Určení rizik otevření datových sad

Otevřená data přinášejí i rizika. Závažná rizika je proto nutno dopředu identifikovat, aby bylo možné je řídit, až budou data otevřena. Analýzu rizik opět provádějí Koordinátor otevírání dat s Kurátory dat.

Při analýze rizik doporučujeme postupovat následovně:

  1. Pro datové sady uvedené ve vzorovém publikačním plánu jsou rizika identifikována a můžete je převzít.
  2. Pokud jste do seznamu přidali vlastní datové sady, ohodnoťte pásmově (0 - žádné riziko, 1 - nízké riziko, 2 - střední riziko, 3 - významné riziko) následující rizika:
  • 1. Zveřejnění dat v rozporu se zákonem - vždy nutno ověřit, zda publikaci datové sady nebrání související legislativa;
  • 2. Porušení ochrany obchodního tajemství - dále je nutno zvážit, zda publikace datové sady neporušuje obchodní tajemství, specifikované např. ve smlouvě s dodavatelem;
  • 3. Porušení ochrany osobních údajů - je nutno ověřit, zda součástí otevřených dat nejsou chráněné osobní údaje;
  • 4. Zveřejnění nevhodných dat či informací - je třeba zvážit, zda publikovaná data nebudou mít negativní dopady, např. z hlediska kvality publikovaných dat;
  • 5. Dezinterpretace dat - zvážit, zda otevřená data nebude možno dezinterpretovat, např. nevysvětlením používaných pojmů;
  • 6. Absence konzumentů dat - ověřit, zda je o publikovaná data zájem ze strany budoucích uživatelů dat;
  • 7. Překrývání dat - ověřit, zda se datové sady nemohou překrývat s jinými již publikovanými datovými sadami.
  • 8. Ohrožení bezpečnosti státu / majetku / osob - ověřit, zda datové sady nemohou ohrozit bezpečnost státu, majetku a nebo osob.

Celkové zhodnocení rizikovosti datové sady musí být následováno návrhem opatření pro eliminaci či omezení pravděpodobnosti výskytu nebo negativního dopadu rizik. Možná opatření pro zmírnění rizik:

  • Anonymizace/agregace dat (rizika č. 1, 2, 3, 8) - pokud nelze poskytnout data primární kvůli požadavkům na jejich ochranu či bezpečnostní požadavky, je vhodné zvážit, zda lze publikovat alespoň anonymizovaná data či statistiky;
  • Při zveřejňování datové sady, která obsahuje osobní údaje (riziko č. 3) je třeba dbát zvýšené opatrnosti. Obecně v tomto případě až na úplné výjimky platí, že pokud neexistuje zákonná povinnost taková data zveřejnit, tak se zveřejnit nemohou. V případech, že zákonná povinnost existuje, je možné osobní údaje zveřejnit vzhledem k nutnosti splnění takové povinnosti. V takových případech je pak doporučeno umístit do popisu datové sady následující sdělení určené příjemcům dat: Poskytovaná datová sada obsahuje osobní údaje ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Příjemce této datové sady se stává správcem osobních údajů. Vzhledem k tomu musí plnit zákonné povinnosti, které mu z účinné právní úpravy ochrany osobních údajů vyplývají.
  • Návrh vhodné komunikační strategie (rizika č. 4, 6) - určení jak bude o datové sadě informováno, identifikovat potenciální negativní reakce a připravit odpovědi. Oslovení cílových skupin uživatelů dat;
  • Vytvoření vhodných metadat a doplňujících informací (riziko č. 5) - uvést do metadat popis předpokladů a omezení využití dat. Publikovat doplňující informace – např. metodiku pořízení a zpracování dat, použité výpočty, definice ukazatelů apod.;
  • Vhodné vymezení datové sady a propojení na související datové sady (riziko č. 7) - vymezení datové sady s ohledem na minimalizaci překryvů s jinými datovými sadami. Využití již publikovaných datových sad. Propojování na související datové zdroje.

Jako vzorový podklad použijte Seznam doporučených datových sad k otevření, který obsahuje pro jednotlivá předdefinovaná rizika sloupečky. Do nich můžete vyplňovat odhadovanou míru jednotlivých rizik. Můžete také přidat svoje vlastní rizika.