GDPR (General Data Protection Regulation) je obecné nařízení popisující ochranu osobních údajů platnou v EU. Hájí práva lidí proti neoprávněnému zacházení s jejich osobními daty. Pokud se někoho týká zpracování údajů o jeho osobě, pak upravuje, jak získávat informace o tom, které údaje jsou zpracovávány a proč, a jak se domáhat dodržování pravidel. Včetně nápravy a možnosti uvedení do původního stavu (např. vymazání z databáze). Udělení souhlasu se zpracováním osobních údajů je možností, ale ne povinností. Člověk jej musí udělit svobodně.
GDPR - mediální bublina či megalomanská byrokracie?
Změna spíše malá
Podle odborníků nařízení nějaké novinky v ochraně osobních údajů přineslo, ale ne příliš velké. O ochraně údajů se ale začalo mluvit a všechny instituce nebo jedinci ho berou vážně. Taková situace nebyla vždy. Lidé se zacházením s osobními údaji moc netrápili a ti, co je shromažďovali, si mohli dělat, téměř co chtěli. GDPR na sebe přitáhlo pozornost hlavně kvůli hrozbě vysokých, až milionových pokut. A lidé se začali zajímat o to, komu své osobní údaje předávají a jak s nimi bude nadále naloženo.
Každý po svém, výsledek stejný
Evropské nařízení se v ČR implementovalo typicky "hezky česky", tedy praktické uplatnění nařízení s mnoha nesmyslnými doplňky. Zakrývaly se tak například nástěnky ve školách a školkách se jmény lidí na fotografiích.
Právníci tvrdí, že poselství GDPR je zjednodušeně řečeno v tom, aby se každý, kdo zpracovává osobní údaje, zamyslel nad tím, jaká data shromažďuje, jak je zpracovává a pro jaké účely s nimi pracuje. A také, co má udělat pro to, aby data a jejich zpracování byla co nejbezpečnější. Žádný návod, jak nakládat s daty co nejlépe, v nařízení ukryt není. Vždy je to závislé na tom, kdo a v jaké situaci s daty nakládá.
GDPR totiž jen říká, jaký má být cílový stav. Vůbec se v něm neřeší přesně způsoby jeho dosažení. Zpracovatelé by tedy měli udělat maximum pro to, aby předešli vzniku škod spojených se sběrem a zpracováním osobních dat. Je asi jasné, že jinak bude situaci řešit fotograf na svatbě a jinak nadnárodní korporace vydávající firemní bulletin.
Čtěte také:
Až 85 % českých e-shopů není připraveno na legislativu GDPR
GDPR bez strašení: Užitečné tipy pro majitele malých webů a e-shopů
Mýty a omyly, které v současné době o GDPR panují
Jak dlouhá je nezbytně nutná doba?
V GDPR ale pár oříšků k rozlousknutí stále je. Například to, že data se nesmí uchovávat delší dobu než nezbytně nutnou. Tohle si ovšem může vykládat každý, jak chce. I když to v některých oblastech, hlavně u státních institucí, upravují zákony,, v mnoha dalších případech je to na shromažďovateli nebo vlastníkovi dat.
Musí se tedy například ničit záznamy kamer v místnosti, kde je umístěn bankomat, například po týdnu, když se až za 14 dní zjistí, že u přístroje někdo prováděl nekalou činnost? Nebo se mají ukládat na půl roku, nebo na rok?
Asi je to na zdravém selském rozumu. Tedy stanovit si dobu, po kterou je dobré mít data třeba z bezpečnostních důvodů k dispozici, ale nearchivovat je zbytečně a příliš dlouho. S tím mají samozřejmě největší problém právníci, kteří potřebují mít na vše zákon, předpis, nebo úpravu, o kterou by se mohli opřít, případně ji napadnout. Jenže najít obecné řešení je v tomto případě těžké kvůli velké různorodosti správců dat a mnoha situací v nichž se ocitají správci dat. Nějaká generální úprava by mohla některé činnosti zcela znemožnit.
ČR nestíhá schválit zákon
Důvodem k nejrůznějšímu zakrývání nástěnek a jmen ale není jen různost situací a lidí, kteří s osobními daty nějak zacházejí. Země EU měly 2 roky, aby upravily legislativu GPDR. Nejen Česká republika to nestihla. Předpis, který má nahradit dosavadní zákon o ochraně osobních údajů číslo 101, je dosud v poslanecké sněmovně. A tak nás různé instituce zasypávají souhlasem ke zpracováním osobních údajů a velmi pravděpodobně to dělají zbytečně. To aspoň říkají experti – pokud někomu poskytujete své údaje, měli byste být informováni o tom, za jakým účelem je předáváte a jak se s nimi bude nakládat.
Schvalovat by se pak mělo jen jejich využití, které člověk s daty nakládající nemůže odůvodnit jako nezbytné, pro poskytnutí služby. Nebo jejich poskytnutí nepožaduje zákon, což jsou například marketingové účely. GDPR míří především proti nevyžádaným službám a nabídkám zboží a pro zodpovědné firmy přineslo jen malé změny a zpřísnění. Například firmy, které data sbírají, musí umět zpětně prokázat, kde je vzaly, a že je zpracovávají se souhlasem daných lidí.
Rada na závěr
A jedna obecná rada na závěr – na svá osobní data bychom měli skutečně dávat pozor. Sociální sítě jsou důkazem přehnané důvěry lidí, ale i když používáme třeba internetové bankovnictví, měli bychom si ověřit, zda jsme skutečně na stránkách banky, a ne na jejich nastrčené napodobenině, která z nás vytáhne jméno a heslo, aby nám pak do deseti vteřin vybílila konto. Jisté procento nedůvěry a obezřetnosti je na internetu prostě vždy žádoucí.