Ochrana údajů? Zrušte poplach
Nové evropské předpisy na ochranu osobních údajů vstoupí v platnost v květnu. Ve všech státech EU panují určité obavy, nikde jsem se však nesetkala s tolika nesmyslnými interpretacemi jako v Česku.
Považuji za nutné vyjádřit se k narůstající panice kolem nových předpisů na ochranu osobních údajů, kterou sleduji v Česku. Takzvané Obecné nařízení na ochranu dat – GDPR – schválil v roce 2015 drtivou většinou Evropský parlament a jednomyslně členské státy včetně Česka. Země EU se na to teď s většími či menšími obavami připravují, nikde jsem se však nesetkala s tak úchylnou interpretací předpisů a s tolika nesmysly jako v Česku. GDPR tu, zdá se, prostoupil duch Franze Kafky. Starostové, lékaři či podnikatelé, všichni jsou tomu vystaveni. Mnohdy se to děje na principu „vystrašit a fakturovat“, protože řadu pověr šíří placení konzultanti.
Nyní musí odpovědné instituce na situaci reagovat, uvádět věci na pravou míru a umožnit všem, kdo chtějí být včas v souladu se zákonem, aby měli dost srozumitelných informací. Důležité přitom bude, aby byl co nejdřív schválen český zákon o ochraně osobních údajů, který má GDPR správně interpretovat, nejít nad jeho rámec a upřesnit jeho užití. Kdyby už byl na světě a byl dostatečně vysvětlen lidem, panika by nevznikla. A taky by nevznikla, kdybychom víc používali zdravý rozum.
Kde vidím největší problémy: možná miliony firem, spolků a samostatných podnikatelů jsou z GDPR zbytečně ve stresu. Každá firma by si měla posoudit rizika podle toho, jaká osobní data sbírá a jak s nimi nakládá, a měla by přijmout přiměřená opatření. Stejná pravidla jako doposud platí třeba na malou firmu (do 250 zaměstnanců), která nemá zpracování dat jako svou hlavní podnikatelskou činnost. To samé platí pro spolky, samostatné podnikatele či účetní firmy. Tyto subjekty musí mít zabezpečený server a šanony v uzamykatelné skříni, což vyžadují předpisy už dnes. Tedy nic nového, co by mělo budit vášně.
Firmy, které sbírají větší soubory dat, z nichž lze sestavit profil zákazníka, či které poskytují data třetím osobám, jež data zpeněžují, musí podle GDPR přijmout přiměřená opatření. Mají mít souhlas klientů se zpracováním dat a musí mít přehled o tom, kde mají jaká data v systému, a být schopny reagovat na požadavky klientů například na jejich převod k jiné společnosti. Mnohé firmy a úřady mi potvrdily, že po inventuře žasly, co kde mají za osobní údaje. Jinými slovy – nová pravidla mimo jiné omezí sběr dat od lidí jen pro nezbytné situace.
Technickou ochranu před hackery nemusím zmiňovat. Typicky banky a finanční služby musí zajistit data před úniky, aby se už neopakovaly četné nedávné případy úniků kódů k platebním kartám. Firmy, které už do posílení ochrany zainvestovaly, často říkají, že to berou jako investice do větší důvěry klientů. Uvědomují si, že zacházení s identitou lidí v době zvýšení rizik něco stát musí. Budete se divit, ale tento postoj, že nejde o náklady, ale o investici, jsem slyšela i od velkého počtu firem.
Jinou kapitolou je veřejná správa, radnice, úřady, kde GDPR ponechává prostor pro státy, aby stanovily podmínky zákonem. Bohužel, my ho zatím nemáme. Ale zato máme nepřeberně poplašných zpráv.
Starosty například děsí výše pokut. GDPR sice stanovuje možný strop ve výši 4 procent ročního obratu firmy, ale to je pro opravdu velké průšvihy celoevropského rozsahu (jako když Uberu utekla data 60 milionů zákazníků a nenahlásil to). I u sankcí se uplatní přiměřenost a věřila bych českému Úřadu na ochranu osobních údajů, že jejich cílem není dávat drakonické pokuty obcím a firmám, které ukážou snahu problémy řešit.
Dalším strašákem obcí je pověřenec pro zajištění ochrany dat, respektive fáma, že malá obec, která má neuvolněného starostu a účetní na půl úvazku, bude muset živit jednoho pověřence. Opět se ptám, kde zůstal zdravý rozum? Starosty měl někdo z vlády informovat, že jeden pověřenec může pracovat pro několik desítek obcí. A měli by dostat jasnou metodiku, co mají dělat. Stejně tak zdravotnická zařízení, školy či sociální služby. Všichni volají po informacích, které jim zodpovědné orgány mají povinnost dát. GDPR bylo schváleno v roce 2015, takže na přípravu bylo relativně dost času.
My Češi jsme k ochraně svého soukromí hodně laxní, a proto asi vnímáme nové předpisy jen jako zátěž pro firmy a instituce, a nikoli jako něco, co může přinést prospěch. Ani mně se z obýváku v Třebíči nezdá, že se děje něco špatně, ale když si od velkého bratra nevezmeme zpět rozhodování o našem soukromí, půjdeme jako ovce na porážku.
Nařízení má cílit hlavně na ty, kteří ve velkém obchodují s naším soukromím. Nová pravidla vystřídala úpravu z roku 1995 a reagují na narůstající rizika zneužívání, úniků a zpeněžování osobních dat Evropanů, která přinesla digitální éra. Jednotlivec se totiž může snadno rozloučit se svobodou a bezpečností, pokud bude někdo jiný svévolně či neopatrně nakládat s jeho identitou.
Cílem nařízení je posílit možnosti občanů mít svá data pod lepší kontrolou, aby se nestala zdrojem sledování jejich soukromého života, manipulace, šikany, veřejného zostouzení a neúměrného tlaku obchodníků, kteří k datům přišli bůhvíjak. Lidé se mě často ptají: Kde vzala nějaká firma mé údaje? Nebo: Jak to, že jsem v nějaké veřejné databázi uveden jako dlužník, když to třeba není pravda. Tragédií skončily tisíce případů zneužití dat dětí, které jsou v digitální éře nejohroženější skupinou. Těm by mohlo pomoci například posílené právo být digitálně zapomenut, jeden z výdobytků GDPR. Je třeba vidět nejen náklady, ale i přínosy a nevěřit nesmyslům a poplašným zprávám.
Nařízení má cílit hlavně na ty, kteří ve velkém obchodují s naším soukromím.