jej prośbę i usunąć ze swoich systemów wszelkie informacje jej dotyczące. Może to być problematyczne z uwagi na to, że niektóre przepisy wymagają przechowywania danych o umowach lub klientach przez określony czas – czasami dłuższy niż klient by sobie tego życzył, wycofując wcześniej zgodę na przetwarzanie danych.
RODO a marketing na Facebooku
Po wejściu w życie nowych przepisów zmienią się także niektóre zasady dotyczące reklamowania produktów finansowych na portalu Facebook. Narzędziem chętnie wykorzystywanym na Facebooku przez marketingowców są tzw. Lead Ads, które umożliwiają pozyskanie danych w bardzo prosty sposób – wystarczy, że użytkownik kliknie dwa razy w odpowiednim miejscu. Co ważne, wszystko dzieje się w obrębie portalu, bez konieczności odsyłania użytkownika do oddzielnej strony. Niestety w takiej formie rozwiązanie to jest niezgodne z RODO.
Co zrobić, żeby nie naruszyć przepisów rozporządzenia? Zgoda na przekazanie danych osobowych musi być wyraźna, dlatego lepiej zrezygnować z formularzy wypełnianych domyślnie. Warto też zadbać o ich treść tak, aby w jasny sposób poinformować użytkownika, że podaje dane w zamian za określone korzyści. Dobrym rozwiązaniem mogą być również checkboxy – szczególnie, jeśli chcemy uzyskać oddzielne zgody na udostępnienie numeru telefonu lub adresu mailowego.
Podstawową zasadą jest transparentność i dbałość o uświadomienie użytkownika na co konkretnie wyraża zgodę. RODO wymaga, aby zgoda była świadoma, a nie wyłudzona – sam Facebook zachęca, aby treść reklamowa w Lead Ads była odpowiednio rozwinięta i dokładnie określała, że użytkownik zgadza się przesłać dane kontaktowe, by później otrzymywać oferty.
Warto również pamiętać, że reklamy na Facebooku nie mogą zawierać próśb o podanie informacji finansowych (numerów rachunków bankowych, numerów identyfikacyjnych banku, numerów kart kredytowych i debetowych, ocen zdolności kredytowej, dochodów, posiadanych środków netto lub zadłużenia) bez uprzedniego uzyskania zezwolenia osoby, do której te dane należą.
Sankcje za niestosowanie się firm do nowych przepisów
Za złamanie przepisów dotyczących ochrony danych osobowych po 25 maja będą groziły nowe sankcje karne, a także administracyjnoprawne i cywilnoprawne. RODO wprowadza dodatkowo wysokie administracyjne kary pieniężne za naruszenie jego postanowień. Wysokość kary będzie określana w odniesieniu do każdego przedsiębiorcy.
Rozporządzenie wyróżnia dwa przedziały kar z zależności od zakresu złamania przepisów: do 10 milionów euro lub do 2 procent wartości rocznego globalnego obrotu przedsiębiorstwa (w przypadku naruszenia art. 8, 11, 25 – 39 oraz 42 i 43) albo do 20 milionów euro lub do 4 procent wartości rocznego światowego obrotu przedsiębiorstwa (w przypadku naruszenia art. 5, 6, 7 oraz 9, 12-22, 44-49) – przy czym w obu przedziałach zastosowanie będzie miała zawsze kara wyższa.
Zmiany do ustawy o ochronie danych osobowych zakładają, że środki finansowe pochodzące z kar pieniężnych będą stanowić dochód budżetu państwa, przy czym 1 procent z nich zostanie przeznaczonych na Fundusz Ochrony Danych Osobowych – państwowy fundusz celowy powołany by upowszechniać wiedzę o prawach i obowiązkach związanych z ochroną danych osobowych.
Czy RODO ochroni konsumentów?
Nowe regulacje mają za zadanie przede wszystkim chronić interesy konsumentów i zadbać o bezpieczeństwo ich danych osobowych. Dotychczas, problemy w egzekwowaniu istniejących uregulowań, były powszechne. Przykładem na to może być Facebook, który umożliwia ściągnięcie na dysk wszystkich dostępnych informacji o danym użytkowniku.
Istotną kwestią dla klientów będzie wyrażanie zgody na przetwarzanie danych osobowych. Od 25 maja przedsiębiorstwa nie tylko będą musiały szczegółowo określić zakres i cel przetwarzania danych, ale również poinformować klientów o możliwości cofnięcia zgody. Podobna informacja powinna być również podana w e-mailach ofertowych.
Może to oznaczać koniec lub ograniczenie sytuacji, w której dzwoniący telemarketer nie chce ujawnić informacji, skąd posiada nasze dane. Z kolei na firmach kupujących bazy będzie spoczywał obowiązek udowodnienia, że uzyskały zgodę na przetwarzanie danych od poszczególnych osób. W przypadku, gdy klient stwierdzi, że takowej zgody nie wyrażał, to firma musi udowodnić, że było inaczej.