Práce s daty v souvislosti se zavedením GDPR
Směrnice GDPR řeší veškerou problematiku ochrany, sdílení či používání osobních dat jakýmkoli subjektem. Týká se přímo právního rámce - např. zdůvodnění toho, proč a která data jsou zpracovávána, jak se k nim lidé chovají, co s nimi dělají, nebo jaké jsou konkrétní procesy.
GDPR vejde v platnost 25. 5. 2018 a týká se i veškerých úložišť, databází a zpracování dat na počítačích. Nové požadavky znamenají velký zásah do života konkrétních lidí, fungování organizací a obsahu jejich podnikání.
Směrnice je závazná pro všechny státy Evropské unie i pro všechny ostatní státy, které nakládají s daty občanů EU. Jedná se o směrnici, která je přísnější než zákony dosud existující v ČR a na Slovensku.
Problematiku řeší více do detailu a především specifikuje velmi vysoké sankce v případě svého porušení. Konkrétně jde o 20 milionů euro, případně 4% z celosvětového obratu. To může být pro spoustu organizací v regionu střední a východní Evropy likvidační.
Firmy musí být schopné předat klientům veškerá data
Směrnice pracuje s řadou věcí, které už existují. Limituje například zpracování dat pouze na ta, ke kterým je udělen souhlas subjektu, případně ta, pro která existuje zákonný důvod.
"Pokud bude chtít například banka u zákazníka zjistit, zda a za jakých podmínek mu může poskytnout úvěr, musí si nejdřív zajistit jeho souhlas se zpracováním příslušných dat. Pokud jsem banka a klient si u mě založí účet, pak mohu zpracovávat některá data, k nimž souhlas mít nemusím - např. číslo onoho účtu. Pokud mě ale zajímá něco víc, ať už jsou to údaje o věku, rodině nebo čemkoli dalším, tak to už jsou data, která přímo k vedení účtu nepotřebuji. A taková data podléhají souhlasu. Pokud ho nemám, nemohu s nimi pracovat. Pak ještě existují mezní případy, kdy si právně zdůvodním, že je práce s určitými daty v mém oprávněném zájmu. Že potřebuji zjistit, zda daný klient není padouch a neplánuje si půjčit peníze, které mi nikdy nehodlá splácet. Z tohoto důvodu mě může při sjednání pojištění zajímat, zda například klient není kuřák, nebo při poskytování půjčky, zda není už deset let nezaměstnaný. V podobných situacích se tedy nemusím vždycky ptát, zda mám souhlas nebo zda existuje zákonný důvod, ale musím být schopen si využití takových dat náležitě zdůvodnit," vysvětluje Vladimír Kyjonka, konzultant společnosti SAS Institute.
Zároveň ale GDPR výrazně posiluje úlohu regulátora, což je v případě ČR Úřad pro ochranu osobních údajů. Ten získá právo kontrolovat, jaká data jsou zpracovávána, jestli jsou implementovány veškeré procesy, jak je možné příslušná data dohledat nebo zda je kontrolováno, jestli nedošlo k neoprávněnému průniku. A v neposlední řadě bude kontrolovat i to, zda jsou dodržována mnohá práva, která v souvislosti s daty mají jejich subjekty.
Nová práva spočívají v tom, že každý člověk, ať už klient, zaměstnanec nebo kdokoli další, má na jedné straně právo na odstranění svých dat a na straně druhé právo na poskytnutí veškerých informací, které o něm správce dat uchovává. Tato data si navíc musí být schopen jednoduše odnést, například když bude přecházet k jinému bankovnímu domu. S takovým krokem je spojena spousta problémů, ať už právních, procesních nebo technologických.
GDPR současné trendy ve zpracování dat zkomplikuje
Jedním z dnešních trendů je shromažďování co nejširšího objemu dat, tzv. fenomén Big Data. Organizace chtějí mít co nejvíc dat, směrnice ale říká, že by jich měly sbírat co nejméně. Pouze ta, která nutně potřebují pro své fungování.
Druhým trendem je personalizace. Zákazníci se segmentují například podle chování, aby jim bylo možné nabídnout určitý produkt. Snaha je cílit co nejpřesněji na co nejužší segment, ideálně na konkrétního zákazníka. GDPR ale nakládání s personálními daty silně omezuje.
Aby bylo data možné i přes tato omezení vytěžit, je třeba identitu konkrétních lidí zakrýt - maskovat, anonymizovat či pseudonymizovat.
Společnosti nehledě na svou velikost tak musí zavést technická, organizační a procesní opatření a prokázat jejich soulad s principy GDPR. V případě nedodržení pravidel hrozí nejen správní pokuty, ale společnosti mohou být kromě toho vystaveny i žalobám ze strany fyzických osob, jejichž práva podle nich byla nakládáním s jejich osobními údaji poškozena.
V neposlední řadě pak svou roli hraje i publicita spojená s kauzami nesprávného nakládání s osobními údaji, která může znamenat ztrátu důvěry klientů. Nepřipravenost na GDPR tak může firmu zasáhnout hned na několika frontách.
Článek SAS Institute ČR, s.r.o. ze dne čtvrtek 8. června 2017
Další články od SAS Institute ČR, s.r.o.
Inovační laboratoř pro testování AI aplikací a strojového učení
Investice SAS míří do vývoje a výzkumu umělé inteligence
Výpočet pojistného podle chování řidiče
Využití chatbotu výrazně zrychluje schvalovací procesy
Práce s daty v souvislosti se zavedením GDPR
IoT jako zdroj hodnotných dat pro nové obchodní příležitosti firem
Analýza cílových skupin zákazníků je dnes pro firmy nezbytná
Ředitelka SAS Slovakia nově vede i českou pobočku
Vizualizace dat pro správná rozhodování
DataFlux: podle analýzy Gartner opět jednička na trhu nástrojů datové kvality
SAS Digital Marketing pro DIRECT Pojišťovnu
SAS opět lídrem na trhu systémů pro řízení úvěrového rizika
Advanced Business Analytics: speciální programem SAS pro studenty MBA
Inteligentně na neplatiče a řízení nákladů
Nové kompetenční centrum SAS Customer Inteligence pro regiony střední, jižní a východní Evropy
