8.09.2017 / Biznes
 

Zmiany w ochronie danych osobowych. Banki mogą zapłacić 4,7 mld euro kar

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
 

W ciągu minionej dekady tylko największe europejskie banki padły ofiarą ataków co najmniej 27 razy, z czego niektóre więcej niż jednokrotnie. Z raportu Capgemini wynika, że naruszenia bezpieczeństwa dotyczą nawet 1 na 4 instytucji z sektora finansowego. Jednocześnie tylko co drugi bank lub ubezpieczyciel posiada dziś adekwatną politykę bezpieczeństwa.

Firma AllClear ID oszacowała, że europejskie banki - jeżeli nie zastosują się do wprowadzonych zmian - będą narażone na kary w wysokości nawet 4,7 miliarda euro w ciągu pierwszych trzech lat od momentu obowiązywania nowej unijnej regulacji. Chodzi o RODO, czyli Rozporządzenie o ochronie danych osobowych, po angielsku General Data Protection Regulation – GDPR. Zaczyna obowiązywać już od maja 2018 r.

Jak pokazują badania, ataki, których celem są przechowywane przez instytucje finansowe dane osób fizycznych, stanowią realne zagrożenie biznesowe. Jeden na czterech przedstawicieli banków i firm ubezpieczeniowych, który brał udział w tegorocznym badaniu Capgemini, przyznał, że jego instytucja padła ofiarą ataku hakerskiego. 

Ważnym wyzwaniem jest nowy obowiązek poinformowania o naruszeniu bezpieczeństwa danych w ciągu 72 godzin od incydentu. Sankcjom podlega także m.in. użycie danych do innych celów niż te, na które użytkownik wyraził zgodę w momencie ich gromadzenia. Bowiem wedle nowego prawa, zakres wykorzystania danych zbieranych od użytkownika powinien zostać szczegółowo określony – instytucja finansowa, która pobiera dane od osoby wnioskującej o kredyt, nie może ich użyć do innych działań, np. do oceny wiarygodności klienta w innym obszarze. Ograniczeniom może podlegać także profilowanie i segmentowanie klientów oraz usług pod kątem wybranych danych, na wykorzystanie których nie została udzielona osobna zgoda. 

Najpierw zmiana podejścia, potem inwestycje

Nowe regulacje w zakresie bezpieczeństwa danych osobowych wprowadzają na tyle rozległe zmiany, że instytucje finansowe obawiają się o nakłady finansowe potrzebne do ich wdrożenia. 

- Zanim instytucja zdecyduje się na inwestycje w konkretny produkt związany z nową infrastrukturą zarządzania danymi, powinna zacząć od zmiany swojego dotychczasowego podejścia do prowadzenia biznesu, w szczególności obrotu danymi osób fizycznych. Pierwszym krokiem powinien być audyt tego, w jaki sposób pozyskiwane i przechowywane są dane, do czego są później wykorzystywane, a także, jak zminimalizować ilość przetwarzanych informacji. Inwestycje w narzędzia IT, które pozwolą spełnić wymogi stawiane przez regulację, to dopiero kolejny etap przygotowań – komentuje Marek Najmajer, ekspert Linux Polska.

W świetle dotychczasowych przepisów instytucjom finansowym wystarczała ogólna zgoda na wykorzystanie danych osobowych pobieranych od klientów. Administrator tych danych pozostawał prawnie chroniony, jeśli wdrożył ogólne zasady bezpieczeństwa. Nowe regulacje oznaczają, że wiele systemów IT stosowanych w bankach i instytucjach od wielu lat i działających bez zarzutu, teraz przestanie spełniać swoje funkcje. Nawet dla dużego i dobrze prosperującego przedsiębiorstwa, kompletna zmiana dotychczas używanej infrastruktury IT i wymiana oprogramowania dbającego o bezpieczeństwo baz danych osobowych, byłaby niezmiernie kosztowna. Eksperci sugerują podejście minimalizujące koszty zmian w systemach, zapewniające szybkie korzyści ze wdrożenia. Takie rozwiązanie  polega na ograniczeniu zmian w istniejących już, trudnych do modyfikacji, aplikacjach i otoczeniu ich rozwiązaniami czuwającymi nad przepływem danych.

- Zmiany regulacyjne wymagają uzupełnienia infrastruktury IT, która pozwoli na śledzenie nieupoważnionych prób pozyskania danych osobowych i rejestrację takich działań. Te systemy powinny z kolei współpracować z rozwiązaniami takimi jak platformy SIEM (Security Information and Event Management), które służą do zaawansowanej analityki zdarzeń i powinny zostać poszerzone o analizę zachowań użytkownika. Takie rozwiązanie pozwala z jednej strony na ochronę przed incydentami złamania bezpieczeństwa, z drugiej dostarcza dodatkowych informacji o wszystkich udostępnieniach, odczytach, zapisach, przekazaniach danych. Pozwala też na zweryfikowanie, czy na każde z tych udostępnień, została udzielona zgoda właściciela danych. Dodatkowo umożliwia sprawdzenie, czy dane nie zostały nielegalnie pobrane – wyjaśnia Marek Najmajer.

Zdążyć na czas

Jednym z ważniejszych wyzwań związanych z przystosowaniem się przez instytucje finansowe do wprowadzenia GDPR jest krótki czas pozostały do momentu, kiedy zaczną obowiązywać regulacje (maj 2018), przy jednoczesnych wątpliwościach związanych z interpretacją przepisów.

- Firmy, które do tego momentu nie rozpoczęły jakichkolwiek działań, już są spóźnione. Jeżeli chodzi o czekające je kary, jeszcze nie ma wykładni prawnej, więc nie ma pewności, jak będzie wyglądało w praktyce egzekwowanie nowego prawa. Dopiero pierwszy wyrok skazujący będzie wskazówką dla sądów, jak rozpatrywać takie sprawy. Wydaje się, że pomóc w uniknięciu lub ograniczeniu kar tym firmom, które jeszcze nie zaczęły przygotowań do wdrożenia nowych regulacji może rzetelna ocena ryzyka i analiza tych aplikacji i oprogramowania, którym dysponują obecnie oraz realny i wdrażany plan działań zmierzających do ograniczenia tego ryzyka – dodaje Marek Najmajer.

  • Facebook Polub
  • LinkedIn Opublikuj
  • Twitter Udostępnij
wizytówki firm
szukasz klientów dla firmy?
  • TBMS Digital Marketing Agency TBMS Digital Marketing Agency

    Projektujemy i wdrażamy strony internetowe - m.in. sklepy, landing page, firmowe. Świadczymy usługi związane z...

    Zobacz profil w katalogu firm
  • NuOrder NuOrder

    Jesteśmy partnerem marek w zakresie kompleksowych działań interaktywnych i kampanii performance. Budujemy...

    Zobacz profil w katalogu firm
  • grey tree sp. z o.o. grey tree sp. z o.o.

    Istniejemy na rynku reklamowym od 2007 r. Przez ten czas zbudowaliśmy nie tylko naszą markę, ale przede wszystkim...

    Zobacz profil w katalogu firm
Trwa zapisywanie komentarza
Dodaj komentarz
Zaloguj się
Jeśli nie masz jeszcze konta w Interaktywnie.com - możesz się zarejestrować albo
wymagane
 
obrazek nieczytelny
 
 
wyślij
wizytówki firm
szukasz klientów dla firmy?
NuOrder
 
Arrow
newsletter
Arrow
Loader
Up Down
ostatnie komentarze
 
Dołącz do społeczności interaktywnie.com
 
 
 
 
© 2019 interaktywnie.com. All rights reserved.