Nowa unijna regulacja RODO (rozporządzenie o ochronie danych osobowych, GDPR) zacznie obowiązywać już w maju 2018 r. Wprowadza nowe zasady przechowywania danych i szereg zmian dotyczących zasad administrowania danymi osobowymi klientów banków oraz użytkowników bankowości elektronicznej. Jako wymóg stanowiący największe wyzwanie dla instytucji finansowych ankietowani wskazali ograniczenie przechowywania danych (33 proc.) - wynika z badania przeprowadzonego przez Linux Polska w listopadzie. Na drugim miejscu (prawie 28 proc.) znalazło się ograniczenie celu wykorzystania danych. Co piąty wymienił obowiązek powiadomienia konsumentów o naruszeniu bezpieczeństwa danych osobowych w ciągu 72 godzin od wykrycia takiego zdarzenia. Ostatnie miejsce, z 16,6 proc. wskazań zajmuje minimalizacja gromadzonych danych.

Około 57 proc. przedstawicieli polskiego sektora finansowego ocenia stopień przygotowania swojej instytucji do RODO jako dobry, a 17 proc. nawet jako bardzo dobry. Trzy czwarte respondentów uważa więc, że prace związane z przygotowaniem do nowego prawa przebiegają w sposób planowy. Ale za zakończone uznał je tylko co dziesiąty ankietowany.

Respondenci wskazali na wyzwania związane wprowadzeniem unijnej regulacji, takie jak niejasności dotyczące ostatecznego kształtu przepisów (54 proc. pytanych). Ale sektor finansowy dostrzega również możliwe pozytywne skutki wprowadzenia nowego prawa. Prawie 83 proc. ankietowanych jest zdania, że RODO zwiększy zaufanie klientów do banków. Jak zaznacza Marek Najmajer, Linux Polska, to dobry sygnał nie tylko dla branży, ale przede wszystkim dla użytkowników bankowości elektronicznej, którzy oczekują poprawy bezpieczeństwa oraz posiadania większej kontroli nad tym, w jaki sposób i komu są udostępniania ich dane. Według Opinium Reserach 74 proc. Polaków uważa, że bezpieczeństwo bankowych systemów uwierzytelniania wymaga poprawy, a aż 80 proc. przyznaje, że obawia się, że ich dane wpadną w niepowołane ręce.

– Kwestia trwałego usunięcia danych po ustaniu celu przetwarzania bądź na żądanie podmiotu wymaga jeszcze dodatkowo interpretacji, gdyż skrajne podejście do tego zagadnienia okazałoby się często niewykonalne technicznie. Ograniczenie przetwarzania wymaga z jednej strony zmiany wielu formularzy i odpowiednich struktur danych, z drugiej może mieć wpływ na przepływy danych w systemach CRM, hurtowniach danych, które zbierają dane z systemów głównych i często używają do lepszej analizy potencjału nabywczego klienta – mówi Najmajer.

Jego zdaniem niedoceniany jest obowiązek powiadamiania w ciągu 72 godzin o naruszeniu bezpieczeństwa i wycieku danych osobowych. - Ten krótki czas musi bowiem starczyć na analizę przyczyny, zakresu i wpływu oraz ostatecznie powiadomienia klienta i kontrolera. Jeśli chce się to zrobić należycie, wymagać to może dużo czasu na przygotowanie rozwiązań informatycznych i organizacyjnych. Minimalizacja gromadzonych danych być może dlatego nie została tak szeroko dostrzeżona jako problem, gdyż w dużej mierze dotyczy to procesów biznesowych i biurokratycznych przyzwyczajeń, które niekoniecznie są obszarem odpowiedzialności departamentów IT. Wielkim nieobecnym w badaniach są oczywiście kwestie techniczne bezpieczeństwa systemów. Nie zapominajmy, że RODO dotyczy go w pierwszym rzędzie, rozbudowując tylko infrastrukturę ochrony o kwestie organizacyjno-procesowe, tak aby wzmocnić najsłabszy czynnik wszystkich systemów bezpieczeństwa tj. człowieka – użytkownika, operatora, administratora – dodaje ekspert Linux Polska.