Bráníte se padělkům sledováním oběhu? Tak pozor na osobní údaje!

Přesně za tři měsíce vstoupí v účinnost Evropské nařízení o ochraně osobních údajů (GDPR). Firmy vyjde zavedení nových pravidel na miliardy. Nová pravidla ovšem zároveň uživí tisíce nových expertů a konzultantů, takže odborných článků vychází více než dost. Nechceme jejich počet dále rozšiřovat, takže se spokojíme se stručným shrnutím. GDPR vychází z filosofie, že tak, jako je člověk majitelem svého těla, tak by měl být i majitelem záznamů, které se o něm vedou. Vést o někom záznam je zásahem do jeho soukromí, a to dokonce i tehdy, když o tom dotyčná osoba neví. Máme tedy právo o každém vědět, co si o nás zaznamenává. Máme právo do těch záznamů nahlížet, domáhat se opravy, žádat o výmaz nebo dokonce předání údajů jiné organizaci. Proti tomu ale stojí požadavek, že podniky potřebují pracovat (policie a tajné služby jsou z působnosti GDPR vyňaty). Stačí připomenout fakturu nebo záruční list, kde je jméno zákazníka. Jedná se tedy o osobní údaj, data podléhající speciální ochraně, ale nemohou být vymazána kvůli požadavkům finančních úřadů a obchodní inspekce.

Výsledkem toho všeho jsou velmi komplikovaná pravidla podepřená horovými pokutami v řádu desítek milionů eur. V řadě případů je zatím nejasné, co všechno budou úřady vynucovat. Je docela možné, že z počátku budou poměrně benevolentní a postupně se bude přitvrzovat. GDPR totiž počítá s dynamikou založenou na zakládání neziskovek specializovaných na stížnosti a žaloby vůči podnikům pracujícím s osobními údaji. Tyto neziskovky budou zastupovat uživatele, jejichž údaje budou skutečně či domněle špatně chráněny, aniž by k tomu potřebovaly jejich souhlas. Vznikne tak nesmírně výkonný stroj na utahování šroubů.

Někde je aplikace GDPR jasná, třeba u seznamů zákazníků. Ale jinde je zatím situace nejistá nebo jí firmy nevěnují pozornost. Třeba ochrana značkového zboží proti padělání sledováním oběhu. Tato koncepce může být naplněna různými způsoby, ale zpravidla vše funguje tak, že na obal je upevněn čárový kód, QR kód, výrobní číslo nebo třeba RFID. Kromě toho existuje informační systém, do kterého je pravidelně zadáváno, co se s produktem děje. Uživatel může obal vzít, načíst a dozvědět se všechny potřebné informace – do kterého skladu byl dodán, kdy byl prodán, komu, jestli poté někomu dalšímu, jak to bylo s opravami a inspekcemi atd. Nebo se může stát, že zjistí, že tento kus není v systému vůbec veden. To by signalizovalo průšvih a vysoké riziko, že se do oběhu dostal padělek.

Systémy sledování oběhu produktů mají různá slabá místa, včetně možnosti kopírování kódů a otazníků nad tím, komu může být umožněn přístup do databáze. To zde ale řešit nechceme. Místo toho upozorníme na to, že i na sledování oběhu produktů se může snadno vztahovat ochrana osobních údajů. I když se jedná „pouze“ o ochranu značky proti imitacím. Jak je to možné? GDPR uvažuje s konceptem „pseudoanonymizace“ spočívají v tom, že i když určitou informace nelze přiřadit ke konkrétní osobě (nejde tudíž o osobní údaj) po propojení s jinou informací se z ní může osobní údaj stát.

Vezměme třeba informační systém pro sledování pohybu určitého produktu, jímž mohou být léky, značkové hodinky, přístroje nebo cokoliv jiného. O lidech se v něm nic uvedeno není, nejedná se tedy o osobní údaje. Ale pozor! Pokud někde jinde existuje záznam,  komu byl který kus prodán (třeba faktura nebo záruční list), pak to znamená, že spojením dvou zdrojů dat se dalo zjistit něco o konkrétních osobách. To je pseudoanonymizace. Data s potenciálem vyrobit z nich osobní údaje.

Samotné pořizování a uchovávání dat podniky obhájí s poukazem na legitimní zájem bránit se podvodům. Nicméně to nic nemění na tom, že na řadu systémů sledování oběhu se začnou vztahovat nová pravidla. Ta budou znamenat mnohem vyšší nároky na zabezpečení, ale také třeba to, že pokud by došlo k úniku dat, vznikne povinnost velmi rychlého hlášení úřadům a povinnost kontaktovat uživatele a informovat je o tom. A řada dalších povinností. Dost možná, že z počátku budou národní úřady kontrolující dodržování pravidel benevolentní. Přesto se může postupně přitvrzovat. Konec konců, jedná se o „systematické zpracování dat ve velkém měříku.“ Na to se vztahují zvlášť přísná pravidla.

Z krátkodobého hlediska to vyžaduje věnovat této oblasti dostatek pozornosti v rámci informační bezpečnosti a práci s osobními údaji. Z dlouhodobého hlediska to je další argument pro model a la bankovka. Když dostaneme do ruky peníze, zpravidla jsme schopni rozpoznat, zda jsou pravé, nebo alespoň identifikovat podezřelé znaky a odnést bankovku expertovi. Nepotřebujeme k tomu znát jejich historii. Je lhostejné, komu prošly rukama a co za ně kupoval. Z technologického hlediska je takový přístup náročnější, ale může dobře fungovat i při ochraně značek proti padělání.


Optaglio svým portfoliem produktů pokrývá oba zmíněné přístup k ochraně značkového zboží před paděláním.

Pro sledování oběhu konkrétního výrobku dodává:

Pro ochranu připojením nepadělatelného elementu dodává:

Optaglio také navrhuje celkovou architekturu protipadělatelské ochrany, s ohledem na cenu chráněného předmětu, způsobu využití a očekávání zákazníků.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s