logo SAS Institute ČR, s.r.o.

Práce s daty v souvislosti se zavedením GDPR

Směrnice GDPR řeší veškerou problematiku ochrany, sdílení či používání osobních dat jakýmkoli subjektem. Týká se přímo právního rámce - např. zdůvodnění toho, proč a která data jsou zpracovávána, jak se k nim lidé chovají, co s nimi dělají, nebo jaké jsou konkrétní procesy.

GDPR vejde v platnost 25. 5. 2018 a týká se i veškerých úložišť, databází a zpracování dat na počítačích. Nové požadavky znamenají velký zásah do života konkrétních lidí, fungování organizací a obsahu jejich podnikání.

Směrnice je závazná pro všechny státy Evropské unie i pro všechny ostatní státy, které nakládají s daty občanů EU. Jedná se o směrnici, která je přísnější než zákony dosud existující v ČR a na Slovensku.

Problematiku řeší více do detailu a především specifikuje velmi vysoké sankce v případě svého porušení. Konkrétně jde o 20 milionů euro, případně 4% z celosvětového obratu. To může být pro spoustu organizací v regionu střední a východní Evropy likvidační.

Firmy musí být schopné předat klientům veškerá data

Směrnice pracuje s řadou věcí, které už existují. Limituje například zpracování dat pouze na ta, ke kterým je udělen souhlas subjektu, případně ta, pro která existuje zákonný důvod.

"Pokud bude chtít například banka u zákazníka zjistit, zda a za jakých podmínek mu může poskytnout úvěr, musí si nejdřív zajistit jeho souhlas se zpracováním příslušných dat. Pokud jsem banka a klient si u mě založí účet, pak mohu zpracovávat některá data, k nimž souhlas mít nemusím - např. číslo onoho účtu. Pokud mě ale zajímá něco víc, ať už jsou to údaje o věku, rodině nebo čemkoli dalším, tak to už jsou data, která přímo k  vedení účtu nepotřebuji. A taková data podléhají souhlasu. Pokud ho nemám, nemohu s nimi pracovat. Pak ještě existují mezní případy, kdy si právně zdůvodním, že je práce s určitými daty v mém oprávněném zájmu. Že potřebuji zjistit, zda daný klient není padouch a neplánuje si půjčit peníze, které mi nikdy nehodlá splácet. Z tohoto důvodu mě může při sjednání pojištění zajímat, zda například klient není kuřák, nebo při poskytování půjčky, zda není už deset let nezaměstnaný. V podobných situacích se tedy nemusím vždycky ptát, zda mám souhlas nebo zda existuje zákonný důvod, ale musím být schopen si využití takových dat náležitě zdůvodnit," vysvětluje Vladimír Kyjonka, konzultant společnosti SAS Institute.

Zároveň ale GDPR výrazně posiluje úlohu regulátora, což je v případě ČR Úřad pro ochranu osobních údajů. Ten získá právo kontrolovat, jaká data jsou zpracovávána, jestli jsou implementovány veškeré procesy, jak je možné příslušná data dohledat nebo zda je kontrolováno, jestli nedošlo k neoprávněnému průniku. A v neposlední řadě bude kontrolovat i to, zda jsou dodržována mnohá práva, která v souvislosti s daty mají jejich subjekty.

Nová práva spočívají v tom, že každý člověk, ať už klient, zaměstnanec nebo kdokoli další, má na jedné straně právo na odstranění svých dat a na straně druhé právo na poskytnutí veškerých informací, které o něm správce dat uchovává. Tato data si navíc musí být schopen jednoduše odnést, například když bude přecházet k jinému bankovnímu domu. S takovým krokem je spojena spousta problémů, ať už právních, procesních nebo technologických.

GDPR současné trendy ve zpracování dat zkomplikuje

Jedním z dnešních trendů je shromažďování co nejširšího objemu dat, tzv. fenomén Big Data. Organizace chtějí mít co nejvíc dat, směrnice ale říká, že by jich měly sbírat co nejméně. Pouze ta, která nutně potřebují pro své fungování.

Druhým trendem je personalizace. Zákazníci se segmentují například podle chování, aby jim bylo možné nabídnout určitý produkt. Snaha je cílit co nejpřesněji na co nejužší segment, ideálně na konkrétního zákazníka. GDPR ale nakládání s personálními daty silně omezuje.

Aby bylo data možné i přes tato omezení vytěžit, je třeba identitu konkrétních lidí zakrýt - maskovat, anonymizovat či pseudonymizovat.

Společnosti nehledě na svou velikost tak musí zavést technická, organizační a procesní opatření a prokázat jejich soulad s principy GDPR. V případě nedodržení pravidel hrozí nejen správní pokuty, ale společnosti mohou být kromě toho vystaveny i žalobám ze strany fyzických osob, jejichž práva podle nich byla nakládáním s jejich osobními údaji poškozena.

V neposlední řadě pak svou roli hraje i publicita spojená s kauzami nesprávného nakládání s osobními údaji, která může znamenat ztrátu důvěry klientů. Nepřipravenost na GDPR tak může firmu zasáhnout hned na několika frontách.

Článek SAS Institute ČR, s.r.o. ze dne 8. června 2017 - čtvrtek

Další články SAS Institute ČR, s.r.o.

Všechna firemní zařízení Android pod kontrolou