Hlavní navigace

Proč by se měli vývojáři zajímat o GDPR?

24. 1. 2018 14:38 (aktualizováno) | David Komárek

V oblasti softwaru a jeho vývoje se za posledních 20 let objevila celá řada nových zákonů a standardů. Když se ke mně tedy poprvé dostala informace o novém nařízení Evropské unie na ochranu osobních dat, GDPR (General Data Protection Regulation), zůstal jsem relativně klidný. Vždyť to přeci nebude až tak horké. Nebo ano?

Co to GDPR vlastně je

Pokud za sebou ještě nemáte potěšení z firemního školení o GDPR, v rychlosti shrnu, o co jde. Vy, kteří jste něco podobného podstoupili, mi tuto část určitě odpustíte.

GDPR je nařízení Evropské unie, které vstoupí v platnost v květnu tohoto roku. A to i v České republice. Jde v něm především o osobní informace sdílené v digitálním prostoru. S tím, jak jsou naše životy čím dál víc ovlivněny tím, kolik o nás má kdo informací, je přísnější kontrola opravdu důležitá. Se správnými informacemi a schopnostmi není problém převzít vaši online identitu a poškodit vaše vztahy, kariéru nebo vás zadlužit a doslova vám zruinovat život.

Většina aktuálního práva zabývající se ochranou dat navíc pochází z poloviny devadesátých let. Tedy z doby, kdy jsme frčeli na Windows 95 a vrcholem přenosu dat byl modem s rychlostí 56kb/s (opraveno z předchozího překlepu „56kB/s“ – děkuji za upozornění). Z doby, kdy jsme opravdu netušili, kolik toho o sobě budeme za 20 let dobrovolně sdílet s ostatními.

GDPR má proto svůj význam pro každého z nás. Mělo by zaručit, že budete mít svá data pod kontrolou a získáte přehled o tom, jaké informace s kým sdílíte a k čemu je daná organizace využívá. Mezi hlavní práva spojená s GDPR patří právo nechat data smazat, přesunout je k jinému subjektu, nebo požádat o informace, jaká data má o vás konkrétní subjekt uložen.

GDPR není jen nějaká malá a nepodstatná změna

GDPR opravdu není žádná opomenutí hodná záležitost a není radno ho podceňovat. Zvlášť když si za jeho nedodržení můžete vysloužit pokutu až ve výši 20 milionů euro. Samozřejmě, takto vysoké pokuty se budou týkat patrně jen největších globálních společností, ale jako strašák působí dobře.

Nové nařízení se navíc dotkne mnoha lidí ve firmách. Nejen právníků, managementu a marketingu, ale také vývojářů. Právě oni budou klíčoví pro to, aby byl sběr a ukládání dat v aplikacích, webových stránkách a softwaru v souladu s normou EU.

K tomu jako vývojáři ale musíte pochopit základy GDPR a jeho požadavky. Na základě nich pak můžete navrhnout nové funkcionality aplikace, softwaru nebo webové stránky.

Jaké základní požadavky byste měli znát?

Datový tok

GDPR je především o datech. Proto je klíčové pochopit a monitorovat, jaká data sbíráte, kde jsou ukládána, jak je s nimi nakládáno a kdo k nim má přístup. Podle nové normy budou muset firmy zaznamenávat podrobnou historii každé osobní informace uchovávané v rámci organizace, tedy její datový tok. Vývojáři tak budou muset sledovat všechna klientská data i to, kdo k nim má přístup a jak jsou využívána.

Souhlas se zpracováním osobních údajů

Až doteď mohly firmy nakládat s informacemi o svých zákaznících a cílit na ně marketingovou komunikaci takřka bez větších omezení. GDPR to mění a zavádí, především do oblasti online marketingu, nutnost souhlasu, který musíte jako uživatel konkrétní firmě dát, aby data o vás mohla ukládat a využívat je. Firma musí jasně sdělit, jaké informace o vás bude shromažďovat a také k čemu je bude využívat. Jako vývojáři tedy budete muset vytvořit mechanismus, kterým budete tyto souhlasy na vašem webu, v aplikaci nebo softwaru získávat a zaznamenávat.

Právo na přístup k osobním údajům

Pokud jste ověřená firma, ke které zákazníci chovají důvěru, a vysvětlíte jim, proč data používáte a k čemu, asi nebudete mít problém jejich souhlas získat. Co se ale stane, když k informacím dostane přístup třetí strana? Lidé začnou velmi pravděpodobně šílet. GDPR dává zákazníkům do rukou větší moc. Podle něj musí vědět, kdo má k jejich informacím přístup a proč. Jako vývojáři byste měli pro své vlastní dobro začít přemýšlet o tom, jak přístup k zákaznickým datům co nejvíce omezit třetím stranám, aniž by to ohrozilo podstatu podnikání vaší firmy.

S tím souvisí i povinnost připravit a předat zákazníkovi veškeré informace, které o něm máte uložené, když vás o to požádá. A to opravdu všechny. Jako vývojáři byste měli vymyslet způsob, jak tyto informace v systému rychle vyhledat a vyexportovat je, protože norma vyžaduje jejich vydání do 30 dnů od podání žádosti zákazníka.

Právo být zapomenut

Vyhledání a reportování dat je jedna věc. GDPR ale dává uživatelům možnost nechat na požádání všechna tato data do 30 dnů smazat. Pokud je funkcionalita vašeho softwaru nebo aplikace postavená právě na personalizovaných datech, může to být pro vás jako pro vývojáře problém a je potřeba na to myslet.

Aby to bylo ještě více složité, podle zákona nesmíte smazat úplně všechna dat. Například pro některé webové stránky, jako jsou například aplikace pro e-commerce, musíte osobní data zachovat pro potřeby reportování a auditu. To znamená, že na požádání smažete jen některá data, důležité informace ale musíte nechat uloženy, abyste se nedostali do střetu s jinými zákony. V tomto případě se bez rady právníka asi neobejdete.

Co teď s tím?

Možná máte po všech těch informacích chuť přehodit výhybku ve své kariéře a přihlásit se na rekvalifikační kurz. Tak špatné to ale rozhodně nebude. Jakmile budete mít dostatečný přehled o tom, co po vás GDPR chce, pochopíte, jak se to vztahuje na vaši aplikaci nebo software a budete vědět, kde bude potřeba udělat změny a přidat nové funkce.

Jak postupovat?

Plánujte

Víte, co se musí stát. Je na vás naplánovat, jak změny provést. Začít byste měli zmapováním všech dat a datových toků a jejich rozdělením do logických sekcí. Díky tomu pochopíte, které části vaší aplikace potřebujete přepracovat a můžete práci na nich naplánovat a rozdělit.  

Vyhoďte vše, co nepotřebujete

Pokud výrazně zredukujete data, která o uživatelích shromažďujete, ušetříte si spoustu budoucí práce a bolehlavů. Při jejich mapování pravděpodobně dojdete k tomu, že ukládáte i ty informace, které ve skutečnosti nijak nevyužíváte a které jsou vám vlastně úplně k ničemu. Takových se zbavte. Čím míň citlivých dat o svých uživatelích budete mít, tím lépe se vám při případném GDPR auditu bude dýchat.

Kde můžete, omezte přístup

GDPR klade velký důraz na posuzování toho, jak jsou data ukládána, zálohována a přístupná. Udělejte si rešerši o tom, kdo vše má k datům přístup. Tam, kde to půjde, ho pokud možno omezte.

Jste připraveni?

GDPR pravděpodobně otestuje schopnosti vás i celé firmy. Je to velký krok, který ovlivňuje naši vývojářskou práci. Se správnými informacemi, průpravou a plánem ho ale dokážete zvládnout.

Pokud byste o GDPR a jeho vztahu k webovým aplikacím hledali další informace, najdete je na blogu Kentico (v angličtině).