GDPR – nejvyšší čas začít s technickým řešením

O problematice GDPR (General Data Protection Regulation) bylo, je a nějakou dobu ještě bude slyšet. Zatímco loňský rok a počátek letošního se nesly ve znamení byznysových příprav (právní analýzy, sběr požadavků, tvorba zadání, procesní dopady apod.), současnost téměř velí začít provádět konkrétní technické kroky.

Z prostředí procesních a řídících příprav je nutné začít realizovat architekturu řešení. My v Trasku bereme GDPR velmi vážně, a proto kromě byznysových aktivit již v současnosti řešíme několik technických implementací. Pojďme se tedy společně podívat, co taková implementace potřebné technické infrastruktury obnáší.

Na začátku procesu je projekt

Práce s osobními daty se ve znění evropského nařízení stane prakticky denní rutinou – procesem. Abychom však tohoto „business as usual“ stavu dosáhli, musíme projít projektem (nebo programem) implementace řešení. Jde sice o poměrně objemnou záležitost, což je dáno všudypřítomností dat o našich klientech (důležité: termín klient prosím v duchu článku vnímejte v různých rolích – zaměstnanec, pracovník na dohodu, uchazeč, zástupce právnické osoby, prospekt, neklient, bývalý klient atp.), na druhou stranu není třeba se obávat příliš velkého sousta.

U našich zákazníků v drtivé většině začínáme analýzou stávajícího prostředí. Cílem této přípravné fáze je posbírat pokud možno všechna dostupná metadata o existujících aplikacích nebo jiných součástech ekosystému pracujících s osobními daty klientů. Nebo obsahujících jejich souhlasy (s možností využití jejich dat pro potřeby byznysu našich zákazníků). Protože každé prostředí i možnosti se zákazník od zákazníka liší, výstupem analytické fáze je architektura řešení, která sedí na konkrétní potřeby. A mimo architekturu také samozřejmě roadmapu implementace, jelikož jde o časově náročný, komplexní podnik.

Osvědčilo se nám před samotnou implementací přistoupit ke kratšímu PoC (Proof of Concept). Na tom si se zákazníkem ověříme nejdůležitější funkcionality navrženého řešení. Těmi jsou zpravidla funkce vyhledávání a vizualizace dat napříč vybranými systémy zákazníka.

Po vyhodnocení výsledků z reálného konceptu řešení a jeho vyladění přistupujeme k samotné implementaci. Nutno říci, že největším konzumentem projektového času je množství systémů zákazníka. Ty je nutné zanalyzovat
a zaintegrovat do jednotného GDPR řešení

Součásti řešení orchestrace GDPR

GDPR řešení je kombinací několika samostatných nástrojů. Výhodou je, že mohou fungovat i samostatně, a tak ani v základu nezáleží na pořadí jednotlivých kroků. Jedinou výjimkou je základní předpoklad, fundament celého řešení. A tím je existence MDM repozitáře (Master Data Management repository, které jde většinou spolu s dodávkou – ať už ve formě nového prvku nebo rozšířením již existujícího MDM u zákazníka). Ze zkušenosti víme, že MDM naši zákazníci nemají na takové úrovni připravenosti, aby bylo možné přistoupit bez úprav k nasazení řešení GDPR.

Proč vlastně MDM představuje úplný základ celého GDPR procesu? Zde si dovolím nezbytnou technickou vsuvku. MDM totiž mimo jiné obsahuje instanční záznamy všech údajů o klientovi. Tyto záznamy jsou svázané do clusterů. A ty zase reprezentují unikátní klienty. Ve své podstatě se tím eliminují starosti s možnými duplicitami. Mimochodem, opět ze zkušenosti, duplicity jsou jedním z velmi častých neduhů.

MDM repozitář je tedy možné v rámci jednotlivých úkonů, které GDPR předepisuje, využít jako „rozcestník“ pro další součásti řešení. To proto, že je schopný poskytnout kompletní obraz o datech daného klienta v rámci organizace.

Dalším dobrým zvykem je v rámci implementace vyřešit databázi souhlasů. Ta se totiž do určité míry váže na jednotlivé instanční záznamy o klientovi (o kterých jsem se již zmínil v rámci MDM). Hlavním přínosem je udržovat data v jednotlivých systémech tak, aby byla v souladu se zákonem. A k tomu velmi výrazně přispívá kombinace informací v databázi souhlasů a v MDM.

Jako důležitou součást řešení vnímáme také nasazení business rules engine. Za ním se skrývá nástroj pro nastavování konkrétních pravidel v rámci konkrétní organizace (zákazníka). Ta popisují, jak se chovat k daným datům v rámci některého z GDPR požadavků (pro příklad jde např. o právo na zapomenutí, požadavek na smazání nebo anonymizaci či ohledně dalších zásahů). S vyladěním pravidel pomáháme nejen technicky, ale i metodicky. Ať už svépomocí nebo s podporou našich partnerů (např. společnosti SAS). Ještě dodávám, že zavedení nástroje velmi zjednodušuje a pomáhá zautomatizovat procesy spojené s GDPR.

Oživení Golema

Celý systém by byl k ničemu, pokud by nebyl zaintegrován do živého, dynamického prostředí zákazníka. Proto je potřeba napojit jednotlivé systémy do centrálního hubu. Ten je schopen zajistit všechny potřebné kroky „datové hygieny“, ať už na základě GDPR požadavku nebo v rámci pravidelné údržby. Centrálním hubem bývá zpravidla již existující platforma ESB (Enterprise Service Hub). Z ní jsou volány API jednotlivých systémů anebo vytváří servisní požadavky pro ruční úpravu dat – přes uživatelské rozhraní aplikace. A máte správný pocit, pokud nyní uvažujete o postupné integraci jednotlivých systémů. Rozdělením do etap to totiž vzhledem k jejich počtu obvykle probíhá.

V rámci nasazování a integrace řešení se velmi hodí něco, čemu se říká data sniffer. Již ve fázi úvodní analýzy nám pomáhá při mapování osobních dat v rámci celé organizace. Stejnou službu pro nás koná také v rámci jednotlivých požadavků, protože je schopen pokrýt i vyhledávání v dokumentech a dalších, nerelačních (nedatabázových) úložištích. Unikátní vlastností snifferu, který používáme my, je práce přímo s daty, nikoli metadaty). Nepovinnou, ale užitečnou součástí může být také data snooper, který dokáže pracovat s tím, co najde data sniffer. Následně umí výstupy vizualizovat nebo spustit nějaký proces (například založit tiket pro smazání dat, vytvořit balíček informací s nálezy).

Nakonec, když už jsme kostky stavebnice poskládali k sobě, použijeme robustní „lepidlo“. Tím je Metadata Management repozitář (nezaměňovat s MDM repozitářem). Jeho úkolem je obsáhnout veškerá potřebná (a dostupná) metadata, jež využíváme při vyváření jednotlivých byznys pravidel (rules), ale i v rámci integrace jednotlivých systémů.

Jak se to dá všechno stihnout?

Na začátku tohoto článku jsem zmínil roadmapu, která je přirozeným výstupem počáteční analýzy. V této souvislosti je fér říci, že stupeň uvědomování si naléhavosti situace je v různých organizacích… různý. Mnoho společností nějakým způsobem uchopilo GDPR záhy po jeho přijetí (k němuž došlo již v dubnu 2016). Nicméně datum 25. května 2018, kdy nařízení vstoupí v platnost, mnoho společností vnímá jako Damoklův meč. Podívejme se tedy na celou věc realisticky. Co je nezbytné udělat hned a co až potom? A stihne se vše do dne D?

Odpověď není jednoznačná – někdo to stihne, někdo částečně a někdo ne. Taková je realita. A takhle vám můžeme pomoci být v té správné skupině. Na zmíněné etapy je obvykle velmi vhodné navázat již zmiňovanou implementační roadmapu.

Co dělat do 25. 5. 2018

Co dělat po 25. 5. 2018

Etapa 1

Etapa 2

Etapa 3

Reaktivní GDPR

Aktivní GDPR

Automatizované GDPR

Pro přípravu základních (zákonných) životních funkcí GDPR si pořiďte data sniffer, případně data snooper. Ty vám ukážou, která data a kde máte zajistit. Jde o první, základní, většinou manuální krok.

Pro zajištění požadavků GDPR budete potřebovat minimálně MDM repozitář a databázi souhlasů. Zajistíte tak symbiózu osobních dat se souhlasy, takže budete přesně vědět, kdo s čím kdy souhlasil a kde to najít.

Pro zajištění efektivity procesů GDPR (z pohledu časové náročnosti, lidské práce apod.) uvažujte o integraci systémů přes centrální hub. K tomu nakonfigurujte business rule engine a celé to slepte Metadata Management repozitářem. A to až dokud nebudete mít všechny potřebné zdrojové systémy zintegrované.

Dá se to udělat hezké?

GDPR je vnímáno rozporuplně. Na jednu stranu představuje zvýšenou zátěž pro každou organizaci, která pracuje s daty svých klientů, na druhou stranu jde o zajímavou příležitost. Třeba pro pilování image a reputace společnosti. Za vším je ale skryto větší či menší úsilí konkrétních lidí, nový nebo rozšířený způsob práce.

Na závěr bych tedy ještě otevřel téma, které může pomoci zlepšit celkový pocit z nevyhnutelné změny. Tím tématem je gamifikace – zavedení herní mechaniky do procesů, které nemusí být dvakrát záživné nebo motivující. Zejména u menších společností, kde role DPO (Data Protection Officer, kterou GDPR vyžaduje) nemůže být z pragmatických důvodů řešena vyhrazenou osobou. Tedy ve společnostech, kde bude DPO rolí kumulovanou v rámci dalších aktivit vybrané osoby.

V takovém případě stojí za to rozvážit zavedení systému bodování, hodnocení a odměňování za „nadstandardní“ činnost DPO. Dalším případem mohou být pracovníci call center, kteří budou vyškoleni na zpracovávání GDPR požadavků (mimo svou běžnou činnost operátora nebo specialisty). Dokážu si představit i pracovníky service desku, kteří budou zpracovávat manuálně tikety s požadavky na data (třeba do doby, než budou systémy plně integrovány a sběr dat automatizován). Jistě existují i další případy, které již ale s dovolením ponechám vaší představivosti.

„Opravdu není nač čekat“ není jen naléhavou frází

Co říci závěrem? GDPR je vymahatelná nevyhnutelnost. A z toho vyplývají mnohé další aspekty – reputační riziko, předpoklad dohledu regulátora, a další. Je potřeba se k GDPR postavit nejen teoreticky, ale i prakticky. Jsme přesvědčení, že naše řešení, které jsme praxí prověřili, dokáže pomoci i vám. Mimo podporu GDPR procesů totiž získáte daleko více – automatickou shodu dokumentace s nařízením. Ať už jde o metadata, case management nebo třeba zpracovávání souhlasů. Díky logování a auditu pak všude vznikají záznamy o provádění náležitých opatření, jež nařízení vyžaduje

Ondřej Stokláska začínal svou kariéru ve společnosti Hewlett-Packard jako konzultant a projektový manažer v oblasti enterprise software pro region EMEA. V ČSOB pak měl na starosti projekt implementace a integrace corebankingového, portálového, tiskového a BI řešení. Za Trask odřídil mimo jiné dodávku integrovaného manažerského systému (IMS) pro představenstvo Škody Auto. Ondřej působí čtvrtým rokem jako senior manager pro oblast business intelligence.

Kontaktujte nás

Na váš byznys se dokážeme podívat z jiné perspektivy. Proto můžeme přijít i na nová řešení, která dokážeme jasně popsat, rozpracovat a navrhnout jejich technickou realizaci. Originální nápad je totiž na začátku každého dobrého byznysu. Díky zkušenostem rychle poznáme, v čem chcete a potřebujete pomoci.

Domníváte se, že jsme porušili etická pravidla?
Dejte nám vědět.