Na banki i inne instytucje finansowe działające według prawa europejskiego mogą w najbliższych latach zostać nałożone gigantyczne kary w związku z wdrożeniem unijnego rozporządzenia dotyczącego ochrony danych osobowych klientów. Regulacja RODO wchodzi w życie 25 maja 2018 roku.
Według niezależnej firmy konsultingowej Consult Hyperion, przez pierwsze trzy lata od wdrożenia nowego prawa o ochronie danych osobowych instytucje finansowe mogą ucierpieć z tytułu kar finansowych na kwotę nawet 4,7 mld euro. Szacowana liczba wycieków danych w tym okresie może wynieść 384, z czego każdy przypadek może zostać wyceniony według organów nadzoru na 260 mln euro kary – pisze serwis Finextra.
Prognozy zostały sporządzone na podstawie analizy danych historycznych i dopasowania do rozmiarów instytucji finansowych – w kalkulacjach wzięto pod uwagę kary za mniejsze naruszenia. Nieprzestrzeganie nowych zasad będzie rodziło poważne konsekwencje dla firm z branży. Poważne naruszenie zapisów będzie wycenione nawet na 4 proc. całkowitego rocznego światowego przychodu przedsiębiorstwa lub 20 mln euro w przypadku innych podmiotów – mowa tu o naruszeniach podstawowych zasad przestrzegania danych, niedopełnienia obowiązków informacyjnych czy odmowie skorzystania z prawa do bycia zapomnianym. O połowę niższe kary będą nakładane na firmy, które nie zgłoszą GIODO i poszkodowanym informacje o naruszeniu danych osobistych czy nierejestrowania przetwarzania danych.
O wpływie nowego rozporządzenia na rynek usług finansowych mówił także dr Maciej Kawecki, doradca w Ministerstwie Cyfryzacji, podczas Kongresu Ubezpieczeniowego Polskiej Izby Ubezpieczeń w Sopocie, który odbył się na początku maja bieżącego roku. Wskazywał m.in., że na polskim gruncie poza samym rozporządzeniem zmieni się także kilkaset ustaw szczegółowych w Polsce. – Ministerstwo Cyfryzacji udostępni pakiet legislacyjny, czyli nowe wersje ustaw sektorowych i ochronie danych osobowych w lipcu 2017 roku. Pakiet trafi na jesienną sesję sejmową, a vacatio legis nie będzie trwało dłużej niż kilka miesięcy – mówił Kawecki. Regulacja ma gwarantować m.in. natychmiastową przenoszalność danych z jednej instytucji do drugiej i prawo do domagania się klienta od firmy wyciągu o tym, jakie jego dane przechowuje.
Consult Hyperion zaznacza, że kalkulacje są „konserwatywne” i obejmują tylko kary nakładane przez organy nadzoru, a więc pomijają wszelkie roszczenia zgłaszane od poszkodowanych klientów.
Z czym banki będą miały największy problem w ramach spełniania wymogów nowego rozporządzenia? Tim Richards z Consult Hyperion wskazuje, że najbardziej ryzykowny jest zapis o obowiązku informowania o naruszeniach danych klientów w ciągu 72 godzin od wykrycia problemu. – Według naszych analiz naruszenie danych wystąpiło co najmniej 27 razy w ciągu ostatnich 10 lat w największych europejskich bankach. Część z nich naruszała wchodzące zapisy niejednokrotnie i byłaby skazana na najwyższą karę w wysokości 4 proc. światowych obrotów. Szacunki wskazują, że istnieje 8 proc. szans na to, że jakiś duży bank ucierpi z powodu naruszenia danych w każdym roku obowiązywania rozporządzenia – dodaje.
Mateusz Gawin
