Hovězí GDPR-burger pro Pepu
Adresa: První měsíc odhalil největší slabinu nové ochrany osobních údajů. Nejenže jí nikdo nerozumí, ale lidé ji běžně chápou úplně opačně. Může za to nelidská byrokracie, která nutí firmy i úřady „opisovat zákony“. Anděl Media Centrum Karla Engliše 519/1
Chcete-li si v nejmenovaném řetězci rychlého občerstvení koupit burger nebo tortillu, zeptají se vás při placení na křestní jméno. Naťukají je do systému, to aby brigádnice mohla kromě čísla 24 do davu zařvat: „Burger pro Pepu.“
Pro ochranu Pepových osobních dat to není riziková operace. Pepů žije v Česku 211 tisíc a v počítačích fastfoodu nezůstane víc, než že si jakýsi Josef, jenž se včera ve dvě hodiny potloukal kolem pražského náměstí Míru, objednal dvouručák a mezi 14.05 a 14.15 do sebe vpravil pět tisíc kilojoulů.
Po Pepovi, kterého zaznamenaly všechny kamery, toho v obchoďáku vlastně zůstane docela hodně. Dost na to, abychom mohli dokonale zmapovat pohyb 46letého Josefa Horáka z Dobronína na Jihlavsku, jeho životosprávu i způsob, jak tráví pracovní dobu.
To Pepova dcera je téhož dne se školou na pochoďáku. Učitelka, která fotí blbě, ale vášnivě a všechno, pečlivě výlet dokumentuje. Po návratu píchne fotky na školní web s popiskem „osmá á hurá hurá!“
Otázka pro hloubavého čtenáře: Ve které ze dvou situací si lámat hlavu s GDPR, novou celoevropskou ochranou osobních dat?
Fotky na školním webu se všeobecně uvádějí jako vzorový příklad, kdy žák či rodič musí podepsat souhlas. Ve skutečnosti je to vzorová dezinformace. Pokud škola přiměřeně prezentuje své aktivity, aniž píše, že na fotografii je Anička Struhová, co propadá z matematiky, zásadně není co podepisovat. Nové nařízení dokonce souhlas odbourává i tam, kde se dosud užíval. Vede je k tomu prostá logika: kde je shromažďování údajů oprávněné, přirozené a dá se při naplňování spravedlivého cíle očekávat, je automaticky v pořádku.
Poměrně spolehlivým ukazatelem toho, že se s daty nakládá špatně, je situace, kdy vás žádost o údaj zaskočí. Třeba když se vás při čekání na cézar salát zeptají na jméno.
Papíry a zase papíry
Je-li na novém nařízení jedna věc skvělá, pak je to právě vymýcení nesmyslných „souhlasů“tam, kde o žádný souhlas nešlo, protože nebylo možné nesouhlasit. Pokud se třeba v bodě 12.1. nájemní smlouvy psalo, že „nájemce souhlasí se zpracováním osobních údajů“, pak si mohl jít nespokojený nájemce stěžovat na hlavní nádraží, případně smlouvu nepodepsat a o nájem přijít. Nebyl to tedy projev dobrovolný, což nyní GDPR vyloženě zakazuje.
Souhlas se nedává nikde, kde se údaje nutně shromažďují při plnění smlouvy či zákona, a dokonce ani tehdy, kdy z přirozené podstaty věcí plyne, že někdo data potřebuje, aby mohl legálně plnit své poslání – škola prezentovat své výlety, podnikatel oslovovat zákazníky nabídkami. Ano, i tohle je naopak, než se běžně tvrdí. Nic nebrání mému holiči, aby mi poslal leták s poloviční slevou na zacuchání dredů. GDPR výslovně říká, že pro přímý marketing se souhlas nevyžaduje. Jen je třeba poslechnout zákazníka, který si přeje být vymazán, a musí jít skutečně o vlastní klienty, nikoliv o seznam pořízený jinak.
Souhlas se nakonec použije jen tam, kde chce někdo údaje „navíc“a nemá k tomu jiné důvody. Jdete-li si pro jídlo a supermarket by vás při té příležitosti rád použil ke sběru statistických dat o tom, kolik sýrů Lučina si kupují 55leté dámy s křestním jménem Marie, pak by si o souhlas teoreticky říci měl. Vtipné je, že aby byl souhlas skutečně dobrovolný, GDPR výslovně zakazuje znevýhodňovat toho, kdo ho nedá. Zákazníci by tak měli mít lahev vína či pytlík oříšků za stejnou cenu, ať už kývli, či nekývli. Supermarkety to řeší přijímáním žádostí o vydání zákaznické karty, což lze považovat za uzavření smlouvy. Takže se souhlas nakonec nepoužije ani tam. V praxi tedy bude velmi vzácný. Uplatní se třeba na veletrhu, budou-li si chtít stánkaři zaznamenat kontakty kolemjdoucích.
GDPR se tak v souhrnu jeví jako racionální, pružné, odlehčené a logické, kdyby... kdyby nebylo zatíženo příšerným papírováním, které zatemňuje mysl i ochotu údaje chránit. Místo toho, aby se firmy zamýšlely, zda se jim na stolech volně nepovalují smlouvy, už druhý měsíc zběsile vyrábějí dokumentaci o tom, že pravidla dodržují.
Papíry, které nařízení vyžaduje pod hrozbou pokut, jsou po obsahové stránce naprosto nesmyslné: dokola se v nich opisují normy, jež už stejně pro všechny platí, neboť nařízení přímo zavazuje všechny osoby v Unii.
Správci údajů přesto musí sepisovat smlouvy s každým, kdo by do dat mohl zvenčí jen letmo nahlédnout: s ajťákem, účetním, dobrovolníkem, agenturou organizující školní výlety. Ti všichni se musí písemně zavázat k tomu, co jsou povinni dělat už „ze zákona“.
Lehkost, racionalita i oprávněný zájem jdou najednou stranou. A nejen tady. Aby měl zaměstnavatel doklad, že GDPR dodržují zaměstnanci, vydá vnitřní směrnici, kam opět překlopí nařízení. Pro jistotu upraví i pracovní smlouvy, aby byla směrnice závazná.
A teď to přijde: i všude tam, kde se nedává souhlas, je třeba doložit, že byl klient informován o svých právech. Ano, o obsahu nařízení, jehož neznalost neomlouvá. Takže se nakonec stejně podepisují papíry. V každé situaci, všude a pořád. Místo ochrany dat jedou tiskárny donekonečna opisující to, co už pro všechny platí.
Ve fastfoodu se vás mezitím při koupi kuřecích křidýlek zeptají, jak se jmenujete, a Mařena odvedle má v koloniále levnější krabicák, protože na sebe při placení práská, co pije.
Mařena odvedle má v koloniále levnější krabičák, protože na sebe při placení práská, co pije.