Přenositelnost osobních údajů dle GDPR. Jak má fungovat prakticky?

Co si představit pod pojmem přenositelnost osobních údajů?

V Mail Komplet se zabýváme primárně e-mail marketingem a rozesíláním e-mailů, ale popisovat situaci s osobními daty na případě naší firmy s B2B zaměřením by bylo příliš komplikované. Proto pro názornost a osvětu zkusíme jiný model:

Představte si na chvíli, že jste firma, která poskytuje on-line službu pro poslech hudby. Zákazníci služby v ní mají uložená některá svá osobní data. V profilu mají například jméno, příjmení, e-mail a přezdívku. Navíc jim ve službě nabízíte možnost vytvořit si playlisty a sledovat historii poslouchaných skladeb.

Teď si představte, že se zákazník z nějakého důvodu rozhodne od vás odejít a vyžádá si od vás své osobní údaje. Musíte mu vyhovět? Dle GDPR ano! Díky požadavku na přenositelnost jste povinni zákazníkovi jeho osobní data vydat. A on s nimi bude moct nakládat, jak uzná za vhodné. Co s nimi udělá je čistě jeho věc. Z principu jde v GDPR o dobrou myšlenku. Ale její implementace bude pro vaší firmu komplikovaná.

K čemu přenositelnost osobních údajů je?

Přenositelnost osobních údajů by měla sloužit k usnadnění toku osobních dat napříč Evropskou Unií. Posílí se tím pozice zákazníka v nakládání s jeho vlastními osobními daty.

Primárním účelem práva přenositelnosti osobních údajů má být usnadnění změny poskytovatele služeb z jednoho na druhého.

Zákazník tak bude moct přejít k jiné firmě a nebude blokován tím, že jsou jeho osobní údaje “zamknuty” v systému předchozího poskytovatele služeb, který odmítá data vydat.

Právo na přenositelnost se týká pouze osobních a neodvozených údajů, nikoliv všech dat. Jako odvozená data jsou chápána taková data, která jsou získána z primárních osobních údajů například algoritmicky – tedy různé ranky, kreditní skóre apod.

Hodí se vědět, že mezi osobní údaje se řadí i údaje získané aktivitou uživatele nebo pozorováním jeho chování (např. sledování návštěvnosti). Mezi osobní údaje, na které se vztahuje přenositelnost se naopak neřadí nadstavbová data získaná analýzou původních osobních údajů.

Jak má přenositelnost technicky fungovat?

Dle doporučených postupů by měla firma být schopná odbavit žádosti o vydání osobních údajů automatizovaně. Ideálně buď tak, že si uživatel stáhne své osobní údaje z zabezpečené sekce informačního systému nebo tak, že firma poskytne uživateli aplikační rozhraní (API), přes které si uživatel bude moct své osobní údaje vytáhnout.

Osobní údaje musí být předány ve strukturovaném, běžně používaném, strojově čitelném formátu, ať už otevřeném nebo proprietárním. Přesné formáty nejsou definovány, ale do definice se dá napasovat cokoliv, co běžně dokáží programátoři strukturovaně zpracovat (dnes např. JSON, XML, CSV).

Výše uvedená možnost automatizovaného stažení nebo přístupu přes API předpokládá, že firma bude mít propojené všechny systémy mezi sebou. To bude obnášet nemalé náklady a v některých případech tzv. “legacy” systémů to nebude vůbec možné.

Dále to předpokládá, že každý subjekt osobních údajů (zákazník) bude mít nějaký autentifikační identifikátor (přihlašovací údaje), který ne vždy bude existovat (např. zákazník, který nakoupil v e-shopu bez registrace). Jakým způsobem se bude řešit přenositelnost osobních údajů v takovém případě zatím není jasné.

Jak rychle vyhovět žádosti?

V momentě, kdy si zákazník vyžádá své osobní údaje, byste mu měli vyhovět v co nejkratším termínu (je-li to možné). V běžných případech nejpozději do jednoho měsíce. Pokud by bylo vyhovění žádosti velmi komplikované (například kvůli komplexní povaze dat), může být žádost o osobní data odbavena až do 3 měsíců. V takovém případě musí ale být zákazníkovi sděleno, proč to zabere tak dlouho.

No co, náklady na žádosti přefakturujeme

Pokud vás napadlo, že náklady spojené s vyřizováním žádostí a předáváním osobních dat přenesete na žadatele, nemáme pro vás dobrou zprávu.

Tyto náklady není možno přenášet a data musíte poskytnout zdarma. Tedy za předpokladu, že žádost ze strany zákazníka není zbytečně moc častá. Pokud by zákazník žádosti opakoval moc často, je možno jejich vyřízení zpoplatnit.

Za zmínku stojí, že pokud by osobní údaje byly rozsáhlého charakteru a jejich přenos stažením nebo získáním přes API by nebyl praktický, mohou být data předána zákazníkovi také na CD/DVD či jiném paměťovém nosiči. Ani v takovém případě však není možno přenášet náklady na žadatele.

Jak technicky zrealizovat odbavení žádosti o osobní data?

Pracovní skupina ve svých metodických pokynech uvádí, že žádosti by měly být odbaveny ideálně automaticky – buď stažením ze zabezpečené sekce/odkazu nebo přes API. Což znamená, že musíme najít vhodný automatizovaný systém autentifikace žadatele. Ale jak na to?

Pokud například u firmy někdo udělá objednávku bez registrace, osobní údaje zůstanou ležet ve firemním systému. Firma ale není schopna nijak na dálku ověřit žadatele.

Na stejné adrese mohou také naprosto bez problémů bydlet dva lidé se stejným jménem i příjmením. Jak takové 2 žadatele od sebe rozpoznat, aby nedošlo k vydání osobních údajů někomu, komu údaje nepatří?

Kdokoliv může dokonce odeslat objednávku za třetí osobu. Prostě vyplní její osobní údaje. Děti běžně objednávají zboží pro své rodiče, manželé pro manželky, přítelkyně pro přítele apod. Takže autentifikace přes e-mail nebo znalost vyplněných údajů nebude často k identifikaci žadatele dostačovat, protože majitelem e-mailu může být jeden subjekt a majitelem ostatních osobních dat subjekt úplně jiný.

Co teď? Budou si firmy nechávat zasílat společně s žádostí o osobní údaje notářsky ověřené občanky a pasy? Nebo budou nutit zákazníky žádat o přenos údajů osobně a s ověřením žadatele proti občance nebo pasu? Zatím nevíme.

Šikana firem přes přenositelnost osobních údajů

Co když se rozhode konkurenční firma šikanovat svého “třídního nepřítele” tím, že mu bude zasílat falešné požadavky na přenos osobních údajů? Např. si 200x vyžádá data, přičemž jen 1 subjekt z 200 bude platný? Pokud firma bude požadavky ignorovat, vystavuje se riziku pokuty. Pokud ne, bude je muset projít všechny, včetně těch falešných. A bude jí to stát moře času.

Dokážeme si např. představit šikanu operátorů, kdy se lidé na sociálních sítích domluví a začnou svými žádostmi ždímat firemní zdroje. Je jen otázka času, kdy se najde chytrá hlava, která vytvoří sociální skupinu a vyzve ostatní: “Když jsou ti šmejdi tak drazí, pojďme od nich pravidelně žádat data. Naložme jim tím co proto!”

(Pozn. pod čarou: Cenu operátorů nehodnotíme, pouze prezentujeme často slýchaný názor davu. V žádném případě k ničemu nenavádíme. V Mail Komplet jsme se službami svého operátora spokojení. Včetně cenovky.)

Kdo zaplatí implementaci GDPR?

GDPR se dotkne každé firmy. Každá firma spravuje osobní údaje a tato data neleží na jednom místě. Data se obvykle nacházejí v účetnictví, v CRM systému, v marketingovém systému, v e-mailech, v logistickém systému, v systému pro zákaznickou podporu, a to je jen začátek výčtu.

Pokud by měly být žádosti o osobní údaje odbavovány automatizovaně, předpokládá to tedy 2 věci:

• Schopnost automaticky autentizovat žadatele
• Schopnost získat veškeré osobní údaje ze všech interních firemních systémů přes jedno centralizované rozhraní (tedy implementace centrálního panelu navázaného na všechny interní systémy)

To, že autentizace je v určitých případech nemožná, jsme zmínili výše. Díky tomu ne vždy půjde žádosti řešit automatizovaně.

A co se týče propojení všech interních firemních systémů? Odhadujeme, že tohle udělá velký vír v rozpočtu firem a způsobí mnoho vrásek na čele finančních ředitelů a majitelů firem. Velké firmy z toho jásat nebudou, zátěž však zvládnou. Co ale firmy malé a střední? No, uvidíme…

Důležitá fakta k přenositelnosti osobních údajů ve zkratce

Protože nových informací, které musíme všichni vstřebat, je v tomto článku více než hodně, přikládáme ještě výčet bodů, které se hodí si pamatovat:

• Přenositelnost má umožnit jednodušší tok osobních údajů napříč EU
• Primárním účelem přenositelnosti je jednoduchý přestup od jednoho poskytovatele k druhému
• Cílem přenositelnosti je zamezit “zamykání” (tzv. “lock-in”) zákazníků u poskytovatele služeb prostřednictvím dat zákazníků (“data vám nedáme, takže jinde začnete od nuly”)
• Přenositelnost se týká pouze osobních údajů, nikoliv všech dat
• Osobní údaje musí být předány ve strukturovaném, běžně používaném, strojově čitelném formátu
• Firma není zodpovědná za to, jak s osobními údaji naloží sám zákazník nebo subjekt, kterému zákazník data později předá
• Přenositelnost umožňuje předat pouze údaje, které jsou k dispozici (nikoliv data navíc, které původní firma v systémech nemá)
• Přenositelnost se nevztahuje na údaje odvozené z původních osobních údajů (např. algoritmicky získané veličiny – ranky, kreditní skóre apod.)
• Mezi osobní údaje se řadí i údaje získané aktivitou nebo pozorováním chování (např. sledování návštěvnosti), neřadí se tam nadstavbová data získaná analýzou původních dat
• Mezi zákazníkem a novým dodavatelem (správcem osobních údajů) musí existovat buď smlouva nebo souhlas se zpracováním dat
• Termín vyřízení žádosti o vydání dat je a) co nejdříve, co to jde, b) maximálně 1 měsíc, c) maximálně 3 měsíce, je-li vydání dat velmi komplexní (ale s komunikací důvodu)
• Zákazníci musí být informováni, že mají právo na přenositelnost
• Před ukončením smlouvy se doporučuje subjektu připomenout, že má právo na přenositelnost osobních údajů

Otázky a odpovědi ke GDPR

Doufáme, že co se GDPR týče, jste nyní zase o trochu chytřejší. Máte-li ke GDPR jakékoliv dotazy, neváhejte a napište nám je. My sami jsme vytvořili sekci GDPR – otázky a odpovědi. Do této sekce zanášíme otázky a odpovědi, které se nás lidé často ptají nebo které si sami pokládáme. Doufáme, že sekce pomůže k vyjasnění situace v oblasti GDPR.