Právě možné sankce za porušení nařízení GDPR jsou hnacím motorem současného „GDPR boomu“ – vždyť pokuta až do výše 20 000 000 eur (to není překlep, skutečně jde o dvacet milionů eur) nebo až do výše 4 % celosvětového obratu je téměř nepředstavitelná. V kombinaci se zákonem o trestní odpovědnosti právnických osob je to už důvod k zamyšlení se a k aktivnímu přístupu.

Na úvod trochu teorie

Nejdřív si musíme říci, co jsou vlastně osobní, resp. citlivé údaje. Definice osobních údajů v GDPR je poměrně široká, takže do ní spadají nejen na první pohled zřejmé údaje jako jméno, příjmení, adresa, číslo dokladu totožnosti, identifikační číslo, číslo kreditní karty, lokalizační data a podobně, ale i data, z nichž je možné přímo nebo nepřímo identifikovat fyzickou, ekonomickou, kulturní nebo společenskou identitu – což jsou také jakékoliv údaje o nákupech, využívaných službách, vlastněných zařízeních a podobně. Citlivé údaje jsou osobní údaje o rasovém, etnickém, národnostním původu, politických názorech, náboženském vyznání, data týkající se zdraví, sexuálního života a orientace, jakož i genetická a biometrická data.

Také si musíme říci, kde a v jaké formě tyto údaje mohou být uloženy. Data jsou uložena buď ve strukturované formě v databázích, nebo v nestrukturované formě většinou v ECM/DMS systémech. A v nestrukturované formě jsou data určitě uložena i na různých file serverech, sdílených adresářích, v souborech na pracovních stanicích, v e-mailech a e-mailových schránkách a podobně. A neměli bychom zapomenout ani na fyzické dokumenty.

Co je třeba v rámci GDPR zabezpečit?

Při implementaci GDPR je třeba zabezpečit naplnění práv subjektů osobních údajů a povinností správce. Jsou to:

• Právo na informace, jaké osobní údaje kdo a jak zpracovává;
• právo na opravu chybných osobních údajů;
• právo na smazání (právo být zapomenut);
• právo na odvolání souhlasu se zpracováním osobních údajů;
• právo na přenos údajů;
• povinnost informovat subjekty osobních údajů o „data breach“ – neoprávněném zpracování, přístupu nebo použití osobních údajů.

Z pohledu ECM/DMS a nestrukturovaných dat je třeba:

• Vědět, kdo, v jakých případech (procesech), jak a které dokumenty s osobními údaji používá, a na požádání tyto informace poskytnout;
• opravit chybné osobní údaje, pokud jsou například údaje uložené v atributech dokumentů;
• smazat všechny dokumenty, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všechny dokumenty, které se týkají osoby žádající o smazání;
• v případě odvolání souhlasu se zpracováním údajů omezit, resp. zakázat další zpracování všech dokumentů, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všech dokumentů, které se týkají dané osoby;
• poskytnout všechny dokumenty, které obsahují v atributech nebo v samotném obsahu osobní údaje, a také všechny dokumenty, které se týkají osoby žádající o přenos;
• v případě „data breach“ dokázat identifikovat, čí a které údaje byly postiženy, a v termínu informovat o této skutečnosti všechny subjekty, které byly „data breach“ dotčeny.

Jak se GDPR dotýká ECM/DMS systémů a nestrukturovaných dat?

Odpověď není úplně triviální. Hodně závisí na tom, jak je ECM/DMS implementován a jaká data jsou v něm uložena. Zkusme se na data podívat z různých pohledů. První pohled je podle toho, jaké dokumenty jsou v ECM/DMS uloženy. V případě, že ECM/DMS neobsahuje osobní a ani citlivé údaje, můžeme klidně spát. Ve smyslu definice osobních dat si ale dovolím předpovědět, že nebude příliš ECM/DMS systémů, v nichž nejsou dokumenty s osobními údaji. Je tedy pravděpodobné, že GDPR se bude týkat i vás a budete muset zabezpečit naplnění práv subjektů osobních údajů.

Další pohled je ten, který bere v úvahu, jak se ECM/DMS používá, resp. jak je implementován. Pro mnohé business cases je ECM/DMS pouze podpůrný systém k základnímu informačnímu systému. Tím může být ERP, CRM, core bankovní systém, nemocniční informační systém, agendový systém, GIS a podobně. Primárně jsou osobní data uložena v těchto systémech, resp. jejich databázích, a v ECM/DMS jsou dokumenty identifikovatelné pouze podle identifikátoru ze základního systému. Pokud byl ECM/DMS implementován v souladu s takovýmto určením a zároveň implementátor odolal požadavkům ze strany business, tak do ECM/DMS nejsou zavedena zbytečná data nesouvisející s potřebami vyhledávání v ECM/DMS, případně potřebami workflow. Potom pro naplnění požadavků GDPR nebudou potřeba zásadní změny a vystačíte si se standardní funkčností, kterou pravděpodobně používáte už teď. Jednoduše pouze vyhledáte, smažete, vyexportujete a zabezpečíte dokumenty, které najdete podle identifikátoru z primárního systému. Ale to se týká pouze samotné technické realizace. Abyste dokázali určit, podle kterých identifikátorů budete dokumenty v ECM/DMS systému vyhledávat, tak budete s největší pravděpodobností muset udělat kompletní analýzu dat a procesů. Datová analýza se bude muset zaměřit na význam samotných dat a především na zjištění vazeb mezi daty. Až v kontextu těchto vazeb (mohou to být cizí klíče v databázových tabulkách, ale i logické vazby dat v databázích, anebo dokonce reference v dokumentech či logické vazby mezi dokumenty) identifikujete to, která data jsou osobní, resp. citlivá. Příkladem mohou být třeba data o zařízeních a IP adresách, které přistupovaly na stránky vašeho e-shopu. Samy o sobě to osobní údaje nejsou, ale v kombinaci s údaji o času přístupů, resp. s daty z authentication cookies, to už osobní data mohou být. A tato data mohou být dokonce spojena přes reference i s konkrétními uživatelskými profily, v jejichž rámci ukládáte kromě přístupových/identifikačních údajů i údaje o dodací adrese, fakturační adrese, platební údaje a zákazníkovy objednávky – to už jednoznačně osobní údaje jsou. Z uvedeného vyplývá, že datová analýza bude klíčová a její realizace může představovat poměrně komplexní problém. Obdobný komplexní problém může představovat i procesní analýza. V jejím rámci je třeba identifikovat, kdo, jakým způsobem a ke kterým osobním/citlivým datům přistupuje, resp. zpracovává je. Tato identifikace může být ještě složitější než datová analýza. Důvodem je, že procesy bývají poměrně složité a nejsou vždy podrobně popsány. Také je třeba do nich zahrnout i automatizované zpracování dat, tvorbu různých reportů, sestav a podobně.

Samostatnou kapitolou jsou dokumenty, které nejsou uloženy v ECM/DMS, případně jako nejjednodušší DMS je používán file server a sdílené adresáře. Tady bude mimořádně těžké identifikovat, které dokumenty obsahují osobní, nebo dokonce citlivé údaje, resp. bude třeba implementovat SW, který identifikaci zabezpečí. V tomto případě hovoříme o netriviálním vytěžení obsahu dokumentů a důkladné datové analýze. Obdobná situace platí pro obsah dokumentů na pracovních stanicích, e-mailech a e-mailových schránkách, v různých reportech a podobně.

A na závěr jsem nechal nedigitalizované fyzické dokumenty, jako například fyzické archivy smluv a podobně, resp. digitalizované, ale neúplně nebo nesprávně zatříděné k zákazníkům. Právo na smazání nebo přenos v případě těchto dokumentů považuji prakticky za nerealizovatelné.

Může ECM/DMS podpořit implementaci samotného GDPR?

Setkal jsem se s myšlenkou, že implementace GDPR bude realizována pomocí ECM/DMS systému. Já to nedoporučuji. Nemyslím si, že ECM/DMS je vhodný pro podporu implementace GDPR, za takový spíš považuji Information Governance System. Tyto systémy jsou určeny a specializovány na správu politik, procedur a procesů pro řízení informací a práci s nimi. A to je přesně to, čeho potřebujeme při implementaci GDPR dosáhnout ‒ definovat politiky, procedury a procesy tak, abychom splnili své povinnosti a dokázali zabezpečit práva subjektů osobních údajů. Velké organizace, které už mají Information Governance System implementován, to budou mít jednodušší. Ty, které ho ještě nemají, pravděpodobně po implementaci sáhnou. Ale malé organizace, které nemají velký rozpočet na IT, pravděpodobně použijí některý z open source systémů nebo si budou muset celý mechanismus zabezpečit bez systémové podpory formou dobře zpracovaných metodik, postupů a pravidel.

ECM/DMS ale může být podpůrný nástroj sloužící jako úložiště všech dokumentů, které v souvislosti s implementací GDPR bude třeba vytvořit. Pro orchestraci procesů sloužících k naplnění jednotlivých povinností zpracovatelů a práv subjektů osobních údajů klasické Business Process Management nástroje nepovažuji za vhodné. Podněty budou přicházet náhodně a je těžké je řídit a automatizovat pouze pomocí BPM. Za vhodnější považuji přístup Case Management nástrojů.

GDPR zpřísňuje požadavky na obsah a formu souhlasu se zpracováním osobních údajů. Hlavně klade důraz na to, že souhlas musí jasně definovat konkrétní účel, pro který budou osobní data použitá, musí být jednoznačný, svobodný a poskytuje se pouze na dobu určitou. Už udělené souhlasy bude třeba harmonizovat. A právě ukládání souhlasů a sledování termínů platnosti souhlasů považuji za další oblast, pro niž je ECM/EMS ideální platforma.

Hrozby a otevřené oblasti GDPR

Za největší hrozbu považuji GDPR v případě, pokud se zneužije pro konkurenční boj. Je jednoduché si představit, že budou posílána oznámení na konkurenční společnosti o tom, že nesplnily některé z práv nebo povinností. Případně po ohlášení „data breach“ některou společností se objeví další osoby „postižené data breach“, které oznámí úřadům, že nebyly informovány. Fikce? Přitažené za vlasy? To pravděpodobně ukáže až čas.

Za otevřenou otázku považuji to, jak se vypořádat s jednotlivými požadavky v případě, když jsou dokumenty uloženy na nepřepisovatelných médiích, ve WORM (Write Once Read Many) úložištích nebo dlouhodobých zabezpečených archivech. Ty byly záměrně vytvořeny tak, aby z nich data nemohla být smazána, a nyní bude třeba i v těchto systémech realizovat právo na zapomnění. Trochu mi to připomíná otázku, co se stane, pokud do neprůstřelné stěny narazí nezastavitelná kulka – existence jednoho vylučuje existenci druhého a naopak.

Doufám, že odpovědi na tyto hrozby a otázky budou součástí kodexů a doporučení, které mají být vypracovány v průběhu tohoto roku.

Jak se tedy připravit na GDPR?

V první řadě pro naplnění práv a povinností bude muset každá organizace posoudit, zda pracuje s osobními, resp. citlivými, daty. Klíčová bude analýza dat a procesů za účelem identifikace, kdo, jak a s jakými daty pracuje. Do datové analýzy je třeba zahrnout všechny formy dat, to znamená strukturovaná data, ale i nestrukturovaná data a stejně tak fyzické dokumenty. Neméně důležitá bude příprava metodik, pravidel a postupů, které detailně popíší postup organizace při implementaci GDPR. Pravděpodobně nevyhnutelná bude úprava procesů, resp. systémů tak, aby došlo k zabezpečení osobních a citlivých údajů a minimalizoval se potenciál toho, že dojde k „data breach“. A nakonec bude třeba nad daty implementovat jednotlivá práva a povinnosti, tak aby organizace byla na GDPR připravená.

GDPR se dá chápat nejen jako povinnost nebo hrozba, ale i jako příležitost pro IT svět ke změně současného přístupu, kdy shromažďujeme obrovské množství dat – často zbytečných a pouze kvůli tomu, že by se nám v budoucnosti mohla hodit. GDPR je způsob, jak se vrátit nohama zpátky na zem a pracovat jenom s potřebnými daty, a tím si vlastně zjednodušit život.