Obsáhlý průvodce evropským nařízením: GDPR v digitálním světě – jak na to?

V době psaní tohoto článku zbývá něco přes 120 dní do okamžiku, kdy evropská direktiva vstoupí v účinnost (GDPR začne v celé EU platit jednotně od 25. května 2018, pozn. red.).

V naší společnosti Lundegaard je to stále živé téma. Neustále zvažujeme všechny možné aspekty a dopady, které nařízení přináší. I proto jsem se rozhodl příspěvek pojmout formou velmi odlišnou od ostatních dílů našeho seriálu.

O EVROPSKÉ DIGITÁLNÍ LEGISLATIVĚ JSME JIŽ PSALI:

Michal Feix (Seznam.cz): Evropská regulace nesmí zabíjet on-line byznys

Proč digitalizační reforma autorského práva rozděluje Evropu?

V tomto článku chci nastínit náš přístup k implementaci a nabídnout vám potřebná doporučení, která můžete případně převzít a uplatnit i u vás.

U ostatních doposud publikovaných témat jsme s kolegy chtěli vystihnout podstatu digitální transformace (viz box vpravo). A také zobrazit ideální stav, ke kterému v rámci našich projektů směřujeme (a ve větší či menší míře jej dosahujeme).

Samotný formát aktuálního textu má zdůraznit, že se jedná primárně o osobní návrh podložený konzultacemi s kolegy z firmy i s externími experty.

Úvodem rovnou podotýkám, že tento článek rozhodně nemůže zodpovědět všechny vaše otázky ohledně GDPR. Tato problematika je nadměrně složitá, ale pokusím se podchytit alespoň ta témata, která se týkají víceméně všech.

Pokud něco opomenu, klidně mi dejte vědět (třeba v diskusi pod článkem), rád se pokusím informace případně doplnit.

Základem pro dobrou implementaci směrnic, které v rámci vaší firmy zaručí soulad s GDPR, je naprosto perfektní zmapování způsobu, jakým pracujete s osobními daty.

GDPR operuje s pojmy správce dat a zpracovatel dat. Budu proto pro účely tohoto článku pojednávat o případu, kdy firma zastává obě role. To by se mělo týkat (snad) větší části čtenářů (příjemce dat zde nebude vůbec uvažován, protože to je primárně veřejný sektor).

Soustředím se na zpracování klientských dat. Většina uvedených faktů je ale jednoduše přenositelná i na interní, zaměstnanecké údaje.

Směrnice GDPR ve vztahu k datům rozšiřuje pojem osobních údajů (v direktivě se užívá pojem subject data, pozn. red.), kam se nově řadí i například e-mail, IP adresa či fotografické záznamy. Stejně tak definuje citlivé údaje, jako jsou genetické a biometrické záznamy, které podléhají přísnějšímu režimu.

Každý z těchto údajů musí mít také jasně definovanou agendu, v rámci které je zpracováván. A přesně proto se musíte zaměřit na procesní popis toho, jak s údajem nakládáte. Berte to jako takové cvičení podobné získání nějaké certifikace, například ISO.

V první řadě definujme data

Ačkoli mohou předchozí věty vyznít tak, že nejdříve se podíváme na data a z nich se teprve budeme snažit odvodit, k čemu je reálně potřebujeme, proces by měl být opačný.

Nejprve si definujte potřebné agendy, které musíte v rámci své aplikace / podnikání / denní operativy řešit. Z nich potom jasně definujte data, jež budou pro jejich naplnění nezbytná.

GDPR totiž zmiňuje právo osoby vědět, jaké údaje jsou o ní vedené. Ta pak může zažádat o opravu dat tak, aby byla správná. Dokonce může zažádat o výmaz dat, jež nejsou potřebná pro účel, pro který byla shromažďována.

A pak ještě účel

Obdobně jako u návrhu softwaru, kde má technologie sloužit účelu, se tento princip překlápí i na osobní data. Klíčovým středobodem je onen účel, proto se na něj náležitě soustřeďte.

Jako názorný příklad můžeme uvést třeba online úvěrovou kalkulačku, která slouží jako podklad pro sjednání smlouvy o úvěru. Pro její použití potřebuje finanční instituce, aby splnila povinnost „obezřetnosti“, nutně vědět o zájemci o úvěr nejen jméno, příjmení, bydliště, ale i datum narození či rodné číslo.

Tyto údaje pak může podrobit v rámci scoringu kontrole v registru dlužníků. Naopak u poptávkového formuláře takový rozsah rozhodně není nutný, postačí jen základní identifikace a kontakt, nicméně vše musí být procesně podchyceno.

S čím vším musí uživatel souhlasit

Dříve, než začnete data sbírat, musíte si ale jasně ošetřit, že uživatele korektně informujete o tom, co s jeho daty zamýšlíte.

Velmi podstatným a zároveň těžko uchopitelným bodem GDPR je povinnost informovat uživatele jasně a srozumitelně o potřebě zpracování osobních dat, ať si pod tím představíte cokoli.

Záměr zkrátit podmínky užívání (oblíbené EULA licence, které nikdy nikdo nečte) je evidentní, ale zde je každá rada drahá. Právě proto je zapotřebí si jasně definovat interní procesy zpracování dat a tyto jasně publikovat u každého případu.

Dotčené osoby je třeba informovat, v jakém rozsahu jejich osobní údaje budou zpracovávány, k jakému účelu, pro koho, na jak dlouho a jak s nimi bude nakládáno.

Srozumitelné informace

Uživatel by tedy měl hned vědět, kdy může očekávat, že už nebude pro dané potřeby evidován.

Cíl je jasný – dávat uživateli informace, ve kterých se dá zorientovat, jsou srozumitelné a nejedná se o stěnu textu čítající sto a více normostran. Uživatele nikdy nedonutíte k tomu, aby si vše pečlivě nastudoval, ale zkuste jej alespoň neodradit během prvních tří vteřin.

Udělení samotného souhlasu je pak další ožehavá otázka. Souhlas jako takový musí být vždy svobodný, konkrétní, informovaný a jednoznačný projev vůle.

Obecně se dá použít zjednodušený pohled na to, kdy souhlas vyžadovat a kdy ne – tam, kde se evidence osobních údajů opírá o zákon (včetně zákonných výjimek a zákazů) či doložitelný oprávněný zájem správce (CRM, smluvní vztahy atd.), není souhlas zapotřebí. V ostatních případech ano.

Jak na kategorizaci dat

Jak jsem už nastínil, je definována i kategorie citlivých osobních dat (biometrika, podpis apod.), pro kterou je zapotřebí tzv. explicitní (výslovný) souhlas se zpracováním.

Pro jednodušší představu si vezměme výše uvedený poptávkový formulář, kde uživatel vyplní běžná osobní data. U těchto případů stačí obvykle užívaná věta „souhlasím se zpracováním osobních údajů“ nebo jen noticka „odesláním formuláře souhlasíte se zpracováním osobních údajů“ (toto se vztahuje i na dobrovolně vložená data, jako může být např. mobilní telefon v případech, že není vyžadován, pozn. red.).

Jiný případ pak nastává, když potřebujete explicitní aktivitu ze strany uživatele. Není možný „opt-out“ přístup, jako byla předvyplněná políčka vyžadující souhlas (checkboxy), ale naopak jasné stvrzení souhlasu právě třeba zaškrtnutím políčka.

I tento údaj nezapomeňte evidovat včetně časové stopy (čili že Jan Novák dal svůj souhlas 8. 2. 2018, protože jeho data se budou uchovávat následujících např. 15 let).

Na co si dát pozor

Nejste-li instituce s potřebným zákonným titulem, nesmíte nikdy ani vyžadovat, natož dále zpracovávat data o víře, etnicitě, zdravotním stavu a podobně.

V prvním případě se jedná o tzv. jasný (unambiguous) souhlas, zatímco v druhém jde o souhlas explicitní (explicit).

Pokud v tom nevidíte na první pohled rozdíl, nedivím se vám a rozhodně nezoufejte… Na desáté přečtení se s tím smíříte, ač to stále nejspíš nebudete chápat.

Hrozba půlmiliardové pokuty: Pokuty za porušení GDPR mohou dosáhnout deseti milionů eur (cca 253 mil. Kč) nebo 2 % z celkového ročního obratu (v případě závažnějších porušení 20 milionů eur (přes půl mld. Kč) a 4 %).

Pseudonymizovaná a anonymizovaná data

V tento okamžik už tedy máte rozhodnuto, jaká data chcete sbírat, a jasně jste uživatelům vysvětlili, co s nimi budete dělat.

Zábava ale ještě zdaleka nekončí. Musíte se rozhodnout, jak data reálně ukládat.

Anonymizace dat rozhodně není ničím novým, nicméně pojem pseudonymizace je v GDPR dalším nosným pilířem, který je potřeba reflektovat.

V následujících úvahách budu primárně operovat s modely z relačních databází – jednoduše proto, že mimo jejich svět jsem si potřebné situace ještě nebyl schopen ve své hlavě namodelovat.

Samotná pseudonymizace není pro nové klienty nic nijak závažného ani složitého. Jedná se o roztržení dat o uživateli a osobních dat.

– Osobní data jsou definována direktivou („Franta Vomáčka, datum narození 5. 6. 1967“).

– Uživatelskými daty chápejte například „má smlouvu na hypotéku se splatností 15 let, fix 5 let, úrok 2,8 %“.

Cílem je být schopen „skrýt“ osobní identitu uživatele již na úrovni dat a jejich uložení v databázi a dále tato data akorát propojit jednoduchou vazbou díky obecnému klíči – proto ty relační databáze.

Odlišné zpracování dat

Díky pseudonymizaci dat tedy dochází k razantní změně v rámci architektonického konceptu zpracování uživatelských dat.

Zatímco dodnes jsme se snažili vše vázat na unikátní klíče typu e-mailová adresa, rodné číslo (ano, mohou být dvě stejná), nyní získává na významu naprosto odlišný abstraktní klíč.

Ten nejenže bude unikátním identifikátorem uživatele (Franta Vomáčka bude mít ID 189743), ale i například produktového portfolia pro nějakého uživatele (uživatel 189743 má hypotéku, spotřebitelský úvěr a běžný účet).

Po napojení čistě anonymizovaných dat (uvažujte například obecné údaje z Google Analytics nebo podobných nástrojů) pak akorát víte, že máte uživatele v Googlu s ID gid6575, který se vám nějak pohybuje po stránkách.

Pak se dříve nebo později přihlásí do klientského rozhraní a vy pouze řeknete, že tento fantom gid6575 má vlastně ID 189743, což je náš milý Franta, a máte to všechno pěkně pohromadě. Kvůli tomuto roztržení osobních a zbylých dat je na první pohled nejasné, která data ke komu patří, zároveň přes jednoduché databázové dotazy je můžete opět propojit a dále s nimi pracovat.

Roztržení je fajn, ale proč?

Zde se dostáváme k jednomu z klíčových bodů GDPR a to jsou práva klientů na další zpracování dat, z nichž jedním je také právo být zapomenut/smazán (right to erasure / right to be forgotten).

Každý koncový uživatel totiž může u správce i zpracovatele osobních dat žádat kompletní výpis agend, s nimiž jsou jeho osobní data svázána. A ten mu musí být vydán bez prodlení a zdarma, respektive za náhradu „účelně vynaložených nákladů“, jako mohou být třeba poplatky za uložení spisů (výjimkou je nadměrné zneužívání tohoto práva, časový interval pro změnu není určen).

 70 % manažerů v oblasti IT má dle studie NetApp obavy, že jejich firmy nebudou schopny dodržet lhůtu pro splnění nové legislativy EU hájící práva evropských občanů proti neoprávněnému zacházení s jejich daty a osobními údaji.

Uživatelé mohou také žádat o předání osobních dat třetím stranám ve strojově čitelném formátu, aby se urychlil jejich přenos. Ač jsem přemýšlel o mnoha způsobech užití toho scénáře, jediné, co mě napadlo, je bič na státní správy samotné, jelikož v soukromém sektoru jsem se nikdy nesetkal s podobným problémem.

Novinka: právo na smazání

Naprosté novum pak představuje zmíněné právo být smazán. Obdobné požadavky se dodnes řešily pouze skrze užití atributu pro zneplatnění uživatele v systému, nicméně jeho záznam leckdy existoval dále – toto již nebude dostačující.

Jsou ale případy, kdy by k vymazání dojít nemělo, například pokud zákon ukládá archivaci určitých dat. Pokud budete uchovávat data od sebe logicky oddělená, budete mít možnost upravit pouze „spojovací“ záznam nastíněný výše a samotná osobní data uživatele.

Díky tomuto roztržení ale budete mít šanci dále užívat klientská data pro statistické účely, modelování a tvorbu hypotéz, což je v dnešní době největším strašákem všech.

Historická data jsou totiž naprostým základem pro údržbu a úpravy produktového portfolia, tvorbu behaviorálních modelů, statistické vyhodnocování úspěšnosti a podobně.

Aby to ale nebylo tak jednoduché, GDPR řeší otázku profilování, která bude velmi pravděpodobně řešena již na úrovni webových prohlížečů.

Koncoví uživatelé budou mít možnost nebýt automatizovaně identifikováni bez vlastního vědomí a souhlasu. Malou útěchou navíc budiž fakt, že z působnosti GDPR jsou vyňaty informace o zesnulých osobách, což to přece jen trochu usnadňuje (i když ne moc).

Kam dál?

Jak jsem zmiňoval již na začátku, můj článek má velmi omezené pole působnosti.

Nezmínil jsem se vůbec o tom, kdy a proč jmenovat tzv. data protection officer, jak adresuje direktiva zpřísnění správy dat na fyzických zařízeních. Tedy nutnost reportovat všechny bezpečnostní incidenty v databázích osobních dat do 72 hodin, proceduru pro zvážení a popsání rizik úniku osobních dat a mnoha dalších aspektů.

Čtyři měsíce do startu „pekla“

Problematika GDPR je obsáhlá jako máloco, s čím jsem měl tu čest se setkat. A jak jsem zmínil dříve, i naše firma je teprve uprostřed implementace interních norem pro splnění direktivy a je nám jasné, že do konce roku 2018 nebudeme v klidu – dokud si celý systém organizačních a technických opatření nesedne.

Doufám ale, že vám výše uvedené řádky poskytly alespoň základní vhled do toho, co budete muset v následujících čtyřech měsících ještě stihnout, abyste byli „GDPR vyhovující“.

Evropská unie samozřejmě umožňuje certifikace pro splnění GDPR požadavků, kvůli kterým se s různými certifikačními autoritami doslova roztrhl pytel.

Nicméně očekávám, že stejně jako u ISO 9001 certifikace, to bude za rok či dva možná více na škodu než k užitku.

Přeji všem mnoho štěstí, sil a pevných nervů v následujících nelehkých měsících. A abychom si to alespoň trochu odlehčili, změníme příště směr a budeme se věnovat tématům customer journeys a human centered design, která nás přenesou mimo regulatorní povinnosti k zajímavějšímu a kreativnějšímu procesu pochopení našich zákazníků.