GDPR: Již včera bylo pozdě

Stokláska Ondřej
Manager pro oblast Business Intelligence

Pod pojmem GDPR se skrývá nařízení Evropské unie o ochraně osobních údajů, které vstoupí v platnost 25. května 2018. Aktuálně mají společnosti dva roky na přípravu a splnění všech povinností, které toto nařízení přináší. Mohlo by se zdát, že je to spousta času, avšak i zde platí přísloví „již včera bylo pozdě“.

Pro koho GDPR platí a co s sebou přináší?

Pojďme si na začátku definovat, na koho se nařízení vztahuje a co s sebou přináší za povinnosti. GDPR platí pro všechny společnosti, které zpracovávají data občanů EU. Dále se GDPR neomezuje pouze na Evropský kontinent. Stejné podmínky platí i pro všechny společnosti na celém světě, které zpracovávají data jakkoli související s občany EU.

Nařízení se vztahuje na:

  • Zpracování osobních údajů fyzických osob (FO) a fyzických osob podnikatelů (FOP).
  • Zcela nebo částečně automatizované zpracování osobních údajů.
  • Neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny (Př: papírové kartotéky či archivy)

Nařízení se nevztahuje na:

  • Údaje o právnických osobách (PO).
  • Anonymní/anonymizované údaje.

Celé nařízení je orientováno na zvýšení ochrany a práv občanů EU, což je z pohledu jednotlivce velmi přínosné, ale pro společnosti zpracovávající osobní údaje tím vznikají nové povinnosti. Novinek, které GDPR přináší, je několik. Ty hlavní jsou stručně uvedeny níže:

  • Dochází ke zpřísnění pravidel pro získání platného souhlasu k použití osobních údajů. Již dnes je potřeba jednoznačně vysvětlit klientovi, jaké osobní údaje budou sbírány a k čemu budou používány. Avšak GDPR klade důraz na to, aby musela společnost doložit, že klient udělil souhlas, a také garantuje klientovi právo kdykoli souhlas odvolat. Platný souhlas musí být aktivně udělen klientem a již nelze za souhlas považovat např. předvyplněná zaškrtávací políčka. Souhlas je nutné jednoznačně odlišit od součástí písemného projevu, a tak není možné souhlas skrýt do několikastránkových smluv, kde uživatel může tyto informace přehlédnout. Je tedy zjevné, že velké množství aktuálních souhlasů nebude novému nařízení vyhovovat a bude nutné obstarat souhlasy nové.
  • Společnosti od určité velikosti a charakteru musí nově vytvořit a obsadit roli Data Protection Officer (Inspektor ochrany údajů). Tato role bude sloužit pro komunikaci s národním orgánem dohledu (Úřad pro ochranu osobních údajů), bude dohlížet na dodržování GDPR uvnitř společnosti a bude disponovat expertní znalostí problematiky o ochraně osobních údajů a zvyšovat povědomí ve společnosti.
  • Nově je potřeba provést analýzu a identifikovat rizika související s ochranou osobních údajů již před zahájením SW projektů a i před samotným zpracováním údajů a případně konzultovat zjištěné skutečnosti s národním orgánem kontroly.
  • Nařízení také upravuje lhůty, do kdy musí společnost nahlásit případný únik dat. Orgán kontroly musí být informován do 72 hodin od zjištění úniku a v některých případech musí být dokonce o úniku informován i sám klient. Jedná se o případy, kdy únik dat představuje vysoké riziko pro práva a svobody klienta.
  • Osobní údaje musí být nově přenositelné, což znamená, že klient si může vyžádat všechny svoje osobní údaje u společnosti a to ve srozumitelné a použitelné formě.
  • V nařízení je také nově ukotveno jedno z nejvíce diskutovaných práv klienta a to „právo na to být zapomenut" neboli na smazání všech osobních údajů, které společnost o klientovi drží. Smazání osobních dat klienta je nutné koordinovat s ostatními zákonnými důvody pro držení a archivaci osobních dat, kdy není možné data smazat i na výslovné přání klienta (např. opatření proti praní špinavých peněž).
  • Dalším nařízením je povinnost přiměřenosti neboli povinnost společnosti minimalizovat objem osobních údajů a to tak, že budou průběžně mazána data, která již nejsou nezbytně nutná a pro která již např. neplatí souhlas klienta.

Dopad GDPR

výše uvedených povinností je jasné, že vyhovění nařízení GDPR bude pro společnosti znamenat nemalé úsilí a s tím spojené i finanční náklady. Firmy budou muset zmapovat a patřičně upravit své firemní procesy a zaměřit se na oblasti, kde dochází ke sběru, zpracování či využívání osobních dat. Dále je potřeba nově vzniklou roli Data Protection Officer patřičně začlenit do struktur a procesů společnosti.

GDPR je téma primárně businessové, ale má významné dopady na firemní IT a to hlavně kvůli požadavku na možnost vymazání všech osobních údajů určitého klienta. Složitost tohoto požadavku se projevuje hlavně u společností, které spravují velká množství osobních dat klientů a mají desítky, ne-li stovky různých infor-mačních systémů. Jedná se hlavně o finanční instituce, telekomunikační společnosti, firmy z oblasti utilit a mnoho dalších.

Oblasti dopadů do IT:

  • Identifikace osobních údajů v informačních systémech
  • Schopnost dodat požadovaná data z informačních systémů
  • Schopnost změnit/odstranit data v informačních systémech
  • Změny životního cyklu dat (vč. archivace/skartace)
  • Změny aplikačních oprávnění
  • Změny aplikací přímo implikované regulací
  • Nové požadavky na konsolidaci osobních údajů
  • Nové požadavky na anonymizaci/pseudonymizaci dat
  • Nové požadavky na informační bezpečnost
  • Nové požadavky na B2B a B2C komunikaci

Co je hlavní motivací pro vyhovění GDPR?

Hlavním motivátorem by mělo být získání univerzálního nástroje pro jednotnou správu metadat a nástroje pro hromadnou realizaci obecných úloh (čtení, mazání) nad všemi IT systémy.

Dalším, neméně motivujícím faktorem k zavedení nástrojů pro podporu GDPR, je i výše pokuty pro společnosti, které nedodrží nařízení GDPR. Tyto pokuty mohou dosáhnout až maximální výše 20 milionů EUR nebo 4 % z celosvětového ročního obratu.

Jak může Trask v problematice GDPR pomoci?

Business analýza

Aktuální stav v organizacích se v první řadě vyznačuje vysokou mírou právní nejistoty, kterou jsme schopni výrazně snížit za pomoci partnerské organizace – EY. Naše expertíza se zaměřuje na tyto oblasti:

  • Analýza a přehled regulatoriky (interpretace GDPR v kontextu ostatních regulatorik, GAP analýza to-be stavu, facilitace jednání s regulátory)
  • Business integrace (integrace řešení do zákaznických procesů a řízení procesů, revize business požadavků a revize jejich úplnosti)
  • IT security & compliance (zajištění security compliance s GDPR požadavky, nastavení metrik pro měření bezpečnosti dat, příprava kodexu GDPR)

IT analýza

Jak jsme již zmínili, role IT je v úspěchu implementace GDPR „projektu" velmi podstatná a v žádném případě nesmí být pasivní. Jsme přesvědčeni, že čas nutný k implementaci není dostačující pro implementaci klasickým waterfall přístupem. Mnoho z firem již nyní začalo s implementací harmonizace souhlasů. Mimo to je nutné si zodpovědět a hlavně začít analyzovat:

  • CO jsou pro nás osobní údaje (Identifikační údaje, kontaktní údaje, HR data, transakční údaje, apod.)?
  • KDE jsou uloženy osobní údaje, na které budou aplikována GDPR práva (CRM, core systémy, DWH, HR, apod.)?
  • JAKé procesy budeme v rámci GDPR zavádět/přepoužijeme/upravíme (aktivity, role, kanály, apod.)?

Jak může vypadat výsledek implementace?

Jakou má Trask přidanou hodnotu si ukážeme na krátkém příkladu. Vzhledem k tomu, že naše zákazníky tvoří především finanční sektor, vybrali jsme jako ukázkovou společnost banku. Technologicky jsme pro příklad použili Data Governance nástroj od společnosti SAS, který vyniká svou škálovatelností a pokrývá problematiku správy, řízení, sdílení a vizualizace metadat, vazeb a datových toků. Zároveň k němu mohou být napojeny moduly zodpovědné za akvizici a čištění dat. To vše s přívětivým UI pro přístup businessových uživatelů.

Pojďme přistoupit k příkladu, kdy klient požaduje vymazání všech osobních údajů, které o něm banka eviduje.

Klient se dostaví na pobočku banky a bez udání důvodu může požadovat poskytnutí všech osobních údajů, které banka drží, a následně i jejich smazání. Jeho motivace může být různorodá, například chce od banky odejít, či předchozího dne viděl v médiích kauzu týkající se úniku osobních dat apod. V tomto případě má banka 30 dní na vyhovění tomuto požadavku.

Bez potřebných SW nástrojů bude splnění požadavku na vymazání všech osobních dat velice složité. Pravděpodobně bude obsahovat množství manuálních úkonů, kdy budou pracovníci banky v každém IT systému hledat požadovaná data a následně realizovat jejich mazání. Při představě IT ekosystému obsahujícího desítky až stovky systémů je tento postup zcela nepředstavitelný. Navíc není zaručeno, že manuální chybou byla nějaká data nesmazána, a tak se banka nevystavuje možnému postihu ze strany kontrolního orgánu.

Aby bylo možné efektivně mazání provést, je potřeba vědět, v jakých systémech a kde přesně se všechna osobní data nacházejí. Dále je potřeba disponovat mechanismem, který zajistí jejich smazání ve všech požadovaných systémech a zajistí soulad s ostatní platnou legislativou.

Obecný přístup Trasku k řešení:

Ve schématu níže je popsán obecný přístup Trasku k řešení, kde na vstupní straně je požadavek přicházející od klienta například přes pobočkový systém, Internet Banking nebo CRM a je následně zpracován pomocí GDPR nástroje, který zajišťuje následnost činností a integraci s požadovanými systémy. GDPR nástroj vykonává následující kroky:

  • GDPR nástroj se dotáže do centrálního datového skladu (DWH) nebo jiného systému na to, v jakých všech systémech se nacházejí data požadovaného klienta.
  • GDPR nástroj zjistí z bankovního systému pro správu metadat informace o metadatech jednotlivých systémů, čímž získá informace o umístění osobních dat v ostatních systémech. Při využití SAS jako GDPR nástroje mohou být všechny tyto informace uloženy přímo v GDPR nástroji.
  • GDPR nástroj dále získá vydefinovaná pravidla o tom, jak se zachovat při různých operacích (smazání dat, získání dat, respektování ostatní legislativy...). V tomto případě mohou být pravidla rovněž uložena přímo v GDPR nástroji.
  • Na základě získaných informací provede GDPR nástroj smazání osobních dat ve všech systémech banky a o této skutečnosti zpětně informuje systém, ze kterého pocházel iniciační požadavek, a tím i samotného klienta.

Výše uvedený návrh řešení je obecný a Trask solutions může společnostem pomoci při návrhu optimálního řešení, které bude vycházet ze specifických potřeb a IT architektury konkrétního klienta. Může se jednat o zcela odlišný koncept řešení nebo o využití specifických SW nástrojů respektujících IT infrastrukturu klienta.