Już za miesiąc zacznie obowiązywać długo oczekiwane Rozporządzenie o Ochronie Danych Osobowych (RODO / GDPR) i organizacje zaczynają naprawdę rozumieć, co w praktyce to dla nich oznacza. Mamy za sobą rozmowy z wieloma liderami, którzy zaniepokojeni są konsekwencjami, jakie RODO może mieć dla sposobu, w jaki zbierają i analizują dane klientów. A dane te są paliwem dla ich biznesu.
Duża część zasobów informacyjnych organizacji, które składają się na Big Data, to dane osobowe. Wykorzystywanie tego rodzaju danych zdecydowanie wiąże się z polityką ochrony danych, prywatność i prawa jednostki. A wszystkie te aspekty zostaną jeszcze wzmocnione właśnie przez RODO. Czy to nie będzie stanowić hamulca w rozwoju i zastosowaniach analityki wielkich zbiorów danych?
Czytaj też: RODO dla deweloperów: co freelancerzy i małe firmy powinny wiedzieć
Przede wszystkim celem regulacji i związanego z nią prawodawstwa nie jest ograniczenie analityki dużych zbiorów danych, lecz raczej stworzenie ram dla skutecznych regulacji w tym zakresie. Analityka danych i ochrona danych nie wykluczają się nawzajem, a raczej uzupełniają i wzajemnie wzmacniają. Podkreślić należy również, że tylko część danych to dane osobowe objęte RODO i innymi przepisami dotyczącymi ochrony danych. Większość analiz dużych zbiorów danych opiera się na danych nieosobowych, na przykład danych pogodowych, danych transportowych lub zbiorczych danych handlowych itd. Ponadto często możliwe jest przetworzenie danych osobowych w sposób prowadzący do ich anonimizacji w celach analitycznych, co skutkuje wyjęciem ich spod przepisów o ochronie danych osobowych.
W praktyce biznesowej analityka dużych zbiorów danych a priori wykorzystuje dane osobowe, tj dane, na podstawie który możliwa jest identyfikacja konkretnej osoby bezpośrednio lub w połączeniu z innymi dostępnymi zestawami danych, co implikuje zastosowanie regulacji związanych z ochrona danych osobowych w tej przestrzeni. Decydenci na poziomie UE wskazują tutaj na trzy obszary do rozważenia:
- Czy sposób, w jaki dane osobowe są wykorzystywane, ma inwazyjny wpływ na osoby których te dane dotyczą? Szczególny niepokój budzi sposób, w jaki dane mogą być wykorzystywane do profilowania osób.
- Czy wykorzystanie danych o osobach do analizy dużych zbiorów danych mieści się w zakresie, jaki jest rozsądnie uzasadniony?
- Jaki poziom przejrzystości w zakresie przetwarzania danych osobowych za pomocą analityki jest w stanie zapewnić organizacja? Biorąc pod uwagę złożoność zagadnień analityki dużych zbiorów danych, może to stanowić wyzwanie.
Szczegółowe omówienie problematyki przekraczałoby ramy tego artykułu, możemy jednak pokusić się przedstawienie ogólnych reguł jakimi należy się kierować, aby upewnić się, że jesteśmy gotowi na RODO:
- Zidentyfikuj, jakie dane przechowujesz – może to być trudniejsze, niż się wydaje. Należy wiedzieć, skąd pochodzą różne komponenty danych klientów oraz gdzie są teraz przechowywane. W dużych organizacjach może to oznaczać konieczność śledzenie ścieżki, którą dane przechodzą przez wiele różnych systemów.
- Zidentyfikuj, w jaki sposób dane są wykorzystywane – co dzieje się z danymi, gdy już znajdą się w posiadaniu organizacji? Jak się je wykorzystuje i w jakim celu? Czy i w jaki sposób są przekształcane? Z jakimi procesami w organizacji są powiązane?
- Pozyskane zgody – upewnij się, że wyraźnie zażądano zgody tam gdzie dane zostały zebrane i czy została ona pozyskana. Zgodnie z rozporządzeniem zgoda może zostać odwołana w dowolnym momencie, więc potrzebny jest sposób śledzenia nie tylko tego, czy osoba pierwotnie wyraziła zgodę, ale również czy od tego czasu nie cofnęła zgody. Należy upewnić się, czy stosowane modele analityczne są w stanie odfiltrowywać dane w przypadku, gdy nie udzielono zgody i czy można je zaktualizować, aby uwzględnić zmiany w zgodzie lub w przypadku, gdy użytkownicy zażądali usunięcia ich danych.
- Upewnij się, że dane są bezpiecznie przechowywane – należy upewnić się, że każda platforma analityczna w organizacji jest odpowiednio zintegrowana z systemami bezpieczeństwa oraz że możesz skutecznie kontrolować, kto ma dostęp do danych klientów. Dane klienta muszą być szyfrowane i przechowywane bezpiecznie na wszystkich etapach cyklu analitycznego, nie tylko w miejscu ich gromadzenia.
- Upewnij się, że możesz monitorować zgodność (compliance) z RODO na bieżąco. To również może być trudniejsze niż się wydaje. Czy dysponujemy kompletną wiedzą, dokąd przepływają dane będące przedmiotem analityki i co dzieje się z nim na każdym etapie? Czy skutecznie monitorujemy każdy z zaangażowanych procesów?
- Upewnij się, że możesz udowodnić zgodność z RODO. Do tego konieczne jest zapewnienie skutecznego systemu raportowania i kontroli sposobu korzystania z danych osobowych, kolejne wyzwanie logistyczne w dużych organizacjach. Jak można zmodyfikować systemy w organizacji, aby zapewnić pełną ścieżkę audytu informacji wymaganych do raportowania zgodności z RODO.
