GDPR to je téma letošního a příštího roku. Téma, které mě nechává naprosto chladným, protože se přeci jedná o organizační procesy a s technologií to nemá nic společného. Téma, ve kterém se točí hodně peněz pro konzultanty. Téma, které jsme díky Matěji Petráškovi pokryli na druhém setkání naší user groupy. Co jsem si z té víc jak hodinové prezentace odnesl?
GDPR postřehy
- nejde o nic až tak nového – v Německu mají už teď firmy nad 25 zaměstnanců odpovědného člověka, u nás máme zákon na ochranu osobních údajů a tohle „jenom“ zvyšuje pokuty;
- jedná se o společný zákon EU, takže při rozšiřování firmy už nemusíte nic dalšího v této oblasti řešit;
- v Česku prý budou úřady ze začátku benevolentnější, ale všichni víme, co si o tom myslet;
- týká se to každého, kdo neeviduje údaje pouze pro osobní použití;
- týká se to papírových i elektronických evidencí;
- není to IT problém (já to říkal!!).
Jak na to
Osobní údaj je v podstatě vše, ale každý z nich musím chránit jinou měrou. Ty obecné (jméno a příjmení), zvláště pokud jsou dohledatelné veřejně na webu, moc řešit nemusíme. Lékařské údaje musím naopak řešit opravdu hodně a potřebuji k nim explicitní souhlas. Což se týká vlastně třeba i toho, když obchodník do systému napíše, že si zákazník zlomil nohu a bude čtrnáct dní nedosažitelný. A to je mazec.
Už když chci sbírat data, tak musím vědět jak je ochráním a k čemu je potřebuji. Současně musím sbírat jenom ty, které opravdu potřebuji, čímž mám pak vlastně jednodušší situaci. Teď jenom jak vyčistit ty stávající systémy a procesy, které mají pocit, že potřebují vědět i velikost bot, když nakupujete knihy.
Nemůžu použít údaje pro jiný účel, než pro které mi byly svěřeny. Takže myšlenka, že si zjistím, v jakých bankách mají zaměstnanci účty, abych jim dohodl lepší podmínky, je vlastně nedovolené zneužití dat. A přitom to vypadá tak nevinně.
Jak a proč zpracovávám údaje je snad ještě důležitější než potvrzení o tom, že mi lidé ty údaje opravdu dali. Což současně znamená, že pokud kupujete databázi kontaktů, tak byste měli vědět, jak byly údaje získány, ať jste krytí. Současně to také znamená, že organizační opatření (směrnice všichni milujeme) můžeme být mocnější a lepší než to technické. Takže nemusíte nutně investovat do IT, stačí napsat dobré směrnice. Salesforce Shield také velmi pravděpodobně nemusíte pořizovat.
Musím také vědět, kdo data mění a kdo k nim přistupuje (na ty přístupy ale asi ten Shield potřebovat budete, pokud opravdu musíte takovou věc sledovat).
Pověřenec není odpovědný a nemůže být proto za rady vyhozen.
Privacy by design a privacy by default jsou nové modly, mobile first už nefrčí. Takže předškrtnuté zaškrtávátko, že souhlasíte s evidencí osobních údajů, je za hranou.
Další informace možná najdete v Matějově prezentaci, případně v článcích, kterých je všude spousta. Teď jenom profiltrovat to zrno od plev. Samozřejmě na to existuje i Trailhead a Salesforce na to má celou sekci na webu.