Proč by se měli vývojáři zajímat o GDPR?
V oblasti softwaru a jeho vývoje se za posledních 20 let objevila celá řada nových zákonů a standardů. Když se ke mně tedy poprvé dostala informace o novém nařízení Evropské unie na ochranu osobních dat, GDPR (General Data Protection Regulation), zůstal jsem relativně klidný. Vždyť to přeci nebude až tak horké. Nebo ano?
Co to GDPR vlastně je
Pokud za sebou ještě nemáte potěšení z firemního školení o GDPR, v rychlosti shrnu, o co jde. Vy, kteří jste něco podobného podstoupili, mi tuto část určitě odpustíte.
GDPR je nařízení Evropské unie, které vstoupí v platnost v květnu tohoto roku. A to i v České republice. Jde v něm především o osobní informace sdílené v digitálním prostoru. S tím, jak jsou naše životy čím dál víc ovlivněny tím, kolik o nás má kdo informací, je přísnější kontrola opravdu důležitá. Se správnými informacemi a schopnostmi není problém převzít vaši online identitu a poškodit vaše vztahy, kariéru nebo vás zadlužit a doslova vám zruinovat život.
Většina aktuálního práva zabývající se ochranou dat navíc pochází z poloviny devadesátých let. Tedy z doby, kdy jsme frčeli na Windows 95 a vrcholem přenosu dat byl modem s rychlostí 56kb/s (opraveno z předchozího překlepu „56kB/s“ – děkuji za upozornění). Z doby, kdy jsme opravdu netušili, kolik toho o sobě budeme za 20 let dobrovolně sdílet s ostatními.
GDPR má proto svůj význam pro každého z nás. Mělo by zaručit, že budete mít svá data pod kontrolou a získáte přehled o tom, jaké informace s kým sdílíte a k čemu je daná organizace využívá. Mezi hlavní práva spojená s GDPR patří právo nechat data smazat, přesunout je k jinému subjektu, nebo požádat o informace, jaká data má o vás konkrétní subjekt uložen.
GDPR není jen nějaká malá a nepodstatná změna
GDPR opravdu není žádná opomenutí hodná záležitost a není radno ho podceňovat. Zvlášť když si za jeho nedodržení můžete vysloužit pokutu až ve výši 20 milionů euro. Samozřejmě, takto vysoké pokuty se budou týkat patrně jen největších globálních společností, ale jako strašák působí dobře.
Nové nařízení se navíc dotkne mnoha lidí ve firmách. Nejen právníků, managementu a marketingu, ale také vývojářů. Právě oni budou klíčoví pro to, aby byl sběr a ukládání dat v aplikacích, webových stránkách a softwaru v souladu s normou EU.
K tomu jako vývojáři ale musíte pochopit základy GDPR a jeho požadavky. Na základě nich pak můžete navrhnout nové funkcionality aplikace, softwaru nebo webové stránky.
Jaké základní požadavky byste měli znát?
Datový tok
GDPR je především o datech. Proto je klíčové pochopit a monitorovat, jaká data sbíráte, kde jsou ukládána, jak je s nimi nakládáno a kdo k nim má přístup. Podle nové normy budou muset firmy zaznamenávat podrobnou historii každé osobní informace uchovávané v rámci organizace, tedy její datový tok. Vývojáři tak budou muset sledovat všechna klientská data i to, kdo k nim má přístup a jak jsou využívána.
Souhlas se zpracováním osobních údajů
Až doteď mohly firmy nakládat s informacemi o svých zákaznících a cílit na ně marketingovou komunikaci takřka bez větších omezení. GDPR to mění a zavádí, především do oblasti online marketingu, nutnost souhlasu, který musíte jako uživatel konkrétní firmě dát, aby data o vás mohla ukládat a využívat je. Firma musí jasně sdělit, jaké informace o vás bude shromažďovat a také k čemu je bude využívat. Jako vývojáři tedy budete muset vytvořit mechanismus, kterým budete tyto souhlasy na vašem webu, v aplikaci nebo softwaru získávat a zaznamenávat.
Právo na přístup k osobním údajům
Pokud jste ověřená firma, ke které zákazníci chovají důvěru, a vysvětlíte jim, proč data používáte a k čemu, asi nebudete mít problém jejich souhlas získat. Co se ale stane, když k informacím dostane přístup třetí strana? Lidé začnou velmi pravděpodobně šílet. GDPR dává zákazníkům do rukou větší moc. Podle něj musí vědět, kdo má k jejich informacím přístup a proč. Jako vývojáři byste měli pro své vlastní dobro začít přemýšlet o tom, jak přístup k zákaznickým datům co nejvíce omezit třetím stranám, aniž by to ohrozilo podstatu podnikání vaší firmy.
S tím souvisí i povinnost připravit a předat zákazníkovi veškeré informace, které o něm máte uložené, když vás o to požádá. A to opravdu všechny. Jako vývojáři byste měli vymyslet způsob, jak tyto informace v systému rychle vyhledat a vyexportovat je, protože norma vyžaduje jejich vydání do 30 dnů od podání žádosti zákazníka.
Právo být zapomenut
Vyhledání a reportování dat je jedna věc. GDPR ale dává uživatelům možnost nechat na požádání všechna tato data do 30 dnů smazat. Pokud je funkcionalita vašeho softwaru nebo aplikace postavená právě na personalizovaných datech, může to být pro vás jako pro vývojáře problém a je potřeba na to myslet.
Aby to bylo ještě více složité, podle zákona nesmíte smazat úplně všechna dat. Například pro některé webové stránky, jako jsou například aplikace pro e-commerce, musíte osobní data zachovat pro potřeby reportování a auditu. To znamená, že na požádání smažete jen některá data, důležité informace ale musíte nechat uloženy, abyste se nedostali do střetu s jinými zákony. V tomto případě se bez rady právníka asi neobejdete.
Co teď s tím?
Možná máte po všech těch informacích chuť přehodit výhybku ve své kariéře a přihlásit se na rekvalifikační kurz. Tak špatné to ale rozhodně nebude. Jakmile budete mít dostatečný přehled o tom, co po vás GDPR chce, pochopíte, jak se to vztahuje na vaši aplikaci nebo software a budete vědět, kde bude potřeba udělat změny a přidat nové funkce.
Jak postupovat?
Plánujte
Víte, co se musí stát. Je na vás naplánovat, jak změny provést. Začít byste měli zmapováním všech dat a datových toků a jejich rozdělením do logických sekcí. Díky tomu pochopíte, které části vaší aplikace potřebujete přepracovat a můžete práci na nich naplánovat a rozdělit.
Vyhoďte vše, co nepotřebujete
Pokud výrazně zredukujete data, která o uživatelích shromažďujete, ušetříte si spoustu budoucí práce a bolehlavů. Při jejich mapování pravděpodobně dojdete k tomu, že ukládáte i ty informace, které ve skutečnosti nijak nevyužíváte a které jsou vám vlastně úplně k ničemu. Takových se zbavte. Čím míň citlivých dat o svých uživatelích budete mít, tím lépe se vám při případném GDPR auditu bude dýchat.
Kde můžete, omezte přístup
GDPR klade velký důraz na posuzování toho, jak jsou data ukládána, zálohována a přístupná. Udělejte si rešerši o tom, kdo vše má k datům přístup. Tam, kde to půjde, ho pokud možno omezte.
Jste připraveni?
GDPR pravděpodobně otestuje schopnosti vás i celé firmy. Je to velký krok, který ovlivňuje naši vývojářskou práci. Se správnými informacemi, průpravou a plánem ho ale dokážete zvládnout.
Pokud byste o GDPR a jeho vztahu k webovým aplikacím hledali další informace, najdete je na blogu Kentico (v angličtině).
-
Peter FodrekZlatý podporovatel>Zvlášť když si za jeho nedodržení můžete vysloužit pokutu až ve výši 20 milionů euro.
Len aby bolo jasne - 20 mil. EUR nie je limit
Za nesplnenie príkazu dozorného orgánu podľa článku 58 ods. 2 sa podľa odseku 2 tohto článku uložia správne pokuty až do výšky 20 000 000 EUR, alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
http://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX%3A32016R0679
Red Hat bude mat obrat okolo 2,9 mld. EUR. 29000 mil. EUR z toho je 1% 290 mil. EUR a 4% je 1 160 mil. EUR, co je limity pre Red Hat -
Ještě chybí informace o právu na přenositelnost. To je myslím pro veškerou e-commerce mnohem větší problém než právo na informaci, výmaz apod... Znamená to mimo jiné, že coby provozovatel nějaké webové služby musím na požádání poskytnout veškeré osobní údaje konkrétního uživatele (ve strojově čitelné formě) k přenosu k jinému poskytovateli podobné služby. Přičemž podle stanoviska skupiny WP29 nejsou osobními údaji jen ty, které mohou jednoznačně vést k identifikaci osoby, ale i ty, které uživatel v rámci nabízené služby vytvořil :-) Takže pokud budu chtít např. z google calendar přejít na jiný kalendář někde na webu tak mi to google musí umožnit a poskytnout vše co jsem do svých kalendářů napsal aby to šlo načíst do nového kalendáře u nového poskytovatele.... Dobré co?
-
odpovídající (neregistrovaný)
Není to úplně pravda. Ta klauzule o strojové čitelnosti nevymezuje přesně v jakém formátu musí být informace exportovány. Google může exportovat úplně jinak strojově čitelná data, než kalendář jiného poskytovatele bude zvládat. Ale principielně máte samozřejmě pravdu. Uživatel má právo na export a transfer dat ve strojově čitelné podobě.
-
654 (neregistrovaný)
Nehodnotím provedení a přípravu zákona, ale je tam jeden pozitivní a rozumný prvek. Získávání, předávání a uchovávání osobních informací bude vždy striktně vázáno na legitimní účel. I dnes je definováno, jaký účel je legitimní a jaký ne, ale to je asi tak všechno. GDPR legitimní účel nejen definuje, ale taky ho páruje se samotnou informací. Pokud legitimní účel zanikne, má zaniknout i uložená informace. Účel bude muset být uložen spolu s osobním údajem, a tak se nikdo nemůže vymlouvat, že nemá tušení, jak a proč se k němu informace dostala (to pověstné prodávání tel. čísel a jmen všemožným reklamním prasárnám). Spamové telefonistky, které si někde z kouzelné za*nice vytáhnou vaše jméno, adresu i telefonní číslo, to budou mít o poznání těžší. Na požádání budou muset doložit kdy, jak a za jakým účelem informaci získali, a to i s vašim podpisem. Výmluva, že takové záznamy nevedeme už neuspěje.
-
ITFUN (neregistrovaný)
je emailový kontakt osobny údaj? kokotenko1223@centrum.sk nie je osobný údaj ale jan.kovac@tcom.sk - je osobný udaj. Takže čo teraz? Poznám XYZ stránok, ktoré vyžadujú email, takže aj malé projekty, ktoré si živia reklamou budú musieť implementovať GDRP? EU iba furt vymýšla kadejaké zábrany a byrokratické postupy proti normálnym ľuďom, ktorí aj niečo chcú vytvoriť.
-
lazywriter (neregistrovaný)
Kdepak EU. Jenom nekteri chytraci se na tom snazi napakovat a tak strasi. Vetsina uz obsazena v zakone o ochrane osobnich udaju. Jenom tam byly tak smesny pokuty, ze se tomu ti vetsi jenom smali. A ted najednou manageri zjistuji, ze by se jich to taky mohlo dotknout.
Jinak, konkretne k tomu prikladu. GDPR mluvi o identifikovanych a identifikovatelnych subjektech. Lidsky, musi byt z tech udaju jasne urcitelny konkretni clovek. Takze pokud nejaky maly webik pouzije email z freemailu pro prihlasovani, tak to neni osobni udaj. Pokud ten email clovek uvede jako kontaktni v zadosti o uver, tak to uz osobni udaj je (banka bude mit i jeho ofocenou obcanku, takze si muze ten email sparovat s konkretnim clovekem).
Ale, pokud by se jednalo treba o firemni email, o kterych se vi, ze jsou ve tvaru jmeno.prijmeni@firma.cz, tak uz to osobni udaj muze byt (slavomil.vocasek@truhlarstvi-v-hornidolni.cz uz muze byt dost urcujici). -
. (neregistrovaný)
Omyl, aj ten prvý mail je osobný údaj. A to preto lebo môže jednoznačne identifikovať konkrétneho človeka. Ty ho nemusíš vedieť jednoznačne identifikovať, ale niekto iný to môže vedieť. Pre účely GDPR to stačí.
Predstav si, že prevádzkujete napr. erotickú zoznamku a niekto s takýmto emailom sa tam zaregistruje. Potom sa od teba nejako (únik udajov cez hackera, dodávateľa, chyba) tento mail dostane k jeho manželke a tá sa s ním rozvedie a pripraví ho o polovicu majetku. Tak on ťa môže žalovať o náhradu škody. A tá nie je nijako obmedzená na rozdiel od pokuty.
GDPR nie je žiadny strašiak. Treba len pri návrhu rozumne uvažovať a nevyžadovať údaje, ktoré nie sú nevyhnutné. A čo si už vyžiadate, tak to máte poriadne chrániť (nesprístupniť ich všetkým zamestnancom, dodávateľom, šifrovať všade možne...). Vonkoncom to nie je proti normálnym ľuďom, ale práve na ich obranu. Teraz to budeme musieť implementovať u nás ale ja to vnímam ako prínos pre zákazníka.
-
Komplikátor (neregistrovaný)
"Proč by se měli vývojáři zajímat o GDPR?" - pretože implementujú podmienky GDPR do SW. Účelnosť - povinné zviazanie uchovávaných dát s účelom a preukázateľným súhlasom. Transparentnosť - sprístupnenie všetkých uchovávaných dát v lehote do 30 dní. Práv na zabudnutie - výmaz uchovávaných dát s výnimkou tých, ktorých uchovávanie je vyžadované podľa iných predpisov v lehote do 30 dní. atď. atď. To je potrebné implementovať a na to treba myslieť už vo fáze návrhu SW.
-
JVr (neregistrovaný)
Jde o to, jak se na "vývojáře" kokáme - to je totiž velmi obecný pojem. Pokud beru programátory, tak těm je to jedno, ti narpogramují požadovanou funkčnost (kterou jim někdo zadá). Pokud jde o architekty, tak pro ty to je určitá sada "pravidel" (privacy-by.default, privacy-by-design), které by měli při návrhu aplikací/systémů dordržovat a určitá sada funkčních požadavků, které musí v aplikacích velmi často doplnit (evidence souhlasů, práva subjektů). Navíc musí architekti lépe komunikovat s uživateli aplikace, aby se jasně vydefinovalo, jak dlouho mají údaje v systému zůstat (nyní to nesmí být moc dlouho, aby to neporušilo ochranu os. údajů ani moc krátko, aby to neporušilo jiný zákon např. o DPH, nebo potřebu doložit určitou skutečnost při soudních či jiných sporech).
Jak již tu někdo zmiňoval GDPR z veké části kopíruje současnou legaislativu (u nás 101/2000), takže toho co by bylo nutné doplnit, kdyby na ochranu os. údajů všichni z vysoka nes..li doteď, je minimum. -
Palo (neregistrovaný)
@JVr, no architekt nie je vyvojar. Za dalsie architekt by opat mal dostat zoznam toho co treba v systemoch implementovat. Elektronicky system vobec nemusi splnat poziadavky GDPR. Zmluvy PLUS nejake pravidla v organizacii firmy mozu riesit GDPR bez toho aby sa cokolvek v existujucich systemoch menilo.
