Máme zase hezké téma, co hýbe společností: GDPR. Zlá Evropská unie si na náš nebohý národ v srdci Evropy opět vymyslela nějaké likvidační zlo a média vypočítávají miliardy, které nás bude stát jeho nasazení… Tedy tak nějak to aspoň vyznívá.

Pohybuju se v oboru už dlouho a mám dojem, že to není úplně přesně tak, jak se to mediálně tváří. Dovolte malé opáčko: Česká legislativa má zákon 101/2000 Sb. o ochraně osobních údajů. Je to velmi zajímavé čtení, mimochodem. Tento zákon poměrně jasně specifikuje, co jsou osobní údaje a jaké jsou povinnosti subjektů, které s nimi pracují.

Hovoří třeba o tom, jaké má správce povinnosti, a - světe, div se - jaká práva má člověk, jehož osobní údaje se zpracovávají. Třeba právo být informován o tom, kde se nějaká firma dostala k jeho osobním údajům a kdy dal on sám souhlas s jejich zpracováním. Nebo právo být z databáze odstraněn.

Bohužel, příslušný úřad (zde Úřad pro ochranu osobních údajů, ÚOOÚ) vystupoval za ta léta poměrně bezzubě, tak není divu, že mnohé subjekty fungovaly na hraně, leckdy i za hranou zákona, aniž by se cokoli dělo.

Vzpomínám si na svůj vlastní případ, kdy mi nejmenovaná personální firma posílala nabídky práce a po čase začala i volat. Jsem hodně opatrný na svoje telefonní číslo, proto mě zajímalo, kde ho vzali, a jejich tvrzení "z veřejně dostupných zdrojů" mohu naprosto zodpovědně označit za lež. Když jsem psal jednateli, ať mi sdělí, kde přišli k mým údajům, že je to mé právo podle zákona 101/2000 Sb., tak se mi vysmál a doslova dodal: "Jestli chcete, tak si stěžujte, kontrolory ÚOOÚ si dávám k snídani!"

Takových jsou ale celé zástupy - různých obvolávačů, kteří vám na otázku "Kde jste vzali moje telefonní číslo?" řeknou "z veřejně dostupných zdrojů…" a myslí si, že tím jsou z obliga. Nebo "získali jsme je ze zakoupené databáze…".

Kdysi někdo rozesílal nabídky na e-mailové adresy, které jsou dostupné v registru domén, a velmi se divil, že to dělat nesmí. Nejen že k tomu nemá souhlas, ale navíc jsou tyto údaje publikovány s tím, že k podobným účelům sloužit nesmí. Nojo, nesmí, ale jsou tam, tak co by to někdo nezkusil?!

Ve firmách zase poměrně zdárně bujel přístup "uděláme spotřebitelskou soutěž a budeme po nich chtít mailové adresy". Ptal jsem se několika takových, na co že jim ty adresy budou, a prý "dáme je do databáze a budeme je v budoucnu kropit nabídkami…" Vše je podle zákona, přece, protože dole bude zaškrtávátko "souhlasím se zpracováním osobních údajů". To, že souhlas se zpracováním není souhlas se zasíláním, nebo dokonce "souhlas s předáním třetímu subjektu", to už nikdo neřešil.

A do téhle atmosféry padlo GDPR. Tohle nařízení má své chyby a místa, kde člověk od fochu kroutí hlavou, ale na rovinu: GDPR existuje dva roky. Za ty dva roky nebyl v ČR nikdo schopen sepsat právně závazný výklad (za to ovšem zlá EU nemůže, když dovolíte). Informace o tom, jak bude stát GDPR vykládat a kontrolovat, byly velmi nejednotné a nejednoznačné, takže implementace dnes záleží na tom, jaký konkrétní poradce dané firmě radí. A kvůli nejednoznačnosti se samozřejmě nabalilo obligátní strašení hrozivými důsledky a náklady.

Na rovinu řečeno: GDPR nepřináší proti stávájícímu zákonu 101 nějaké výrazně nové či jiné povinnosti. Rozšiřuje stávající ochranu osobních dat na další údaje, stanovuje víc práv a zpřísňuje dohled. Firma, která dodržovala zákon 101 tak, jak má, a brala ochranu osobních údajů vážně, ne jako povinnost dávat všude otravné zaškrtávací pole, by neměla mít s platností GDPR výraznější obtíže. Stručné shrnutí (doporučuju hezký článek v angličtině) říká: Nesbírejte data, která nepotřebujete, a když nějaká data máte a už je nepoužíváte k danému účelu, tak je smažte. A taky si poznamenejte, kdy a jak vám každý z těch lidí udělil souhlas, buďte připraveni ho prokázat a buďte připraveni jeho data smazat.

Každý správce informačního systému vám potvrdí, že mít podobná data na jednom místě, kde se k nim dá snadno přistupovat, a nenechat je rozlézt do různých zákoutí systému, je rozumný přístup. To, že realita je jiná a náprava stojí peníze, je fakt. Ale zase: pokud to byl pro váš systém problém dosud, není to vina GDPR, protože váš systém měl nejspíš problém i se zákonem 101. Řeči jako "kdyby nebylo GDPR, tak nic nemusíme řešit" v mnoha případech znamenají jen "kašlali bychom na to dál jako dosud"!

Na druhou stranu se současným problémům nedivím. Povědomí o osobních údajích a vztah k nim je mezi lidmi hodně laxní. Jen menšina lidí se ptá "A na co to potřebujete vědět?". Moji rodiče, a nejen oni, jsou zvyklí vyplnit do formuláře všechno, na co se autor formuláře zeptá, protože se bojí postihu, nebo minimálně nepříjemností. Mají holt takovou zkušenost.

"Podle GDPR třeba škola nesmí po rodičích požadovat informace o tom, kde pracují!" jsem zrovna tuhle slyšel. "Proč by to škola nemohla vědět?" Položil jsem protiotázku: "A proč by to měla vědět?" - "No třeba kdyby se něco dělo, tak komu mají zavolat, třeba otec jezdí s kamionem, tak jemu volat nemají…" Připadá mi mnohem logičtější, když škola má kontaktní telefonní číslo, na které se volá, a k němu záložní. Škole může být jedno, čí to jsou čísla, jestli na matku, otce nebo co já vím třeba babičku, prostě to je kontaktní telefon. Je to, s dovolením, i mnohem jednodušší než mít číslo na oba rodiče a podle jejich zaměstnání odhadovat, komu volat...

"A co malé firmy, musí měnit vybavení a to něco stojí..." - většinou ne, většinou vybavení už je dávno připravené na to, že osobní údaje jsou v bezpečí, ale to nejdůležitější, co se musí změnit, je přístup, mentální nastavení. Lidi si musí zvyknout, že nemají své osobní údaje nechat válet kdekoli, a tím spíš cizí osobní údaje...

Opět dovolte vlastní zkušenost: Měl jsem mít přednášku na nejmenované vysoké škole. Před samotnou přednáškou bylo potřeba sepsat smlouvu, na jejímž základě jsem já měl přednášet a oni zaplatit. Když mi napsali, co do dohody o provedení práce chtějí za údaje, zarazil jsem se: Pobíraný důchod? Zdravotní pojišťovna? Zaměstnavatel? Rodinný stav? Pardon, ale to nepotřebují vědět, musí jim stačit jméno, adresa, rodné číslo a číslo účtu!

Ovšem to jsem narazil na Paní S Razítkem: "Buď ty údaje dodá, nebo nic!" stálo v mailu, který poslala člověku, co přednášku domlouval. "Tak pak nic!" odpověděl jsem, což prostředníka šokovalo: "Tak jim to dejte, ne? Vždyť o nic nejde, vlk se nažere a koza zůstane celá… Já vím, že to je nesmysl, ale lidi většinou mávnou rukou a ty informace napíšou, tak jsem myslel..."

To je přesné: Lidé většinou mávnou rukou, vždyť "o nic nejde". Teď jim GDPR nutí, že o něco jde, tak se brání - a paradoxně i ti, v jejichž prospěch se věci mění.

Asi největší problém s GDPR bude v tom, v jakém prostředí žijeme:

V prostředí, kde kroky státu jsou mnohdy nepředvídatelné, kde se výklad práva (nikoli jeho znění, ale výklad!) může lišit případ od případu, kde stát často kašle na jakoukoli snahu informovat občany, v prostředí, kde u spousty nařízení není jasné, jak je splnit (a sami úředníci krčí rameny: "Nevíme, jak to máte udělat, nějak to udělejte a my vás možná potrestáme, možná ne…"), a kde v neposlední řadě lidé nepřikládají ochraně svých osobních údajů váhu a jejich případné zneužití nanejvýš tak komentují v hospodě a na sociálních sítích.

Nedivím se, že v takovém prostředí způsobí GDPR paniku. Ale nezlobte se: v GDPR samotném je jen menší část problému.