Co reálně přinese nám, občanům EU, nařízení o ochraně osobních údajů (GDPR)? Především nové podpisy a souhlasy, které bude obtížné nedat.
Co je GDPR?
Za zkratkou GDPR se skrývá snaha Evropské unie protlačit větší ochranu osobních údajů, které spravují různé organizace, zejména soukromé. Pro mnoho vedoucích IT je GDPR hlavním tématem roku 2017. Co ale reálně přinese nám, lidem, o jejichž data jde?
O co jde: GDPR podstatně rozšiřuje požadavky, které v Česku již dříve stanovil Zákon o ochraně osobních údajů. Vytváří každému, kdo nějaké osobní informace uchovává, nové povinnosti, jak se o tyto informace starat, jak o nich informovat a kdy je odstraňovat. Jednou z nejdůležitějších změn je definice sankcí ve výši odvozené z velikosti firmy (obratu), takže sankce jsou dostatečnou hrozbou i pro giganty typu bank nebo Facebooku.
Osobní údaj není jen rodné číslo
Pro GDPR nařízení je pochopitelně důležitý pojem osobního údaje Ponechme teď stranou nejasnosti jeho vymezení, důležité je, že to zahrnuje nejenom obligátní rodné číslo a adresu, ale všechny údaje, které se s námi vážou, pokud je možné je nějak s naší osobou provázat. Příkladem jsou: IP adresa, ze které přistupujeme k internetu, id našeho telefonu, data o ušlých kilometrech a tepu z fitness náramku a mnoho dalšího.
Ty samé údaje někdy mohou a jindy nemusí být v kategorii osobních. Firma provozující web, na kterém se po přihlášení dozvíte, kolik jste minulý týden naběhali, má vaše osobní data. Když ale tato firma poskytne vědci, který zkoumá, kolik se který národ pohybuje, potřebné údaje, jistě mu nedá jméno a email. Vědec tak může zkoumat, ale data, která dostane, osobními údaji nebudou a nařízením GDPR se zabývat nemusí. Pokud ale fitness firma bude chtít prodat firmě nabízející léky na cukrovku databázi lidí, kteří se nehýbou a mají vysoký tep, tak by to měla udělat jen s vaším souhlasem.
Co GDPR přinese do života lidí v EU?
Všichni si už na internetu zvykli v podstatě automaticky odkliknout souhlas s cookies. Nic jiného se ani dělat nedá, hláška na většině stránek dost komplikuje život. Automatický click na souhlas (stránky většinou nenabízejí odmítnutí) povede k tomu, že stejně automaticky odklikneme i souhlas s uchováváním a zpracováváním osobních údajů, který se ke cookies přibalí. Je sice podmínkou, aby byly služby poskytovány stejně, ať souhlas dáte nebo ne, ale v praxi lze snadno obejít: už dnes to předvádí např. Google, když vám váš nesouhlas tak často připomíná, abyste nakonec souhlasili. (Příkladem je jeho využívání vaší GPS v mobilu.) Lze proto předpokládat, že většina firem, které sbírají data z vašeho pohybu v internetu (weby, facebook, vyhledávání) i ve světě (GPS, fitness náramky, IP adresy) je budou sbírat i nadále. GDPR vám sice dá možnost se tomu vyhýbat, ale váš život pak bude připomínat kličkování, které předvádí děti na dlažbě, když se rozhodnou, že šlapou jen na jednu barvu dlaždiček. (Kdo z nás, městských dětí, tuto hru někdy nehrál?) Pohledem druhých budete kličkovat někde, kde se dá jít rovně: Stačí povolit (dovolit si druhou barvu dlažek, odkliknout na sociální síti souhlas) a můžete jít pohodlně, rychle, rovně.
GDPR se netýká jen internetových firem, ale stejně tak nemocnic, škol, právníků, lékařů, církví, skautů i dobrovolných hasičů. Ti všichni, pokud budou brát GDPR nařízení vážně, si pro vás připraví k podpisu další papír, kterým souhlasíte, že když jste jejich pacientem, členem, účastníkem,… (doplňte si vhodné slovo), tak souhlasíte i s tím, že oni to o vás vědí a informaci si uchovávají. Sice by ten papír mít nemuseli, ale to by museli přesně nastudovat, co musí a co nesmí a navíc by pak nesměli to, co dělat chtějí: např. uspořádat vám nečekanou slavnost ke kulatinám. (Hádejte, koho z výše uvedených se tento nápad může týkat?) Takže přibudou papíry, ale v praxi se mnoho nezmění.
Abychom se mohli vážně ptát, jak nám, občanům EU, může EU změnit život, musíme si říct, proč nám osobní údaje v rukách kde koho vlastně vadí. Nechceme reklamy na cukrovku? Bojíme se, že někdo si koupí termíny našich dovolených a s paklíčem objede naše byty? Někdo zjistí, kudy jezdíme, a postaví nám do cesty obchod, abychom utráceli? Využije informaci, s kým trávíme pondělní večery (naše mobily jsou blízko u sebe) a začne nám oběma pro pondělí nabízet restaurace s posezením pro dva v okolí?
Na všechno uvedené si dnes firmy brousí zuby. Netýká se to dobrovolných hasičů, kteří chtějí vytěžit datum narození a potěšit vás i sebe štěnětem, ale těch velkých, kteří už se naučili data používat pro svůj zisk (tzv „vytěžovat“). A ti si cesty k vašemu souhlasu najdou nebo vás přinutí kličkovat po bílých dlaždičkách.
Osobní údaje pro běžný život
Co mají dělat "ti malí"? Lékaři, nemocnice? Odmítnete jim dát souhlas? Pak místo, aby vám poslali zprávu z vyšetření dopisem, přijdete si osobně. Stojí vám to za to? Nebo vás rovnou odmítnou, protože jejich jste "stěžovatel".
A tak možná nakonec využijete výborné nové možnosti, kterou nám, občanům, GDPR dává: požádejte všechny školy, na které jste chodili, aby na základě GDPR nařízení vymazaly všechny osobní údaje, které o vás uchovávají. Až vám vyhoří byt, školy vám nevystaví duplikát diplomu a z vás, Dr. Procházky, PhD se stane pan Procházka, GDPR. Groundless Dumbbell in PRactice.
(Uvedené příklady jsou ukázkami možných praktických dopadů nikoli příklady, jak se firmy mají k datům chovat.)
