Více než miliardy dolarů dosáhnou do roku 2026 pokuty za špatnou správu osobních údajů. Rozšiřující se a stále přísnější a komplexnější ochrana a regulace týkající se osobních údajů je trendem, který postupně zasáhl celý svět. S tím, jak se rozšiřují možnosti tzv. SRR – Subject Right Requests, česky právo na přístup, tedy práva jednotlivců vznášet požadavky a v některých případech též požadovat změny v tom, jak jsou jejich osobní data ukládána a využívána, poroste i počet narušení těchto předpisů a následných pokut v Evropě, USA i v dalších oblastech a zemích.
„Pro vedoucí pracovníky v oblasti řízení bezpečnosti a rizik (SRM) v organizacích B2C se stávají základním požadavkem a předpokladem budování důvěry systémy automatizace správy práv uživatelů,“ vysvětluje analytik a viceprezident výzkumu Gartneru Nader Henein. „Správa SRR může zvýšit úroveň důvěry zákazníků tím, že jim poskytne pozitivní uživatelskou zkušenost s ochranou soukromí.“
Právo na přístup: SRR, DSAR, SAR…
V našem textu používáme pojmy právo na přístup či Subject Right Request (SRR), kromě nich ale existuje několik dalších pojmů například DSAR (Data Subject Access Request), SAR (Subject Access Request). Obvykle se tak označuje totéž – právo subjektu (občana) vznést k jinému subjektu (firmě, organizaci) dotaz ohledně uchování a zpracování svých osobních údajů.
Obchodní dopady nezvládnutí požadavků práva na přístup
Organizace, které nakládají s osobními údaji, musejí být připraveny vyřešit SRR požadavky v zákonem stanoveném čase. Špatné nebo opožděné reakce budou mít dopad na celkovou důvěryhodnost a renomé organizace – dlouhé čekání na odpověď se přímo promítá do zákaznické zkušenosti a pocitů zákazníků, nemluvě o pokutách, jež budou za nedodržování pravidel SRR stále běžněji udělovány regulátory.
Obchodní dopady nezvládnutí požadavků práva na přístup
„Práva uživatelů a s nimi související žádosti by neměly být považovány za čistě legislativní úkon,“ vysvětluje Henein. „Organizace by měly vyvíjet příslušné příručky ochrany osobních údajů v organizaci se stejnou péčí jako jakoukoliv jinou službu zaměřenou na zákazníky.“ Do vlastních jednání či vyřizování žádostí SRR by se pak měli aktivně zapojovat lídři odpovědní za bezpečnost a řízení rizik a komunikovat se zákazníky, kteří řeší otázky ochrany soukromí.
Řada jurisdikcí navíc vyžaduje, aby se digitální organizace zabývaly právy na ochranu osobních údajů svých zaměstnanců. Údaje uchovávané o nastupujících, současných nebo bývalých pracovnících si zaslouží stejnou péči jako údaje týkající se zákazníků. Nejvyšší náklady na jeden SRR požadavek jsou připisovány spíše zaměstnancům než těm, které pocházejí od zákazníků, a to z důvodu složitosti a objemu dat. „Aby bylo zajištěno, že uživatelé obdrží odpovědi na své požadavky v přijatelném časovém, ale i nákladovém a rozsahovém limitu, měli by vedoucí pracovníci odpovědní za bezpečnost a řízení rizik zvážit vytvoření základních metrik týkající se SRR,“ dodává Henein.
Vývoj práva na přístup
„Vzhledem k tomu, že potřeba škálovat plnění požadavků SRR nezmizí, povede poptávka po vyšší míře automatizace k rychlejšímu přechodu na tzv. zero-touch model,“ upozorňuje Henein. „Tento model umožní uživatelům samoobslužný přístup prostřednictvím portálu pro ochranu osobních údajů, kde si jednotlivci budou moci podrobně prohlížet své údaje a pochopit, jak jsou využívány a kým.“
Udržování manuálních SRR procesů naopak zvyšuje pravděpodobnost, že organizace bude čelit regulačním pokutám, případně utrpí související poškození pověsti. Manuální údržba znamená rovněž vyšší provozní náklady – naproti tomu transparentnost a zapojení zákazníků do SRR procesů a zavedení automatizovanějšího přístupu k plnění jejich požadavků nabízí organizacím potenciální výhody.
Klienti společnosti Gartner si mohou přečíst více v publikacích „Hype Cycle for Privacy, 2023“ a „Market Guide for Subject Rights Request Automation“.
Jak spravovat výzvy týkající se HR, a budovat tak organizaci, která dbá na bezpečnost, se dozvíte v bezplatné elektronické publikaci Gartneru „4 Ways to Achieve Secure Employee Behaviors“.