E-shop se vás musí zeptat, jestli mu dáte svá data
Právník Jan Tomíšek vysvětluje rozsáhlé změny, které přinese lidem i firmám klíčové evropské nařízení o ochraně osobních údajů.
Za necelý rok vám začnou chodit e-maily a dopisy, v nichž vám Facebook či banka sdělí, jaká o vás uchovávají data. Případně vás požádají o svolení k dalším úkonům. To proto, že začne platit obecné nařízení o ochraně osobních údajů – známé pod zkratkou GDPR. Zmíněné e-maily budou jen jeho malou částí. „Na základě námitky bude muset společnost zdůvodnit, proč daná data zpracovává a proč to není újma pro naše soukromí,“říká právník specializovaný na ochranu dat on-line Jan Tomíšek.
Jak platnost GDPR změní život běžného uživatele?
Hlavním smyslem je umožnit lidem kontrolovat jejich data. Běžný uživatel by to měl poznat tak, že bude víc informovaný. Internetové společnosti se ho častěji budou ptát a žádat souhlas. Zároveň bude mít silnější práva a lepší nástroje si něco zkontrolovat, ověřit nebo se proti tomu ohradit v řízení. A ambicí je i dát uživatelům větší svobodu v přecházení od jedné služby k jiné.
Co konkrétně zaregistrují nejdříve?
Dnes dáváte často nevědomky při zaškrtnutí obchodních podmínek třeba v e-shopu automaticky souhlas k marketingovému využití nebo předání údajů třetím stranám. To podle GDPR nebude možné. Pokud něco nebude nezbytné k poskytování určité služby, tak souhlas k využití osobních údajů bude muset být vědomý, oddělený a uživatel musí být informovaný, k čemu ho dává.
Jak to bude v praxi vypadat?
Pokud bude chtít e-shop předat moje osobní údaje někomu dalšímu, bude potřebovat zaškrtnutí určitého políčka, kde mne o to zvlášť požádá. To políčko nesmí být předzaškrtnuté a zároveň nesmí být podmínkou toho, aby mne web pustil k dalšímu kroku. Předávání mých údajů za účelem marketingu totiž není nezbytné k tomu, aby mi internetový obchod zaslal zboží.
Takže bez aktivního souhlasu k žádné manipulaci s daty, o které bych nevěděl, nedojde?
Ano, obecně zavádí GDPR zásadu standardní ochrany osobních údajů. Neboli, když má služba víc možností, tak standardní by pro uživatele měla být ta, která nejvíc chrání jeho soukromí. Třeba nenastavovat automaticky sdílení se všemi uživateli sítě nebo nenastavovat automaticky zveřejňování údajů. To musí být vyloženě na uživateli.
Dotkne se to výrazně i internetových sociálních sítí?
Nepochybně. Očekávám, že lidé dostanou e-mail či zprávu, že Facebook, Twitter nebo LinkedIn mají nové podmínky. Tyto firmy nás budou muset informovat v mnohem větším rozsahu. Očekávám i dotazy na to, zda s něčím souhlasíme, nebo nesouhlasíme. Není to ale jen vyloženě o internetových firmách. Do příštího května vám přijde e-mail či dopis od řady společností, třeba bank a pojišťoven. Sdělí nám, jaké údaje o nás shromažďují, zpracovávají a jaké mohou být důsledky. V mnoha případech to pro nás může být překvapení, protože to často ani netušíme.
Hodně údajů – často včetně polohy uživatele – chtějí dnes zpravidla mobilní aplikace. Jak se to změní?
Myslím, že zmizí nejkřiklavější případy. Otázka je, kolik vývojářů to hned zohlední. Jestli nebudeme muset čekat na případy typu Maxe Schremse (rakouský aktivista, který se úspěšně soudil s Facebookem – pozn. red.), než se praxe opravdu ustálí. O mnohém možná rozhodne až soud.
Třeba Messenger může tvrdit, že je pro něj nezbytné znát polohu uživatele, protože to připojuje ke zprávě?
Přesně. A až za to padnou sankce, tak se začnou věci měnit. Přímo od 25. května 2018 se to podle mne změní jen u největších hráčů, kteří o tom přemýšlejí a víc vnímají rizika. Tisíce drobných vývojářů se asi adaptují pomaleji.
Jaké možnosti dává GDPR do ruky těm, kteří se o svá osobní data zajímají více?
Základní právo, které už dnes máme, je přístup k osobním údajům. Mohu se kohokoli, kdo zpracovává moje osobní údaje, zeptat, o jaké jde, a on mi do jednoho měsíce musí dát kopii všech údajů, které o mně má, a pokud jsem mu je nedal přímo já, tak mi musí říci, z jakého je má zdroje. To byl počátek i v případu Schrems, který takto od Facebooku dostal několik tisíc stran informací. Zároveň podle GDPR musí uživatel tyto kopie dostat zadarmo.
A co dál?
Ve chvíli, kdy se dozvíme, jaké údaje kdo zpracovává, máme možnost vznést námitku proti zpracování. To se týká případů, kdy společnost zpracovává data, která nepotřebuje k poskytování služby. Na základě námitky bude muset společnost zdůvodnit, proč daná data zpracovává a proč to není újma pro naše soukromí. S úspěšnou námitkou se pojí právo být zapomenut, které můžeme uplatnit. Právo na „výmaz“ale není absolutní – nemůžeme žádat smazání údajů, které firmě jiný zákon ukládá uchovávat.
Jaká rizika plynoucí se zacházení s osobními daty si podle vás lidé příliš neuvědomují?
Typický příklad jsou sociální sítě. Lidé o sobě zveřejňují velké množství informací a neuvědomují si, s jak velkým okruhem lidí je sdílí, a že když je jednou vypustí, těžko se to bere zpátky.
Jak lze osobní data v nejzazším případě zneužít, například když některé ze služeb naše data uniknou?
Rizik je celá šíře. Od těch drobných, kdy na nás někdo na základě uniklých údajů může lépe cílit reklamu. Další skupinou je zneužití přístupových údajů k e-mailu či sociálním sítím a zneužití ke krádeži identity. Buď pachatel spáchá podvod na vaše přátele, to se běžně stává, nebo si na vás něco objedná on-line. A potom jde o nejzávažnější případy: uniklé údaje často slouží k více účtům. Třeba neoprávněným vniknutím do internetového bankovnictví může vzniknout majetková újma. A potom tu jsou citlivé údaje o zdravotním stavu, které mohou být kompromitující a znevýhodňovat nás, pokud jsou zveřejněny.
A co když třeba mobilnímu operátorovi uniknou data o účtech za telefon, o typu a ceně telefonu, který máte, a zároveň adresa. Už to může být podklad pro zloděje, kam si může přijít pro slušnou kořist, ne?
Určitě to je reálná hrozba. Střípků, které se dají nasbírat, je řada a ta mozaika nás může ohrožovat. Třeba údaje z geolokační služby dávají dobré povědomí o tom, kdy nebýváme doma a kdy je nejlehčí nás vykrást. Ty údaje se však dají sbírat digitálně a použít ke kyberkriminalitě. Na jejich základě může pachatel připravit cílený phishingový útok, jímž z nás vytáhne třeba již zmíněný přístup do internetového bankovnictví.
Už nyní – rok před vstupem nařízení v platnost – zaznívá, že firmy se připravit nestihnout. Lze popsat, co je čeká?
Po zorientování se v nařízení je třeba se zorientovat v datech, která spravují. Půjde nejspíše o data o jejich zaměstnancích a zákaznících. Ale také o data o třetích osobách či nějaký monitoring. Další kroky se dotýkají tří oblastí. První je dokumentace: musí se podívat, pokud komunikují se zákazníky, jestli je pořádně informují o zpracování dat a jestli od nich nepotřebují nějaké další souhlasy.
Kromě toho?
Vnitřní předpisy a procesy. Budou se muset připravit na situaci, že někdo přijde a bude chtít uplatnit své právo na přístup. Ve velké organizaci to může být těžké. Poslední oblastí jsou systémy. To neznamená, že každá firma si má nakoupit nové bezpečnostní technologie. Ale musí se podívat, v jakých systémech osobní údaje zpracovává a zda jsou adekvátně zabezpečené.
Vznikne i nová profese – pověřenec pro ochranu osobních údajů. Co bude mít na starosti?
Musí kontrolovat soulad organizace s GDPR, musí radit a vzdělávat tým interně. Současně má být kontaktním místem pro otázky ochrany osobních údajů – jak vůči veřejnosti, tak vůči Úřadu pro ochranu osobních údajů. Při plnění úkolů musí mít nezávislost a přístup k nejvyššímu vedení organizace. Současně musí mít odborné znalosti o ochraně osobních údajů. Firmy i veřejná správa tedy budou muset proškolit stávající zaměstnance, přijmout nové odborníky, nebo zajistit tuto funkci externě – specialistů je aktuálně nedostatek.
Bude naplnění podmínek GDPR pro firmy hodně nákladné?
Přirovnal bych to k novému občanskému zákoníku. Bude to ale ještě větší, protože GDPR jde napříč celou organizací. Od přepážky, kde se komunikuje se zákazníkem, až po IT zázemí. A všude s sebou může nést náklady – jak na úpravě dokumentace, tak procesů a systému.
Firmy hodně děsí pokuty, které mohou činit až čtyři procenta celosvětového obratu mateřské společnosti. To jsou astronomické částky.
GDPR říká, že mají být přiměřené, ale odrazující. A totéž tvrdí i český Úřad pro ochranu osobních údajů. Jednoznačně už naznačil, že vyšší pokuty budou za to, pokud se do 72 hodin nenahlásí bezpečnostní incident – třeba krádež dat. Právě nástroj oznamování má dát úřadu možnost kontroly nad tím, zda jsou incidenty řešeny.
U ochrany dat se často naráží na to, že zákony jsou lokální (v případě GDPR evropské), kdežto internet je globální a firmy jako Google, Facebook či poskytovatelé cloudů, kteří zpracovávají mnoho osobních dat, mají sídlo v USA. Jak to tedy bude s platností GDPR směrem k nim?
Nařízení říká, že pravidla se týkají všech, kteří nabízejí služby cíleně v zemích EU. To znamená, že na e-shop, který má doménu .cz nebo stránky v češtině, se pravidla vztahují. To platí také, když firma nějak sleduje subjekty z Unie – třeba za účelem reklamy.
Ošetřuje tedy GDPR vztah českého uživatele s Facebookem, Googlem, Amazonem nebo eBay?
Většinou ano, ale někdy to bude složitější na posouzení. Minimálně pro západoevropské uživatele, kteří mají „svůj“Amazon, to tak bude. Diskutabilní však je, jak se vůči těmto společnostem budou pravidla vymáhat. To bude jednodušší u firem, které mají v EU pobočky. Snaha pokrýt mimoevropské společnosti ale existuje.