GDPR totiž zmiňuje právo osoby vědět, jaké údaje jsou o ní vedené a může zažádat o opravu dat tak, aby byla správná nebo zažádat o výmaz dat, která nejsou potřebná pro účel, pro který byla shromažďována.

Při návrzích a implementaci digitálních řešení je důležité, aby ty byly co nejlepší pro koncového zákazníka, ale navíc vše musí být v souladu se zákony ochrany osobních údajů. I když finální zodpovědnost je na zadavateli, webový integrátor by měl hrát důležitou roli – měl by velmi dobře znát praktické aplikace zákona a navrhovat a implementovat řešení v souladu s ním. Pojďme se podívat na hlavní pojmy a na to, jak správně začít.

Dovolím si ještě poslední "disclaimer" - tento článek rozhodně nemůže zodpovědět všechny vaše otázky ohledně GDPR. Tato problematika je nadměrně složitá, ale pokusím se vám v něm podchytit alespoň ta témata, která se týkají víceméně všech. Pokud něco opomenu, klidně mi dejte vědět a rád se pokusím případné informace doplnit.

Odkud začít?

Základem pro dobrou implementaci směrnic, které v rámci vaší firmy zaručí soulad s GDPR, je nutné si naprosto perfektně zmapovat, jakým způsobem pracujete s osobními daty. GDPR operuje s pojmy jako "správce dat" a "zpracovatel dat", kde pro účely tohoto článku budu pojednávat o případu, kdy firma zastává obě role, což se bude týkat snad větší části čtenářů ("příjemce" dat zde nebude vůbec uvažován, protože to je primárně veřejný sektor).

Soustředím se na zpracování klientských dat, většina uvedených faktů je jednoduše přenositelná i na ty interní, zaměstnanecké údaje. GDPR ve vztahu k datům rozšiřuje pojem osobních údajů (v direktivě se užívá pojem "subject data"), kam se nově řadí i např. e-mail, IP adresa, fotografické záznamy atd., stejně jako definuje "citlivé údaje" jako jsou genetické a biometrické záznamy (podléhající přísnějšímu režimu). Každý z těchto údajů musí mít také jasně definovanou agendu, v rámci které je zpracováván, a přesně proto se musíte zaměřit na procesní popis toho, jak s údajem nakládáte - berte to jako takové cvičení podobné získání ISO certifikace.

Ač mohou předchozí věty vyznít tak, že nejdříve se podívám na data a z nich se teprve snažím odvodit, k čemu je reálně potřebuji, proces by měl být opačný. Definujte si potřebné agendy, které musíte v rámci své aplikace / podnikání / denní operativy řešit a z nich potom jasně definujte data, která budou pro jejich naplnění nezbytná. GDPR totiž zmiňuje právo osoby vědět, jaké údaje jsou o ní vedené a může zažádat o opravu dat tak, aby byla správná nebo zažádat o výmaz dat, která nejsou potřebná pro účel, pro který byla shromažďována. Obdobně jako u návrhu softwaru, kde má technologie sloužit účelu, se tento princip překlápí i na osobní data a klíčovým středobodem je onen účel, proto se na něj náležitě soustřeďte. Jako názorný příklad může sloužit třeba on-line úvěrová kalkulačka sloužící jako podklad pro sjednání smlouvy o půjčce (úvěru), kde potřebuje finanční instituce, aby splnila povinnost „obezřetnosti“, nutně vědět o zájemci o úvěr (půjčku) nejen jméno, příjmení, bydliště, ale i datum narození či rodné číslo, aby jej mohla podrobit, v rámci scoringu, kontrole v registru dlužníků. Naopak u poptávkového formuláře takový rozsah rozhodně není nutný, postačí jen základní identifikace a kontakt, nicméně vše musí být "procesně" podchyceno.

S čím vším musí uživatel souhlasit?

Dříve než začnete data sbírat, musíte si ale jasně ošetřit, že uživatele korektně informujete o tom, co s jeho daty zamýšlíte. Velmi podstatným a zároveň těžko uchopitelným bodem GDPR je povinnost informovat uživatele jasně a srozumitelně o potřebě zpracování osobních dat, ať si pod tím představíte již cokoli. Záměr zkrátit podmínky užívání (oblíbené EULA licence, které nikdy nikdo nečte) je evidentní, ale zde je každá rada drahá. Právě proto je zapotřebí si jasně definovat interní procesy zpracování dat, a tyto jasně publikovat u každého případu. Dotčené osoby je třeba informovat, v jakém rozsahu jejich osobní údaje budou zpracovávány, k jakému účelu, pro koho, na jak dlouho a jak s nimi bude nakládáno. Uživatel by tedy měl hned vědět, kdy může očekávat, že již nebude pro dané potřeby evidovaný. Cíl je jasný – dávat uživateli informace, ve kterých se dá zorientovat, jsou srozumitelné a nejedná se o stěnu textu čítající 100+ normostran. Uživatele nikdy nedonutíte k tomu, aby si vše pečlivě nastudoval, ale zkuste jej alespoň neodradit během 2 vteřin.

Udělení samotného souhlasu je pak další ožehavá otázka. Souhlas jako takový musí být vždy svobodný, konkrétní, informovaný a jednoznačný projev vůle. Obecně se dá použít zjednodušený pohled na to, kdy jej vyžadovat a kdy ne – tam, kde se evidence osobních údajů opírá o zákon (včetně zákonných výjimek a zákazů) či doložitelný oprávněný zájem správce (CRM, smluvní vztahy atd.), není souhlas zapotřebí. V ostatních případech ano.

Jak jsem již nastínil dříve, je definována i kategorie citlivých osobních dat (biometrika, podpis apod.), pro kterou je zapotřebí tzv. explicitního (výslovného) souhlasu se zpracováním. Pro jednodušší představu si vezměme výše uvedený poptávkový formulář, kde uživatel vyplní "běžná" osobní data - pro tato stačí dnes běžně užívaná věta "souhlasím se zpracováním osobních údajů...", nebo jen noticka "odesláním formuláře souhlasíte se zpracováním osobních údajů" (toto se vztahuje i na dobrovolně vložená data, jako může být např. mobilní telefon v případech, že není vyžadován). Jiný případ pak nastává, kdy potřebujete explicitní aktivitu ze strany uživatele. Není možný „opt-out“ přístup jako byly předvyplněné checkboxy, ale naopak jasné stvrzení souhlasu právě např. zaškrtnutím křížku. I tento údaj nezapomeňte evidovat včetně časové stopy (čili, že Jan Novák dal jeho souhlas 8. 2. 2018, protože jeho data se budou uchovávat následujících např. 15 let). Nejste-li pak institucí s potřebným zákonným titulem, nesmíte nikdy ani vyžadovat, natož dále zpracovávat, data o víře, etnicitě, zdravotním stavu apod. V prvním případě se jedná o tzv. jasný (unambiguous) souhlas, zatímco v druhém jde o souhlas explicitní (explicit). Pokud v tom nevidíte na první pohled rozdíl, nedivím se vám a rozhodně nezoufejte... Na desáté přečtení se s tím smíříte, ač to stále nejspíš nebudete chápat.

Pseudonymizovaná a anonymizovaná data

V tento okamžik už tedy máte rozhodnuto, jaká data chcete sbírat a jasně jste uživatelům vysvětlili, co s nimi budete dělat. Zábava ale ještě zdaleka nekončí a vy se musíte rozhodnout, jak data reálně ukládat. Anonymizace dat rozhodně není ničím novým, nicméně pojem "pseudonymizace" je v GDPR dalším nosným pilířem, který je potřeba reflektovat. V následujících úvahách budu primárně operovat s modely z relačních databází jednoduše z toho titulu, že mimo jejich svět jsem si potřebné situace ještě nebyl schopný ve své hlavě namodelovat. Samotná pseudonymizace není ničím nijak závažným a složitým -pro nové klienty-. Jedná se o roztržení "dat o uživateli" a "osobních dat". Osobní data jsou definována direktivou ("Franta Vomáčka, datum narození 5. 6. 1967"), uživatelskými daty chápejte např. "má smlouvu na hypotéku se splatností 15 let, fix 5 let, úrok 2.8 %". Cílem je být schopný "skrýt" osobní identitu uživatele již na úrovni dat a jejich uložení v databázi a být schopný tato data akorát propojit jednoduchou vazbou díky obecnému klíči - proto ty relační databáze.

Díky pseudonymizaci dat tedy dochází k razantní změně v rámci architektonického konceptu zpracování uživatelských dat. Zatímco dodnes jsme se snažili vše vázat na unikátní klíče typu e-mailová adresa, rodné číslo (ano, mohou být dvě stejná) atp., pak nyní získává na podstatě naprosto odlišný abstraktní klíč, který nejen že bude unikátním identifikátorem uživatele (Franta Vomáčka bude mít ID 189743), ale i například produktového portfolia pro nějakého uživatele (uživatel 189743 má hypotéku, spotřebitelský úvěr a běžný účet). Pro napojení čistě anonymizovaných dat (uvažujte například obecné údaje z Google Analytics nebo podobných nástrojů) pak akorát víte, že máte uživatele v Googlu s ID gid6575, který se vám nějak pohybuje po stránkách. Pak se dříve nebo později přihlásí do klientského rozhraní a vy pouze řeknete, že tento fantom gid6575 má vlastně ID 189743, což je náš milý Franta, a máte to všechno pěkně po kupě. Díky tomuto roztržení osobních a zbylých dat je pak na první pohled nejasné, která data ke komu patří, zároveň přes jednoduché databázové dotazy je můžete opět propojit a pracovat s nimi dále.

Roztržení je fajn, ale proč?

Zde se dostáváme k jednomu z klíčových bodů GDPR a to jsou práva klientů na další zpracování dat, z nichž jedním je také právo "být zapomenut/smazán" (right to erasure / right to be forgotten). Každý koncový uživatel totiž může u správce i zpracovatele osobních dat žádat kompletní výpis agend, s nimiž jsou jeho osobní data svázána, který mu musí být vydán bez prodlení a zdarma, resp. za náhradu „účelně vynaložených nákladů“, jako mohou být poplatky úložně spisů atp. (výjimkou je nadměrné zneužívání tohoto práva, časový interval pro změnu není určen). Uživatelé mohou také žádat o předání osobních dat třetím stranám ve strojově čitelném formátu, aby se urychlil jejich přenos - ač jsem přemýšlel o mnoha způsobech užití toho scénáře, jediné co mě napadlo je bič na státní správy samotné, jelikož v soukromém sektoru jsem se nikdy nesetkal s podobným problémem. Naprosté novum pak představuje zmíněné právo být smazán, jelikož obdobné požadavky se dodnes řešily pouze skrze užití atributu pro "zneplatnění" uživatele v systému, nicméně jeho záznam leckdy existoval dále - toto již nebude dostačující. Jsou ale případy, kdy k vymazání by dojít nemělo, např. pokud zákon ukládá archivaci určitých dat.

Pokud budete uchovávat data od sebe logicky oddělená, budete mít možnost upravit pouze "spojovací" záznam nastíněn výše a samotná osobní data uživatele. Díky tomuto roztržení ale budete mít šanci dále užívat "klientská" data pro statistické účely, modelování a tvorbu hypotéz, což je v dnešní době největším strašákem všech. Historická data jsou totiž naprostým základem pro údržbu a úpravy produktového portfolia, tvorbu behaviourálních modelů, statistické vyhodnocování úspěšnosti apod. Aby to ale nebylo tak jednoduché, GDPR řeší otázku „profilování“, která bude velmi pravděpodobně řešena již na úrovni webových prohlížečů. Koncoví uživatelé budou mít možnost nebýt automatizovaně identifikováni bez jejich vědomí a souhlasu. Malou útěchou navíc budiž fakt, že z působnosti GDPR jsou vyňaty informace o zesnulých osobách, což to přeci jen trochu usnadňuje (ač ne moc).

Kam dál?

Jak jsem zmiňoval již na začátku, můj článek má velmi omezené pole působnosti. Nezmínil jsem se vůbec o tom kdy a proč jmenovat tzv. "Data Protection Officer", jak adresuje direktiva zpřísnění správy dat na fyzických zařízeních, nutnost reportovat všechny bezpečnostní incidenty v databázích osobních dat do 72 hodin, proceduru pro zvážení a popsání rizik úniku osobních dat a mnoha dalších aspektů. Problematika GDPR je obsáhlá jako máloco, s čím jsem měl tu čest se setkat.

Jak jsem zmínil dříve, i naše firma je teprve uprostřed implementace interních norem pro splnění GDPR a je nám jasné, že do konce roku 2018 nebudeme v klidu - dokud si celý systém organizačních a technických opatření "nesedne". Nicméně doufám, že vám výše uvedené řádky poskytly alespoň základní vhled do toho, co budete muset ještě v následujících 4 měsících stihnout pro to, abyste byli "GDPR compliant". Evropská unie samozřejmě umožňuje certifikace pro splnění GDPR požadavků, díky kterým se s různými certifikačními autoritami doslova roztrhl pytel, nicméně očekávám, že stejně jako u ISO-9001 certifikace to bude za rok, dva možná více na škodu než k užitku.

Co vám ale rozhodně doporučím je zdlouhavé, ale vcelku zajímavé studium samotné celoevropské direktivy, které je k nalezení zde: http://eur-lex.europa.eu/legal-content/CS/TXT/?uri=CELEX%3A32016R0679

Tzv. pracovní skupina 29 se soustředí na vysvětlení některých poněkud vágních okruhů direktivy, takže i zde můžete čerpat případnou inspiraci: http://ec.europa.eu/justice/data-protection/article-29/index_en.htm

Pokud by vás pak nelákalo čtení téměř 90 stránek obecného nařízení, podívejte se alespoň na novelu zákona, která bude pro nás velmi relevantní: https://apps.odok.cz/veklep-detail?pid=KORNAQCDZPW5

V případě, že vás nezaujme ani to, doporučuji alespoň krátký soupis od Úřadu pro ochranu osobních údajů o tom co GDPR přináší: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/archiv=0&p1=3938

V neposlední řadě mi dovolte doporučit další dva zdroje, jedním je malý portál firmy Trunomi https://www.eugdpr.org/eugdpr.org.html (v angličtině), druhým pak český miniportál https://www.gdpr.cz/

A ještě nakonec, pro milovníky standardních papírových edicí, jedna kvalitní publikace (ač dlouhá, se skoro 500 stranami) z nakladatelství Wolters Kluwer – GDPR / Obecné nařízení o ochraně osobních údajů. Kniha je to dlouhá, ale snaží se vcelku lidským jazykem interpretovat jednotlivé pasáže nařízení.

Přeji všem mnoho štěstí, sil a pevných nervů v následujících nelehkých měsících. A abychom si to alespoň trochu odlehčili, změníme příště směr a budeme se věnovat tématům Customer Journeys a Human Centered Design, které nás vezmou mimo regulatorní povinnosti mezi zajímavější a kreativnější proces pochopení našich zákazníků.