Mnohé medzinárodné spoločnosti z rôznych sektorov sa už dlhšiu dobu zaoberajú efektívnym využívaním dát o svojich klientoch. Každý kto pochopil, že kľúčom k správne fungujúcemu biznisu sú kvalitné dáta, je teraz pripravený lepšie reflektovať na požiadavky trhu a svojich klientov. Cieľom tohto blogu nie je rozoberať "dátovú monetizáciu", "big data" či "data profiling" túto diskusiu rád prenechám data scientistom. Mojim cieľom je otvoriť diskusiu k novým pravidlám, ktoré natrvalo zmenia charakter podnikania z hľadiska spracovania dát a vytvoria precedens k novej digitálnej dobe.
Najdlhšie diskutovaná, najviac lobovaná (údajne až 5 000 pozmeňujúcich návrhov) a najkontroverznejšia legislatíva Európskej únie s názvom General Data Protection Regulation (ďalej len GDPR") prichádza (účinná 2018), aby regulovala spôsob spracúvania osobných údajov fyzických osôb.
Veľkí hráči sa na GDPR pripravujú už vyše roka, odkedy bola známa prvá verzia textu. Mnohé medzinárodné firmy začali implementovať GDPR skôr ešte než bola schválená finálna verzia a urobili dobre. Motivácia s názvom pokuta vo výške 20.000.000,- EUR alebo 4% ročného obratu spoločnosti, sú dostatočným argumentom zodpovedného manažmentu, aby venovala GDPR pozornosť. Ak poviem, že to čo orgány dohľadu v oblasti hospodárskej súťaže nedokázali vybrať na pokutách, to doženie v budúcnosti GDPR. Európska únia dlhodobo pracuje na stratégii regulácie dát a informácií či už z hľadiska ochrany osobných údajov, cookies, používania internetu deťmi, ako aj prevencie proti praniu špinavých peňazí a terorizmu.
Informácie, ktoré o svojej osobe zverejňujeme na internete; údaje ktoré poskytujeme bankám, telekomunikačným operátorom alebo orgánom štátnej správy budú od mája 2018 pod dohľadom európskeho úradu na ochranu osobných údajov. Túto exkluzivitu dohľadu si Európska únia uplatňuje z dôvodu, priorít, ktoré si v tejto oblasti vytýčila. Má to svoje ekonomické a spoločenské opodstatnenie. V prvom rade je záujem Európskej únie chrániť súkromie jednotlivca a na strane druhej je to logický krok k vytvoreniu nového regulovaného trhu s obrovským kapitálom.
Implementácia GDPR nie je a ani nebude jednoduchá. Niektoré spoločnosti nemusia mať vedomosť, že predmetná legislatíva bola prijatá na úrovni Európskej únie. Stretávam sa aj s názorom niektorých právnikov/poradcov, že GDPR problém nepredstavuje, nakoľko porovnávajú GDPR so slovenským zákonom ochrane osobných údajov. Takéto porovnanie nie je korektné najmä z hadiska časového kontextu GDPR a Smernice o ochrane osobných údajov, ktorá tvorila podklad pre ešte dnes platný zákon č. 122/2013 Z. z. o ochrane osobných údajov. GDPR je nariadenie priamo aplikovateľné vo všetkých členských krajinách Európskej únie. GDPR zavádza enormne vysoké sankcie za nedodržanie zákona čo v praxi môže byť "využité" nie len na efektívne napĺňanie štátnych pokladní ale aj ako nástroj konkurenčného boja.
Poradenské a konzultačné spoločnosti ponúkajú služby pre implementáciu GDPR. V tejto súvislosti chcem upozorniť na možné riziká spojené s rôznymi "privacy check" alebo "data protection security pack" a iných produktov. Tieto služby v podstate neprinášajú žiadne riešenie z hľadiska implementácie GDPR. Dovolím si na tomto mieste vtip pre zainteresovaných. "Privacy by design and by default" jednoducho nepokryjete tým, že si kúpite "pekne vyfarbený bezpečnostný projekt" od poradenskej spoločnosti. GDPR požaduje vybudovať do istej miery Data governance. Explicitne to zo zákona nevyplýva, ale ak začnete s implementáciou jednotlivých práv zistíte, že je to absolútne nevyhnutné.
Firmy, ktoré ešte nezačali s implementáciou GDPR, musia počítať s dopadom na biznis. Náklady na implementáciu budú závisieť od komplexnosti organizácie a IT infraštruktúry. Neodporúčam však pozerať sa na GDPR len z hľadiska ICT nákladov. Jednotlivé práva a povinnosti vyplývajúce z GDPR majú dopad na organizáciu a jej riadenie ako aj ICT. V prípade, že má spoločnosť kvalitne vybudovanú IT infraštruktúru a má kvalitné dáta, náklady na ICT výrazne klesajú. Na druhej strane vytvorenie nových rolí a zodpovedností, určenie vlastníkov dát, vykonávanie rizikových štúdií vo fáze dizajnovania produktov alebo procesov sú vyslovene zásahom do "riadenia" spoločnosti. Tieto detaily GDPR, ktoré sú schované v jednotlivých článkoch legislatívy, musia byť čítané s porozumením a so schopnosťou vidieť veci očami spoločnosti, ktorá má GDPR implementovať. Pri diskusii s biznisom v spoločnosti sa nevyhnete otázke, kto zaplatí "účet" za implementáciu legislatívnych požiadaviek. Otázka je to veľmi dobrá odpoveď ešte lepšia - účet zaplatí opäť biznis. Kto je vlastníkom dát, nechám na brainstorming alebo domácu úlohu. Každopádne obchodný potenciál z využitia dát má biznis, prečo by teda neplatil aj účty.
GDPR je komplexná legislatíva, ktorá má ambíciu regulovať dáta. To, že uvedené nariadenie Európskej únie spôsobilo "big bang" v komunite Data protection officerov v nadnárodných spoločnostiach je už známe. V roku 2016 bolo organizovaných niekoľko významných medzinárodných konferencií venovaných Data protection a GDPR. V roku 2017 je ich počet trojnásobný. Účastníkmi týchto konferencií sú viac menej tie isté spoločnosti. Preto odporúčam, informujte sa vo vašej spoločnosti alebo u svojich data protection officerov, či venujú GDPR dostatok pozornosti.