Datová analytika a ochrana osobních údajů

Příchod nového regulatorního nařízení pod zkratkou GDPR představuje výzvu pro pokročilé využití datové analytiky a velkých dat.

Ekonom - - DALŠI TÉMATA - Ondřej Kulhánek, manažer, KPMG Česká republika

Evropské nařízení GDPR jasně definuje termín „profilování“. Ten zjednodušeně řečeno znamená, že jakékoli automatizované zpracování osobních údajů vedoucí k zařazení osob (datových subjektů) do profilů, podléhá řadě specifických požadavků. Pod profilem si můžeme jednoduše představit jakoukoliv segmentaci či kategorizaci, zejména klientů.

Informační povinnost – datový subjekt musí být informován o faktu, že jeho data jsou profilována. Informace musí definovat účel, smysluplné informa‑ ce týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. Vyřazení z profilování – datový subjekt má právo nebýt do profilování zařazen, pokud je realizová‑ no automatickým procesem. Vyřazen navíc musí být okamžitě, jakmile vznese námitku nebo odvolá souhlas. Standardní GDPR požadavky – dále se profilo‑ vání týkají i „standardní“GDPR požadavky, tedy například žádost o vymazání dat nebo poskytnutí informací.

Souhlas nad zlato

Výše uvedená omezení mají pochopitelně přímý dopad na práci s pokročilou analytikou. První starostí nyní bude, zda se vůbec mohou osobní údaje zpracovávat. Týká se to jak klientů, tak zaměstnanců. Nejde tedy jen o zákaznickou analytiku, ale i oblast HR, včetně případ‑ ného řízení externích sítí. Pro analytické účely mohu data použít v následujících případech:

MáM SouhlaS

Případ, kdy mi datový subjekt dal výslovný souhlas k použití jeho osobních údajů pro profilování, bude zřejmě pokrývat velkou část případů využití analytiky. Zejména tam, kde na základě profilování činí správce rozhodnutí, které se datového sub‑ jektu významně dotýká. Získat jej ale nebude jednoduché. V případě klien‑ tů bude nutné tento souhlas explicit‑ ně získat a zároveň i splnit informač‑ ní povinnost. Je potřeba připravit dostatečně vysvětlující, ale zároveň i v maximální možné míře flexibilní znění souhlasu. Je totiž žádoucí, aby i v případě změn v profilování nebo zavedení nového profilování nebylo nutné získávat nový.

Zároveň ale musí klient dobře chápat, jakého profilování je sou‑ částí. Vytvoření formulace souhlasu s profilováním tedy bude vyžadovat intenzivní spolupráci byznysu s práv‑ ním oddělením, a nejlépe rovnou i s vybranými klienty.

Specifickou situací bude pře‑ dávání osobních údajů pro účely profilování třetím stranám. Zde půjde typicky o řízení a sledování výkonnosti externí prodejní nebo servisní sítě. Základním stavebním kamenem bude vymezení vztahu na úrovni B2B, včetně toho, kdo je v roli správce a kdo v roli zpracova‑ tele. To může být náročné v případě spolupráce s větším množstvím fyzických osob podnikatelů, typicky u poradenských a zprostředkovatel‑ ských společností. Právní i obchodní

První starostí nyní bude, zda se vůbec mohou osobní údaje zpracovávat.

oddělení by zde mělo být k dispozici pro vytvoření smluvních vzorů.

Poslední kategorií s potřebou poskytnutého souhlasu jsou potom zaměstnanci. U nich se předpokládá jeho sběr v rámci uzavírání pracovního vztahu a je zde širší možnost využití odkazů na větší detaily v interních dokumentech, směrnicích nebo na zaměstnaneckém portále.

MáM oPRávNěNý záJeM

V tomto případě jde, velmi zjednodušeně řečeno, o práci s analytickými nástroji pro účely přímo související s předmětem podnikání. Firma by se bez ní neobešla, ale nemá významný dopad na datový subjekt. O jaké konkrétní účely může jít, závisí na odvětví. Každopádně např. pro forenzní účely nebo účely řízení rizik může být oprávněný zájem obecně platný napříč trhem i datovými subjekty. Zajímavá situace bude v případě zaměstnanců, kde je definice toho, co ještě je oprávněný zájem, velmi mlhavá. Nejvhodnější bude diskutovat detaily přímo s Úřadem pro ochranu osobních údajů.

oStatNí DůvoDy

Pokročilou datovou analytiku je možné využít v i dal‑ ších specifických případech stanovených GDPR, kdy jde zejména o veřejné instituce, veřejný zájem, účely vyšetřování apod.

Poslední výstřel pokročilé analytiky?

S ohledem na uvedená omezení je dost dobře možné, že realizace pokročilých analytických modelů a metod již nikdy nebude možná v jejich plné šíři. Nyní, před zavedením GDRP, je tak možná poslední příležitost ma‑ ximálně využít analytické nástroje. Obrovské množství klientů bude pravděpodobně potřeba kvůli GDPR oslovit. Komu vyhovuje jaký způsob komunikace, jaká forma, kdy a jakým komunikačním kanálem, to nejlépe napoví právě analytika tím, že vytvoří komunikační profily zákazníků. Po zavedení GDRP už k tomu ovšem nemusí být oprávnění. Jedinou možností cesty vpřed tak bude pracovat s pseudoanonymizovanými nebo zcela anony‑ mizovanými daty, která ovšem nemusí poskytovat stejně kvalitní výsledky.

Téma pokročilé analytiky velmi úzce souvisí s otáz‑ kou velkých dat, jelikož právě v nich se často nalézají důležité datové zdroje pro hledání zajímavých souvis‑ lostí. Problém spočívá v tom, že big data se z podstaty věci neustále mění, je jich obrovské množství, a je tak

Za osobní údaje se považují například i IP adresy, historie stránek či cookies.

v podstatě nemožné identifikovat, zda se v nich nachází nebo nenachá‑ zí osobní údaje konkrétního datové‑ ho subjektu. Tento aspekt bude klást zvýšené požadavky na dokumentaci prostředí velkých dat. Pro veškeré datové objekty musí existovat identi‑ fikace, zda obsahují nebo minimálně mohou obsahovat osobní data. K nim pak bude muset být omezen přístup a jakákoliv data, která reálně použiji, podléhají výše uvedeným GDPR omezením.

V důsledku to může znamenat, že když skutečně nebude možné identifikovat konkrétní osobní údaje, může být nutné vymazat celý soubor dat, takzvaný datový objekt, když i jen jedna osoba zažádá o vymazání dat. Také to může zvyšovat celkové náklady na využívání big dat právě kvůli nutnosti vše detailně analy‑ zovat, identifikovat, dokumentovat a dále monitorovat nebo i ručně spravovat. Například najít a smazat fotky s danou osobou může být velmi komplikované.

V rámci velkých dat dokonce nemusí být ani snadno zjistitel‑ né, zda se v jejich obsahu obecně vůbec nějaká osobní data nalézají. Za osobní údaje se totiž považují například i IP adresy, historie navští‑ vených stránek, cookies, komentáře na blozích nebo fotografie, o kterých se před detailním prozkoumáním obsahu dat nemusí vůbec vědět. Zde už bude čistě na zvážení rizik konkrétní situace, zda big data vůbec zpracovávat. Z pohledu velké společnosti může být řešení relativně jednoduché. Využívat pro big data cloudová řešení a splnění požadav‑ ků nechat na poskytovateli řešení. Samotní poskytovatelé bigdatových platforem ale tuto nezáviděníhodnou situaci vyřešit musí.

Newspapers in Czech

Newspapers from Czech Republic

© PressReader. All rights reserved.