GDPR vstoupí v platnost už za rok. Práci s daty bude nutné upravit právně i technologicky

Termín Big Data je dnes dobře znám většině organizací. Řada z nich už také ví, co mohou velká data pro jejich business znamenat, a snaží se je využívat. V květnu příštího roku ovšem vstupuje v platnost GDPR – Obecné nařízení o ochraně osobních údajů, které má za cíl zabránit nevhodnému využívání nebo přímo zneužívání osobních dat občanů EU. „V poslední době výrazně roste škála a objem zpracovávaných dat a současně je jejich využití směrem ke konkrétním lidem mnohem adresnější. GDPR jde ale proti tomuto trendu a je potřeba veškeré procesy právně i technicky sladit,“ říká konzultant softwarové společnosti SAS Institute Vladimír Kyjonka

Při porušení hrozí likvidační pokuty

GDPR vejde v platnost přesně 25. května 2018. Tato směrnice je závazná pro všechny státy Evropské unie i pro všechny ostatní státy, které nakládají s daty občanů EU. Jedná se o směrnici, která je přísnější než zákony dosud existující v ČR a na Slovensku.

„Problematiku řeší více do detailu a především specifikuje velmi vysoké sankce v případě svého porušení. Konkrétně jde o 20 milionů euro, případně 4 % z celosvětového obratu. To může být pro spoustu organizací v regionu střední a východní Evropy likvidační,“ vysvětluje Vladimír Kyjonka, konzultant společnosti SAS Institute zabývající se vývojem analytických nástrojů.

Směrnice řeší veškerou problematiku ochrany, sdílení či používání osobních dat jakýmkoli subjektem. Týká se přímo právního rámce, např. zdůvodnění toho, proč a která data jsou zpracovávána, jak se lidé k datům chovají, co s nimi dělají, nebo jak vypadají konkrétní procesy. Týká se i veškerých úložišť, databází a zpracování dat na počítačích. Nové požadavky znamenají velký zásah do života konkrétních lidí, fungování organizací a obsahu jejich podnikání.

Firmy musí být schopné předat klientům veškerá data

Směrnice pracuje s řadou věcí, které už existují. Limituje například zpracování dat pouze na ta, ke kterým je udělen souhlas subjektu, případně ta, pro která existuje zákonný důvod.

„Pokud bude chtít například banka u zákazníka zjistit, zda a za jakých podmínek mu může poskytnout úvěr, musí si nejdřív zajistit jeho souhlas se zpracováním příslušných dat. Pokud jsem banka a klient si u mě založí účet, pak mohu zpracovávat některá data, k nimž souhlas mít nemusím – např. číslo onoho účtu. Pokud mě ale zajímá něco víc, ať už jsou to údaje o věku, rodině nebo čemkoli dalším, tak to už jsou data, která přímo k vedení účtu nepotřebuji. A taková data podléhají souhlasu. Pokud ho nemám, nemohu s nimi pracovat,“ přibližuje Vladimír Kyjonka na konkrétním příkladu.

„Pak ještě existují mezní případy, kdy si právně zdůvodním, že je práce s určitými daty v mém oprávněném zájmu. Že potřebuji zjistit, zda daný klient není padouch a neplánuje si půjčit peníze, které mi nikdy nehodlá splácet. Z tohoto důvodu mě může při sjednání pojištění zajímat, zda například klient není kuřák, nebo při poskytování půjčky, zda není už deset let nezaměstnaný. V podobných situacích se tedy nemusím vždycky ptát, zda mám souhlas nebo zda existuje zákonný důvod, ale musím být schopen si využití takových dat náležitě zdůvodnit,“ dodává Kyjonka.

Zároveň ale GDPR výrazně posiluje úlohu regulátora, což je v případě ČR Úřad pro ochranu osobních údajů. Ten získá právo kontrolovat, jaká data jsou zpracovávána, jestli jsou implementovány veškeré procesy, jak je možné příslušná data dohledat nebo zda je kontrolováno, jestli nedošlo k neoprávněnému průniku. A v neposlední řadě bude kontrolovat i to, zda jsou dodržována mnohá práva, která v souvislosti s daty mají jejich subjekty.

„Nová práva spočívají v tom, že každý člověk, ať už klient, zaměstnanec nebo kdokoli další, má na jedné straně právo na odstranění svých dat a na straně druhé právo na poskytnutí veškerých informací, které o něm správce dat uchovává. Tato data si navíc musí být schopen jednoduše odnést, například když bude přecházet k jinému bankovnímu domu. S takovým krokem je spojena spousta problémů, ať už právních, procesních nebo technologických,“ dodává Vladimír Kyjonka.

Big Data? Customizace? GDPR současné trendy zkomplikuje

Jedním z dnešních trendů je shromažďování co nejširšího objemu dat, tzv. fenomén Big Data. Organizace chtějí mít co nejvíc dat, směrnice ale říká, že by jich měly sbírat co nejméně. Pouze ta, která nutně potřebují pro své fungování. Druhým trendem je personalizace. Zákazníci se segmentují například podle chování, aby jim bylo možné nabídnout určitý produkt. Snaha je cílit co nejpřesněji na co nejužší segment, ideálně na konkrétního zákazníka. GDPR ale nakládání s personálními daty silně omezuje. Aby bylo data možné i přes tato omezení vytěžit, je třeba identitu konkrétních lidí zakrýt – maskovat, anonymizovat či pseudonymizovat.

Společnosti nehledě na svou velikost tak musí zavést technická, organizační a procesní opatření a prokázat jejich soulad s principy GDPR. V případě nedodržení pravidel hrozí nejen správní pokuty, ale společnosti mohou být kromě toho vystaveny i žalobám ze strany fyzických osob, jejichž práva podle nich byla nakládáním s jejich osobními údaji poškozena. V neposlední řadě pak svou roli hraje i publicita spojená s kauzami nesprávného nakládání s osobními údaji, která může znamenat ztrátu důvěry klientů. Nepřipravenost na GDPR tak může firmu zasáhnout hned na několika frontách