Pouhá čtyři písmena vyvolala letos na jaře mediální a společenskou bouři. GDPR neboli obecné nařízení o ochraně osobních údajů vydané Evropskou unií vstoupilo v účinnost 25. května tohoto roku. Odborníci se ale shodují, že nepřineslo žádnou zásadní revoluci – většina věcí, které upravuje, totiž platila už předtím.
„Nařízení sice novinky v ochraně osobních údajů přineslo, ale nijak radikální. Jde spíše o opatrnou evoluci toho, jak byly osobní údaje chráněny dřív. Velký přínos GDPR ale vidím v tom, že si lidé díky zájmu médií této problematiky všimli a začali ji brát vážně,“ říká Jakub Míšek z Ústavu práva a technologií Právnické fakulty MU.
Miroslav Bartošek z Ústavu výpočetní techniky MU (ÚVT), který je hlavním řešitelem projektu zabývajícího se ochranou osobních údajů v prostředí vysokých škol, se s ním shoduje v tom, že nařízení přinutilo lidi brát tuto oblast vážně. „V minulosti to většina lidí ani společností moc neřešila a nebyl zde tedy ani zásadní tlak na dodržování platné legislativy. GDPR přitáhlo k tomuto problému pozornost, a to hlavně kvůli hrozbě vysokých pokut,“ podotkl.
Podobné podněty považuje za důležité i František Kasl z ústavu práva a technologií. „Pokud nevíme nebo si neuvědomujeme, že nějaké problémy či otázky vůbec existují, nemůžeme se ani rozhodnout, zda se o ně máme zajímat. Pokud tedy informace o GDPR zanechaly v lidech pocit, že tady existuje nástroj, který dokáže chránit jejich osobní údaje, je to jen dobře.“
Podle obou právníků ale přinesla květnová vlna zájmu o toto evropské nařízení i řadu nesmyslných nápadů, které plynou z nepochopení jeho principů. „GDPR v podstatě říká, že každý, kdo zpracovává osobní údaje, se má zamyslet nad tím, jaká data shromažďuje, jak je zpracovává, pro jaké účely a co má udělat pro to, aby tato data a jejich zpracování byla co nejbezpečnější. Nedává zpracovatelům návody, jak to dělat, protože to vše závisí na konkrétní situaci dané firmy, společnosti, organizace – tedy obecně správci údajů,“ zdůraznil Míšek.
Někdy nesmyslná doporučení třeba v podobě zakrývání nástěnek ve školkách či školách plynou především ze špatného výkladu jednotlivých ustanovení, kdy se při jejich interpretaci opomíjí základní principy tohoto nařízení.
„Zatímco některé jiné předpisy jasně říkají, jakou přesně máte povinnost, toto nařízení jen uvádí, jaký má být cílový stav, a neřeší přesně způsoby jeho dosažení. Chce tedy, aby zpracovatelé udělali maximum pro to, aby předešli vzniku škod spojených se sběrem a zpracováním osobních údajů, a předpokládá, že jinak to bude řešit nadnárodní korporace a jinak drobný řemeslník,“ doplnil Kasl.
Také specialisté ústavu výpočetní techniky upozorňují, že nestačí jen nainstalovat nějaký program, který ochranu zajistí. V rámci opatření souvisejících s GDPR, která na Masarykově univerzitě řešili, tak bylo nejnáročnější domluvit se, jaká data jsou skutečně potřeba a jak se s nimi bude zacházet.
„Získaná osobní data například nesmíte uchovávat delší dobu, než je nezbytně nutné. Ale jak dlouho to tedy je? Některé oblasti upravují zákony, ale celá řada věcí je na rozhodnutí správce a mnohdy to není jednoduché. Musíte rozhodovat o době uchovávání údajů například i s ohledem na to, že až po delší době může vyjít najevo nějaký problém a vy budete potřebovat například zjistit, kdo v dané době vstupoval do zabezpečené místnosti, nebo třeba doložit konkrétní informace vyšetřovatelům,“ podotkl Bartošek.
Být v souladu s GDPR tak není primárně otázka technologií, ale především přístupu. Je totiž potřeba najít kompromis mezi co nejkratší dobou uchování osobních údajů a zajištěním jejich bezpečnosti s tím, aby instituce a její informační systémy dál bez problémů pracovaly.
„Ještě pořád se objevují návrhy, podle nichž nejde prakticky fungovat. Nepotřebujeme právně zcela neprůstřelné řešení, které by v praxi mohlo blokovat využívání informačních technologií, ale funkční model práce s daty,“ zdůraznil Bartošek, který je vedoucí divize Kyberbezpečnosti a správy dat ÚVT.
Česká úprava teprve bude
Šíření nesmyslů a různé nejasnosti v postupech způsobil také fakt, že i když měly země Evropské unie dva roky na to, aby uzpůsobily vlastní legislativu novému nařízení, nejen Česká republika to nestihla. Předpis, který má nahradit dosavadní zákon o ochraně osobních údajů číslo 101, je aktuálně ve třetím čtení v poslanecké sněmovně.
Vlna informací, která se zaváděním GDPR spustila, tak vedla mimo jiné k záplavě souhlasů se zpracováním osobních údajů, které začaly rozesílat firmy i instituce. Mnohdy zbytečně.
„Tak trochu vznikl dojem, že souhlas se zpracováním údajů je jediný možný správný postup, jak naplnit požadavky GDPR. Člověk, který své údaje někomu dává, má být informován o tom, za jakým účelem je poskytuje a jak se s nimi bude nakládat. Schvalovat by měl jen to využití, které správce například nemůže odůvodnit jako nezbytné pro poskytnutí služby či požadované zákonem. Typicky jde o marketingové účely,“ uvedl Kasl.
Není tedy nutné vyžadovat souhlas například se zpracováním údajů nutných pro vystavení faktury, pokud chce ale firma zasílat reklamní e-maily novým potenciálním zákazníkům, potřebuje ho.
General Data Protection Regulation
Zodpovědným se změnilo málo
Klára Kašparová z Ekonomicko-správní fakulty MU řekla, že nařízení míří především proti nevyžádaným službám a nabídkám zboží a pro zodpovědné firmy přineslo jen malé změny a zpřísnění.
„Vedlo to často spíš k tomu, že společnosti, které dosud měly jen vágně upravený sběr dat, musely začít přesněji specifikovat, co a proč sbírají. Obavy pak měly a mají především z omezení některých marketingových nástrojů, které využívají pro získávání dat o svých zákaznících.“
Nejasná je například otázka využívání cookies, které by měl upravovat další předpis o ePrivacy. Cookies se užívají i pro sledování aktivit člověka na konkrétní stránce, což se využívá třeba k tomu, aby měl zákazník online obchodu v košíku zboží, které si tam vložil i poté, co stránku třeba opustí a zase se na ni vrátí. Omezily se také možnosti získat kontakty na nové zákazníky, kdy se nabízelo třeba stažení nebo získání nějakého produktu výměnou za e-mail či další údaje o člověku.
„Důležité je, že firmy musí umět zpětně prokázat, kde data vzaly, a že je zpracovávají se souhlasem daných lidí. Proto se stále více omezují nákupy databází kontaktů, protože z nich nemusí být jistý původ dat a také možnosti jejich využití nemusí odpovídat potřebám firmy,“ uvedla Kašparová.
I pokud jde o potřebu souhlasu, existuje podle právníků ještě celá řada nejasností, které jsou často zbytečné. „Například se vede debata o věkové hranici potřebné pro udělení souhlasu u mladistvých. Nařízení stanovuje rozmezí od třinácti do šestnácti let, aby byl souhlas platný. Často se ale zapomíná, že jde o souhlas u služeb poskytovaných online, a ještě častěji se zapomíná na rozlišení souhlasu se zpracováním údajů a jiným právním jednáním. Například registrace na Facebooku není vůbec otázkou udělení souhlasu, ale uzavřením smlouvy o poskytnutí dané služby, což se řídí občanským zákoníkem,“ podotkl Jakub Míšek.
Na místě je osobní obezřetnost
Facebook je častým příkladem toho, že si lidé neuvědomují dosah technologií a svěřují virtuálnímu světu mnohem více informací, než by byli ochotni v tom reálném.
„Vnímají virtuální prostředí jinak a mají problém některé věci rozlišit. Když vás někdo osloví na ulici a chce po vás nějaké informace, díváte se na to, jak vypadá, přemýšlíte, proč vás zastavil, a ptáte se, zda je důvěryhodný. Ověřit si důvěryhodnost webové stránky, tedy zda skutečně komunikuji třeba se svou bankou, a ne s falešným webem, většinu lidí nenapadne a ani to neumí,“ uvedl Michal Růžička, který působí na ÚVT.
Podle něj se totiž společnost dostala do situace, kdy většina lidí používá poměrně složité specializované technologie, kterým ale pořádně nerozumí. Firmy se navíc snaží dělat pro uživatele prostředí co nejpřívětivější, což často jde proti bezpečnosti.
Lidé si například často neuvědomují, že informace vložená do světové sítě se už nikdy stoprocentně nedá vymazat, nebo jsou překvapeni tím, kolik informací o nich mohou zjistit třeba obchodníci, kteří sledují jejich nákupní chování.
Osobní údaje jsou totiž velmi cenná komodita, za niž si člověk kupuje pohodlí. „Internet i web obrovským způsobem zlepšily produktivitu práce a život lidí. Přinesly ale také řadu negativních jevů, s nimiž jejich tvůrci ani nemohli počítat. Technologický pokrok je navíc tak rychlý, že na něj společnost téměř není připravená, a také právo reaguje na vývoj vždy až zpětně,“ dodal Bartošek.
Přestože GDPR přineslo lidem větší jistotu v tom, že se s jejich osobními údaji zachází bezpečně a rozumně, shodují se všichni odborníci na tom, že určitá míra osobní zodpovědnosti je nezbytná. Ať už při sdílení věcí na sociálních sítích, nebo uvědomění si, jaké informace lidé vyměňují za služby, které jim třeba ulehčují život.