GDPR – Posílení práv občanů EU znamená pro organizace nemalou výzvu

Jedním z dlouhodobých trendů v oblasti integrace je efektivní Pod pojmem GDPR (General Data Protection Regulation) se skrývá nařízení Evropské Unie o ochraně osobních údajů, které vstoupí v platnost 25. května 2018. Aktuálně mají společnosti dva roky na přípravu a splnění všech povinností, které toto nařízení přináší. Mohlo by se zdát, že je to spousta času, avšak právě zde platí přísloví „již včera bylo pozdě“.

Pro koho GDPR platí a co s sebou přináší?

Pojďme si na začátku definovat, na koho se nařízení vztahuje a co s sebou přináší za povinnosti. GDPR platí pro všechny společnosti, které zpracovávají data občanů EU. GDPR se ale neomezuje pouze na evropský kontinent. Stejné podmínky platí i pro všechny společnosti na celém světě, které zpracovávají data jakkoli související s občany EU.

Celé nařízení je orientováno na zvýšení ochrany a práv občanů EU, což je z pohledu jednotlivce velmi přínosné, ale pro společnosti zpracovávající osobní údaje tím vznikají nové povinnosti. Novinek, které GDPR přináší, je několik. Ty hlavní jsou stručně uvedeny níže:

  • Dochází ke zpřísnění pravidel pro získání platného souhlasu k použití osobních údajů. Již dnes je potřeba jednoznačně vysvětlit klientovi, jaké osobní údaje budou sbírány a k čemu budou používány. Avšak GDPR klade důraz na to, aby společnost doložila, že klient udělil souhlas, a také garantuje klientovi právo kdykoli souhlas odvolat. Platný souhlas musí být aktivně udělen klientem a za souhlas již nelze považovat například předvyplněná zaškrtávací políčka. Souhlas je nutné jednoznačně odlišit od součástí písemného projevu, a tak není možné souhlas skrýt do několikastránkových smluv, kde uživatel může tyto informace přehlédnout. Lze tedy předpokládat, že velké množství aktuálních souhlasů nebude novému nařízení vyhovovat a bude nutné obstarat souhlasy nové.
  • Společnosti od určité velikosti a charakteru musí nově vytvořit a obsadit roli Data Protection Officera (Inspektor ochrany údajů). Tato role bude sloužit pro komunikaci s národním orgánem dohledu (Úřad pro ochranu osobních údajů), bude dohlížet na dodržování GDPR uvnitř společnosti, bude disponovat expertní znalostí problematiky o ochraně osobních údajů a bude zvyšovat povědomí o ní ve společnosti.
  • Nově je potřeba provést analýzu a identifikovat rizika související s ochranou osobních údajů již před zahájením SW projektů, i před samotným zpracováním údajů a případně konzultovat zjištěné skutečnosti s národním orgánem kontroly.
  • Nařízení také upravuje lhůty, do kdy musí společnost nahlásit případný únik dat. Orgán kontroly musí být informován do 72 hodin od zjištění úniku a v některých případech musí být dokonce o úniku informován i sám klient. Jedná se o případy, kdy únik dat představuje vysoké riziko pro práva a svobody klienta.
  • Osobní údaje musí být nově přenositelné, což znamená, že klient si může vyžádat všechny svoje osobní údaje u společnosti, a to ve srozumitelné a použitelné formě.
  • V nařízení je také nově ukotveno jedno z nejvíce diskutovaných práv klienta, a to „právo na to být zapomenut“ neboli na smazání všech osobních údajů, které společnost o klientovi drží. Smazání osobních dat klienta je nutné koordinovat s ostatními zákonnými důvody pro držení a archivaci osobních dat, kdy není možné data smazat i na výslovné přání klienta (např. opatření proti praní špinavých peněž).
  • Dalším nařízením je povinnost přiměřenosti neboli povinnost společnosti minimalizovat objem osobních údajů, a to tak, že budou průběžně mazána data, která již nejsou nezbytně nutná a pro která již například neplatí souhlas klienta.

Dopad GDPR na oblast firemního IT

Z výše uvedených povinností je jasné, že naplnit nařízení GDPR bude pro společnosti znamenat nemalé úsilí a s tím spojené finanční náklady. Společnosti budou muset zmapovat a patřičně upravit své firemní procesy a zaměřit se na oblasti, kde dochází ke sběru, zpracování či využívání osobních dat. Dále budou potřebovat patřičně začlenit do struktur a procesů společnosti nově požadovanou roli Data Protection Officera, který bude komunikovat s regulátorem a dohlížet na dodržování nařízení uvnitř firmy.

Avšak největší dopad má GDPR na firemní IT, a to hlavně kvůli požadavku na možnost vymazání všech osobních údajů určitého klienta. Složitost tohoto požadavku se projevuje hlavně u společností, které spravují velká množství osobních dat klientů a mají desítky, ne-li stovky různých informačních systémů. Jedná se hlavně o finanční instituce, telekomunikační společnosti, firmy z oblasti utilit a mnoho dalších.

Jak může Trask v problematice GDPR pomoci?

Jakou má Trask přidanou hodnotu si ukážeme na krátkém příkladu. Vzhledem k tomu, že naše zákazníky tvoří především finanční sektor, vybrali jsme jako ukázkovou společnost banku. Technologicky jsme pro příklad použili nástroj od společnosti SAS – SAS Business Data Network (nástroj data governance), který vyniká svou škálovatelností a pokrývá problematiku správy, řízení, sdílení a vizualizace metadat, vazeb a datových toků. Zároveň k němu mohou být napojeny moduly zodpovědné za akvizici a čištění dat. To vše s přívětivým UI pro přístup byznysových uživatelů.

Pojďme přistoupit k příkladu, kdy klient požaduje vymazání všech osobních údajů, které o něm banka eviduje.

Klient se dostaví na pobočku banky a bez udání důvodu může požadovat poskytnutí všech osobních údajů, které banka drží, a následně i jejich smazání. Jeho motivace může být různorodá, například chce od banky odejít, či předchozího dne viděl v médiích kauzu týkající se úniku osobních dat apod. V tomto případě má banka 30 dní na vyhovění tomuto požadavku.

Bez potřebných softwareových nástrojů bude splnění požadavku na vymazání všech osobních dat velice složité. Pravděpodobně bude obsahovat množství manuálních úkonů, kdy budou pracovníci banky v každém IT systému hledat požadovaná data a následně je mazat. Tento postup je zcela nepředstavitelný, vezmeme-li v potaz komplexitu IT ekosystému obsahujícího desítky až stovky systémů. Navíc není zaručeno, že budou všechna data opravdu smazána, kvůli případné manuální chybě. Banka se tak zbytečně vystavuje možnému postihu ze strany kontrolního orgánu.

Aby bylo možné provést mazání efektivně, je potřeba vědět, v jakých systémech a kde přesně se všechna osobní data nacházejí. Dále je potřeba disponovat mechanismem, který zajistí jejich smazání ve všech požadovaných systémech a zajistí soulad s ostatní platnou legislativou.

V níže vloženém schématu je popsán obecný přístup Trasku k řešení tohoto úkolu. Na vstupní straně je požadavek přicházející od klienta, například přes pobočkový systém, internetové bankovnictví, nebo CRM, a je následně zpracován pomocí GDPR nástroje, který zajistí následnost činností a integraci s požadovanými systémy. GDPR nástroj vykonává následující kroky:

  • GDPR nástroj se dotáže do centrálního datového skladu (DWH), nebo jiného systému na to, v jakých systémech se nacházejí data požadovaného klienta.
  • GDPR nástroj zjistí z bankovního systému pro správu metadat informace o metadatech jednotlivých systémů, čímž získá informace o umístění osobních dat v ostatních systémech. Při využití SAS Business Data Network jako GDPR nástroje mohou být všechny tyto informace uloženy přímo v GDPR nástroji.
  • GDPR nástroj dále získá vydefinovaná pravidla o tom, jak se zachovat při různých operacích (smazání dat, získání dat, respektování ostatní legislativy atd.). V tomto případě mohou být pravidla rovněž uložena přímo v GDPR nástroji.
  • Na základě získaných informací provede GDPR nástroj smazání osobních dat ve všech systémech banky a o této skutečnosti zpětně informuje systém, ze kterého pocházel iniciační požadavek, a tím i samotného klienta.

Výše uvedený návrh řešení je obecný. Společnost Trask solutions však může společnostem pomoci při návrhu optimálního řešení, které bude vycházet ze specifických potřeb a IT architektury konkrétního klienta. Může se jednat o zcela odlišný koncept řešení, nebo o využití specifických SW nástrojů respektujících IT infrastrukturu klienta.

Co je hlavní motivací pro naplnění nařízení plynoucích z GDPR?

Možná se na konci celého článku ptáte, proč něco tak složitého a pravděpodobně i nákladného bychom měli ve své společnosti zavádět? Hlavním motivátorem by mělo být získání univerzálního nástroje pro jednotnou správu metadat a nástroje pro hromadnou realizaci obecných úloh (čtení, mazání) nad všemi IT systémy. Dalším neméně motivujícím faktorem k zavedení nástrojů pro podporu GDPR je i výše pokuty pro společnosti, které dané nařízení nedodrží. Tyto pokuty mohou dosáhnout maximální výše 20 milionů EUR, nebo 4% z celosvětového ročního obratu v závislosti na typu subjektu.

Prošlo kontrolou a úpravou od EY: Michaela Tokarová (regulatory – konzultantka)

Máte chuť si o problematice GDPR s námi popovídat a prodiskutovat možnosti, jak zajistit dodržení GDPR ve vaší společnosti? Rádi se s vámi setkáme a zamyslíme, jak toho všeho společně dosáhnout.

Kontaktujte nás

Na váš byznys se dokážeme podívat z jiné perspektivy. Proto můžeme přijít i na nová řešení, která dokážeme jasně popsat, rozpracovat a navrhnout jejich technickou realizaci. Originální nápad je totiž na začátku každého dobrého byznysu. Díky zkušenostem rychle poznáme, v čem chcete a potřebujete pomoci.

Domníváte se, že jsme porušili etická pravidla?
Dejte nám vědět.