Zpřísňující se legislativa o tom, co se smí a co se nesmí dělat s osobními údaji, představuje i faktor zpomalující inovace. Hlavně v případě nových služeb, které fungují způsobem nějak netypickým, není mnohdy vůbec jasné, zda jsou v souladu s GDPR a dalšími předpisy. Jak by stát mohl v tomto případě pomoci?
Jak uvádí Rebeca Hill na The Register, v Británii přišel místní Information Commissioner’s Office s nápadem na provoz nových služeb v jakémsi sandboxu, ochranném režimu. Pokud by v takovém případě došlo např. k úniku dat nebo jinému porušení předpisů (není úplně jasné, zda by provoz běžel s daty reálnými nebo pouze fiktivními), firma by sice byla samozřejmě povinna učinit kroky k nápravě, ale nečelila by sankcím. Při výstupu ze sandboxu do ostrého provozu by pak provozovatel získal štempl, který by pravil, že neexistují žádné doklady o tom, že by se služba dostávala do rozporu s předpisy, regulacemi, že zjištěné problémy byly vyřešeny apod. Takové potvrzení by mohlo mít smysl např. pro investory, mohlo by i pomoci předejít žalobám akcionářů.
Úzká spolupráce vývojářů s regulátory dává smysl a mohla by vést ke „sdílenému porozumění“, dokonce by na tomto základě mohly být regulační rámce i dále upravovány a některé předpisy rušeny (věříme ale tomu?). Regulátoři by tím získávali i informace o možných technologických problémech, mohli by vydávat různá obecná doporučení, upozornění na rizika, třeba by se přitom objevily i konkrétní chyby v dalších konkrétních produktech, mohli být informováni jejich dodavatelé apod.
Vypadá to dobře, nicméně zde samozřejmě zůstává řada nejasností. Regulátor a jeho potvrzení neznamená nějaké převzetí odpovědnosti za problémy objevené později. Navíc samozřejmě (skoro) každá služba se rozvíjí a mění, logicky by příslušný štempl stejně nemohl platit navždy. I tak ale může fungovat jako určitý základ pro jistotu nebo doklad dobré vůle firmy (třeba by se k tomu mohlo přihlížet při řešení nějakých dalších problémů s porušením předpisů a pokuta by aspoň byla nižší).
Příslušný program má zatím fungovat v beta režimu, teprve se uvidí, jaký o něj bude zájem. Konkrétně se v této souvislosti zmiňují všemožné fitness aplikace/výrobky a elektronika nošená na těle, biometrie, IoT, různé komplexní dohody o sdílení dat nebo používání stávajících dat k novým účelům.
Státní správa si nicméně bude vybírat, zda program pro službu vůbec poskytne – služba musí být inovativní, a/nebo ve veřejném zájmu, musí být dílem organizace s odpovědným přístupem k ochraně osobních údajů apod. Čímž se ale zase velmi omezí projekty začínajících firem, přibude nutnost žádosti vytvářet, zdůvodňovat a schvalovat (proč má nějaký úřad rozhodovat o tom, zda služba je „inovativní“?). Tento aspekt jinak sympatického programu mi přijde jako největší problém. Možná by stálo za to případnému riziku zahlcení sandboxu bránit namísto toho nějakým zpoplatněním, s přihlédnutím k rozsahu posuzované služby apod. Uvidíme, zda si z britského projektu půjde nakonec vzít nějaké poučení.