Přežili jsme implementaci GDPR… ale tím to nekončí
Nařízením GDPR ale přizpůsobování se práci s daty nekončí. Evropská unie se v tomto ohledu činí a nyní již platí nebo brzy bude platit řada nařízení či směrnic, které se týkají ostatních oblastí nakládání daty – třeba s těmi neosobními.
V tomto a následujícím článku se na ně podíváme a v kostce se vám pokusíme představit jejich hlavní myšlenky. Je lepší začít se připravovat dříve než později. Podíváme se společně na tyto dokumenty:
- Akt o správě dat
- Akt o datech
- Nařízení o AI
- Nařízení o kybernetické bezpečnosti
- Nařízení o požadavcích na kybernetickou bezpečnost produktů s digitálními prvky
- Nařízení o digitálních trzích
A jako bonus ještě přihodíme informace z Evropské strategie pro data a Evropského kodexu chování cloudových poskytovatelů.
Akt o správě dat
Evropský akt o správě dat vstoupil v platnost na podzim roku 2023 – není potřeba adaptačního zákona, pouze ustanovení orgánu pro vymáhání na úrovni jednotlivých států. Cílem tohoto nařízení je naplnit strategie pro práci s daty na úrovni celé unie a podpořit tak správné fungování vnitřního trhu s daty.
Evropská unie chce docílit toho, aby bylo pro výzkum a inovace k dispozici co nejvíce dat. Proto stanovila pravidla a pobídky, aby organizace veřejného i soukromého sektoru bezpečně sdílely co nejvíce dat – a to i těch osobních, například pomocí metod anonymizace.
Pomocí tohoto přístupu by mělo docházet k jednoduššímu vzniku datových souborů pro různé analýzy a strojové učení. To by ale nemělo být překážkou pro zachování konkurenceschopnosti a duševního vlastnictví. A samozřejmě je jednou z hlavních priorit zachování bezpečnosti všech dat, ačkoli mohou existovat výjimky, kdy jsou data sdílena za hranice EU.
V rámci tohoto nařízení se setkáváme s dvěma speciálními druhy organizací – těmi, které zprostředkovávají data, a těmi,m které se zapojují do datového altruismu. I pro tyto organizace jsou tam stanovená pravidla fungování.
Akt o datech
Nařízení o datech začne platit až příští rok, ale vzhledem k velkému nárůstu zařízení zapojených do Internetu věcí dává smysl se s ním seznámit co nejdříve. Ačkoli toto nařízení navazuje na Akt o správě dat, není to jedno a to samé.
Akt o datech se zaměřuje na nakládání s daty z IoT zařízení, která nejsou osobní, ale můžou pomáhat s vylepšováním služeb a péčí o zákazníky. GDPR je nadřazeným zařízením, ale Akt o datech se spíše zaměřuje na neosobní data, která jsou generovaná chytrými zařízeními nebo s nimi propojenými produkty – až na výjimky, jako jsou prototypy nebo data generovaná složitými proprietárními algoritmy.
Stále se drží původního záměru vybudovat účinný trh s daty, ale toto nařízení jde ještě dál a pomáhá zákazníkům přebrat kontrolu nad daty, která zařízení v jejich rukách generují. Je to jeden z kroků, která mají napomoct k tomu, aby došlo k odstranění technických překážek, zařízení bylo možné třetí stranou servisovat i po vypršení záruky a podpory výrobcem nebo firmám pomáhá s jednodušším přesunem mezi jednotlivými technologiemi – včetně cloudových a edgeových služeb.
Dlouholetá debata o nefér podmínkách většiny SaaS služeb – neposkytnete souhlas s používáním dat, nemůžete službu používat – by se tímto nařízením měla také výrazně zklidnit, protože by nařízení mělo v tomto ohledu uživatele více chránit.
Pokud ale chcete zjistit, zda se na váš toto nařízení vztahuje, je vhodné říct si o pomoc, protože je v něm spousta výjimek podle velikostí organizací, zaangažovanosti v různých ekosystémech nebo míry klíčové role, kterou daný systém hraje v provozu zařízení.
Akt o AI
Nařízení o AI bude platit od roku 2026. Umělá inteligence je všude kolem nás a obavy se objevují stále častěji. Evropská unie tedy sedla ke stolu a připravila toto nařízení, které má za cíl:
- Podpořit uvádění AI systémů na trh, do provozu a běžného používání
- Rozvoj a podpora zavádění bezpečné, důvěryhodné a etické AI
- Chránit uživatele na různých úrovních
- Podporovat Ai inovace
Bude ale spousta oblastí, ve kterých ani platit nezačne – u automatizovaných úkolů, ve výzkumu a vývoji, testování a oblastech armády, obrany, národní bezpečnosti a mezinárodní justice.
Výhodou ale je, že pokud firma používá AI pro interní použití, pak není potřeba toto nařízení uplatňovat. Vztahuje se pouze na AI, pokud je zapojená do produktů a služeb. Ty bude možné otestovat, jestli jsou v souladu s tímto nařízením, díky národním AI sandboxům.
Takové produkty a služby budou muset mít detailně zpracovanou dokumentaci a speciální podmínky se budou vztahovat na vysoce rizikové AI systémy a obecné modely AI. Navíc je nutné mít na paměti, že toto nařízení platí na území EU, nevztahuje se pouze na firmy, které zde mají sídlo.
Pro dohled v rámci Nařízení o AI vznikne úřad pro Ai a také Evropská rada pro umělou inteligenci + za každý stát vznikne dozorový úřad.Při nedodržení podmínek hrozí organizacím vysoké pokuty a úřad má také právo na nahlédnutí do všech materiálů, včetně zdrojového kódu.
Pokračování příště
V kostce jsme se nyní podívali na tři nařízení, které již nyní mají nebo v nejbližší době budou mít dopad na fungování firem. Snad vám tento zjednodušený přehled pomohl zjistit, zda bude vaše firma spadat do některého z těchto nařízení, aby to pro vás později nebylo překvapením. A příště budeme pokračovat.
