Všechno, co jste kdy chtěli vědět o GDPR, ale báli jste se zeptat

K následujícím řádkům mě vyprovokovaly některé nesmysly, které se objevují v souvislosti s novým obecným nařízením Evropské unie k ochraně osobních údajů – známým pod tajemnou zkratkou GDPR (my, světáci, samozřejmě čteme DžíDýPíÁr!! = General Data Protection Regulation). Pojďme zahnat bubáky a vysvětlit si, co se změnilo. A popsat podstatné věci pro nás coby fyzické osoby – tedy tzv. subjekty osobních údajů. A také pro ty, kteří jsou správci osobních údajů v množství menším než malém. A tedy nemají za prdelí Legal Department, ani jednu ze tří čtyř renomovaných advokátních kanceláří, co tomu rozumí a právě sklízí kosou většinu těch nákladů na implementaci GDPR ve velkých firmách. Tyhle žně se hned tak opakovat nebudou!!

Hlavní chyba vnímání GDPR tkví ve smrti z leknutí. Jako by tu doposud neplatila žádná pravidla a my všichni se obecně brodili v závějích zneužívaných osobních údajů. Proto je v těchto dnech tak účinný postup, kterému říkejme Strategie V+V – tedy „Vyděs a Vyfakturuj!“. Jenže již od roku 1995 existuje směrnice EU k ochraně osobních údajů (95/46/ES), kterou jsme v našich krajích transponovali do českého právního řádu pověstným zákonem 101/2000 Sb. Jsem si jist, že většina z nás se s tímto zákonem někdy setkala, a ani si toho nemusela všimnout. Známou mantrou je výzva k podpisu souhlasu se zpracováním osobních údajů, kterou  před vámi zamumlal buď finanční zástupce, prodejce elektroniky, slečna za pultem distribuce plynu či někdo podobný: „Tady ještě podepište souhlas podle stojedničky“…

Když se někdy před osmi lety začalo pracovat na současném GDPR, byla hlavní motivací reakce na obrovské množství dat, které začaly od svých uživatelů vysávat mamutí technologické společnosti. Google, Facebook, Amazon… Snaha přibrzdit tento datový vysavač byla veskrze záslužná, jak se ostatně nedávno dost silně potvrdilo. Jen na okraj – víte, milé ženy, například o tom, že nejmenovaný mamut vyvinul program, který vyhodnotí vaše chování na sociálních sítích, zanalyzuje vaši nákupní taktiku a strategii, zhodnotí změny komunikačních linek a podle toho pozná dříve než vy i váš těhotenský test, že jste v jiném stavu? Jenže jak jsme v této části světa už zvyklí, původní bohumilý záměr přistřihnout supům křídla si už nikdo nepamatuje a ten regulatorní Golem se vymknul kontrole a začal řádit v ulicích. A není rabbiho, jenž by jej zastavil…

Jsem fyzáč, tedy vlastník svých dat, podle GDPR „Subjekt osobních údajů“

Drtivá většina pravidel zmíněných GDPR je nenových, uvedených v platnost již v roce 1995. Definice osobního údaje je stejná, žádat o výpis zpracovávaných osobních údajů jste mohli od roku 2000, stejně tak o jejich vymazání či vydání. Osobní údaje musely být zabezpečeny vždycky, pro jejich předávání platila obdobná pravidla atd. Co se tedy změnilo?

     1)      Samoregulace

Ta nejdůležitější změna spočívá v tom, že napříště se na trhu s osobními údaji budou jejich správci a zpracovatelé pohybovat samoregulovaně. Dohledový úřad, což je u nás známý Úřad pro ochranu osobních údajů, již nebude shromažďovat žádné žádosti, hlášení, registrace… Každá osoba, která nějakým způsobem osobní údaje spravuje, se musí ohlídat sama. S tím tedy souvisí i to blbé jádro pudla – samoregulace s sebou nese obrovský tlak na dokumentaci, dokladování, důkazy, audity, informovanost, doložitelnost… A nikdo neřekne, jak taková dokumentace má vypadat (a proto je třeba zadat zakázku a platit a platit). Například informační memorandum o zpracování osobních údajů může jedna banka poskytnout na šestnácti hustě popsaných stranách, druhá si vystačí s jedním listem.

     2)      Souhlas

Další důležitá změna souvisí se svatým grálem, jenž zove se SOUHLAS!! Jen si vzpomeňte, kolik že jste to v minulých letech podepsali souhlasů. A že jste souhlasili s lecčím, většinou jste cosi podškrábli, aniž byste řešili, co se vlastně s vašimi osobními údaji bude dít… Že ne? Ale jděte – co všechno máte nastahováno v mobilu či počítači? Aha?! Četli jste někdy, co odklepáváte více méně bezmyšlenkovitě? Že většině aplikací bez velkého rozmýšlení poskytujete přístup například ke svým kontaktům? A to aniž byste se lidí ze svého telefonního seznamu zeptali, zda jim nevadí, že jejich telefonní číslo si z vašeho mobilu odsaje nějaký éšop s erotickými pomůckami? Třeba? 

Čímž se dostáváme k podstatě – jaký dopad bude mít GDPR na nás a naše tak strašně vzácná osobní data? Řekněme si to upřímně – skoro žádný! Ano, můžeme využít některé ze svých „nových“ práv. Ty uvozovky jsou tam fakt správně – protože většinu práv jste měli už dávno, jen vás ani nenapadlo je využít. Tak se na ně vykašlete i napříště. Proč jsem tak benevolentní? Jedno z mála pozitiv, které GDPR přineslo, je právě již zmíněná změna týkající se poskytovaných souhlasů. Pokud jste kdykoliv v minulosti poskytli souhlas ke zpracování osobních údajů, a tento souhlas je v rozporu s GDPR, stává se automaticky neplatným. Pokusím se vysvětlit tu změnu:

Do letošního května bylo možné, aby kdokoli, kdo s vámi uzavíral jakoukoli smlouvu, poskytl vám marketingovou nabídku atd., prostě kdokoliv, komu jste předali své osobní údaje (jméno, adresu, mail, telefon, příjem, obraty na účtu, přehled objednávek zboží, transakce na účtu, kontakty v mobilu…), mohl podmínit svou službu či prodej zboží poskytnutím vašeho souhlasu. V drtivé většině případů lze celkem předpokládat, že pro nás bylo jednodušší souhlas poskytnout. Celou řadu souhlasů jsme poskytli jaksi mimochodem – já například před lety cosi nakupoval v Mountfieldu, a sympatická slečna u pokladny mi vysvětlila, že by ji potěšilo, pokud bych na kartičku vyplnil základní údaje, samozřejmě jen pro statistické účely!! No, a od té doby jsem mailem pravidelně informován o slevách zahradních hadic a travního osiva. Ale řekněte, kdo z vás by tu hezkou slečnu nechtěl potěšit?!

Drtivá většina takto v minulosti rozdaných souhlasů po letošním pětadvacátém květnu pozbyde platnosti. Souhlas ke zpracování osobních údajů totiž napříště musí splňovat základní parametry, aby byl účinně udělen – musí být informovaný (z jeho textu musí být neomylně zřejmé, k jakému účelu je souhlas udělován – tedy nestačí formulace „souhlasím se vším“!!), vědomý (souhlas například nemůže být součástí jiné dokumentace – správný souhlas poznáte tak, že je na zvláštním papíře, nebo v elektronickém kontaktu máte zaškrtávací butonek přímo u souhlasu, nebo k souhlasu potřebujete rozkliknout zvláštní stránku). Souhlas musí být také svobodný – nesmí se stát, že by byl spojen s jiným úkonem, například by jím byla podmíněna objednávka nebo podpis smlouvy. Prokazatelnost souhlasu, to je starost vaší protistrany, ale pro vás je důležité vědomí, že každý souhlas, ale opravdu každý (!) lze odvolat. A je jedno kdy, jestli za týden, za půl hodiny, nebo nikdy.

     3)      Nesouhlas

A teď pozor!! Naopak – zatímco doposud jste byli zvyklí ke všemu udělovat souhlas, je třeba si zvyknout na to, že v řadě oblastí vašeho zavazování se smlouvou, objednávkou, dohodou apod., nově dochází k tomu, že zpracovatel osobních údajů bude nakládat s vašimi daty, a to aniž by jakýkoliv souhlas potřebovat. Stačí mu k tomu totiž jiný právní základ. Tímto základem může být třeba jednání o smlouvě, jejím uzavření a následném plnění (například plynárny nemusí mít váš souhlas s vedením vašich identifikačních a kontaktních údajů, celkem logicky ale také povedou přehled vašich plateb, čísel účtů, budou plánovat vaši spotřebu plynu a nejspíše i vyhodnocovat další údaje bez vašeho souhlasu). Regulace našich životů za posledních pár let dostoupila takové úrovně, že hromadu vašich dat zpracovávají jiné právní subjekty vůbec ne z vlastní vůle, ale protože jim to ukládá hromada dalších regulací a zákonů. A tak až budete nadávat na banku, že chce znát zdroj vašich příjmů, nerozčilujte se zbytečně, ono upřímně – bance je to úplně fuk.  Jenže tuhle povinnost bance uložil vševědoucí stát, a když banka neprokáže, že tuto povinnost plní, sletí se na ni hned tři regulátoři!!

Trochu zvláštním právním základem je tzv. oprávněný zájem. Je to cosi nepříliš hmatatelného a tedy nelze přesně určit váhu jednotlivých oprávněných zájmů. Chce to příklad: zůstaňme u té plynárny (u nás v bance je to složitější, protože takřka na vše máme nějaký jiný právní základ). Asi se shodneme, že oprávněným zájmem dodavatele plynu je, aby za plyn dostal zaplaceno. Takže holt se stane, že své neplatiče postoupí k vymáhání někomu jinému, tzv. třetí osobě. A to aniž by k tomu plynárna potřebovala váš souhlas. Ovšem oprávněný zájem má jedno čertovo kopýtko. Zpracovatel osobních údajů si musí být sakra jist tím, že jeho oprávněný zájem převyšuje osobní zájem subjektu osobních údajů. Pro to slouží novinka, jíž je balanční test – tím se posoudí, co má navrch. Navíc v případech, kdy dochází ke zpracování vašich dat na základě oprávněného zájmu, máte právo se vždy ohradit proti takovému zpracování (právo podat námitku). Je celkem zřejmé, že v případě toho dluhu s námitkou neuspějete. Je ale řada jiných případů, kdy je námitka tím správným nástrojem, jak se o svá data postarat.

     4)      Profilování a automatizované rozhodování

Námitka nám budiž oslím můstkem k poslední důležité informaci týkající se zpracování vašich osobních údajů. GDPR opakuje či zpřesňuje řadu našich práv, coby vlastníků osobních údajů: jedná se o právo na opravu – tady máme asi jasno; dále o právo na omezení zpracování – to je zvláštní právo, které umožňuje ve specifických případech správci i subjektu údajů konat, jednat, obhajovat právní nároky, přičemž data mohou být po dobu omezení zpracovávána jen na základě výslovného souhlasu; právo na přenositelnost údajů – podle mne je to institut, který zatím předběhl čas, podle něj musí zpracovatel osobních údajů umět předat tato data jinému zpracovateli, jestli o to jejich vlastník požádá, a to ve strojovém kódu tak, aby novému zpracovateli stačilo je nalít do mašiny a spustit. Mezi bankami to funguje už roky – jedná se o tzv. switching, kdy klient požádá o převedení účtu ke konkurenci. Ovšem nedovedu si představit, že by přišel žadatel o platební účet s tím, že nám do banky pošle Alza jeho data, tak ať si je stáhneme…. Pak je tu ještě právo na výmaz, k němuž se ještě vrátím. Právem vznést námitku dostává každý možnost se bránit jak drobnostem – například zasílání marketingových nabídek (to ale bude fungovat více méně stejně, jako doposud, kdy stačí jednoduché odmítnutí – tento institut je uveden již v zákoně o některých službách informační společnosti). Námitku ovšem můžete použít v mnohem složitějších případech – a to když zjistíte, že jsou vaše data součástí tzv. profilování. Tedy že správce je používá k nejrůznějším statistickým a sociodemografickým vyhodnocením. Vlastník osobních údajů má totiž právo na odmítnutí takového zpracování.

Stejně tak máme právo se bránit takovému automatizovanému zpracování, které by pro nás mělo jakékoliv právní či obdobné důsledky. Česky řečeno – nařízení nám umožňuje bránit se robotům, kteří přepočítají náš majetek, vyhodnotí naše bydliště v Obrnicích a odmítnou nám prodat samopal AK-47.

      5)      Výmaz

S výmazem opatrně. Osobně se domnívám, že po éře rozdávání souhlasů na všechny strany, přijde teď po mediální masáži éra výmazů. A tak ti samí, kteří již po řadu let mají veřejné fcb profily se stovkami „přátel“, mezi něž přijímají každého, kdo se nejmenuje Okamura (nebo naopak, nevím!), začnou vypisovat na všechny strany žádosti o výmaz. Je na místě upozornit, že výmaz je taková malá elektronická smrt. Takže je třeba si takovou žádost dobře rozmyslet. A pak taky vědět, že jsou instituce, které nic nevymažou, protože by tím porušily zákon. Příklad z mně dobře známé oblasti: minimální lhůta pro uložení dat v bankách je dána zákonem o bankách a je stanovena na deset let po ukončení smluvního vztahu. V zákoně je navíc slůvko „minimálně“, a to ještě některé banky využívají dalších pět let, které jsou dány patnáctiletou lhůtou pro řešení případných sporů (tuším, že je dána občanským zákoníkem… ale nejsem si jist, což teď nevadí). Takže touha po elektronické smrti může být zcela marná.

      6)      Nejančit

Naše osobní údaje si už dávno žijí vlastním životem. Bylo by bláhové domnívat se, že se lze vrátit v čase a technologii a cosi napravit. A tak pokud se pohybujete po sociálních sítích a gůglovských prostorech a podprostorech od počátku nějak promyšleně, můžete si být jisti určitou mírou soukromí a intimity. Samozřejmě, že si nedělám iluze, že i méně zručnému datovému těžaři by se zadařilo vytěžit z hloubi kyberprostoru mnohé o mně i o vás. Ovšem základním nastavením soukromí a jistou mírou rozumu lze udržet facebookový profil, mailovou komunikaci, cloudové úložiště, blog, twitter atd. stále v kategorii „dobrý sluha“. A jestli mohu na závěr této části malou radu – važte rizika, hodnoťte, jaká škoda vám může vzniknout hned, a jaká v dlouhodobějším horizontu. Nejde jen o fotografie, ale také o mobilní bankovnictví, platební systémy a od ledna i o open banking. V této oblasti může hloupost hodně zabolet.

Co dělat, jestliže zpracovávám osobní údaje jiných, a to v množství menším než malém

Pro velké zpracovatele osobních údajů může být GDPR šancí udělat si pořádek ve svých databázích, revidovat účely zpracování a eliminovat nesmyslné a nebezpečné hromadění nepotřebných dat. V tom jim pomáhej advokátní kancelář, komentáře bruselských institucí a přijde-li na to, i Bůh.

Malí zpracovatelé (pro zjednodušení tento text nerozlišuje mezi správcem a zpracovatelem osobních údajů) nemusí jančit. Určitě po nich nikdo nechce, aby zaměstnali DPO, tedy Data Protection Officera, tedy Pověřence pro ochranu osobních údajů. Ten je nutný až u subjektů, které zpracovávají ohromná množství dat, vytěžují je, systematicky monitorují apod. Vedete-li seznam odběratelů čaje, adresář příjemců informačního bulletinu, nebo máte v šuplíku navštívenky některých svých zákazníků, kteří se zúčastnili slavnostního otevření kavárny, zůstaňte v klidu. Ano, bylo by fajn, pokud byste měli písemný popis aktivity, tedy dle nařízení „záznam o činnosti zpracování osobních údajů“, leč důležitější je, abyste dokázali vysvětlit, proč si seznam odběratelů vedete, za jakým konkrétním účelem (a účelu se drželi jako pověstné hovno košile) a nikomu ten seznam nedávali k dispozici a na svém notebooku měli alespoň standardní zabezpečení. A pokud vás některý klient požádá, abyste mu už nabídky svého zboží neposílali, tak jej z adresáře prostě vyškrtněte a jeho přání respektujte.

Ještě k tomu slovu „účel“, které jsem zmínil o tři řádky výše. To je ten základní termín, kolem kterého se zpracování osobních dat točí. Pokud se pustíte do správcovství osobních údajů, což je už ten zmíněný adresář klientů, seznam brigádníků s kontakty či webová stránka vaší sportovní party s výsledky, oddílovým seznamem a fotografiemi, ujasněte si, pro jaký účel shromažďujete data. Mějte v tom jasno a ten daný účel „za běhu“ neměňte. A když už jej musíte změnit, vyrobte si novou evidenci, novou kartotéku, nové úložiště, aby byly ty různé účely jasně a jednoznačně odděleny. A co ty zatrachtilé souhlasy? Pokud si u vás něco objednám, předpokládám, že vám musím poskytnout své identifikační a kontaktní údaje, nejsem pako, abych vám spolu s nimi vnucoval souhlas k jejich užití. A vy prostě budete moje údaje používat jen za účelem zasílání objednaných mastiček či semínek (legálních!). A nesnažte se mi vnutit svůj vycucaný souhlas, že mi zboží pošlete, ale jen když vám poskytnu souhlas se zasíláním dalších nabídek dalších distributorů a k čaji mi budete přibalovat letáky na akné. Kdy tedy souhlas? No, já bych si nechal aspoň mailem potvrdit od ostatních nohejbalistů, že souhlasí se zveřejněním fotografií z ligových zápasů, a dal bych jim možnost nesouhlasit se zveřejňováním fotek sejmutých nad ránem v oddílové hospodě… Prostě – chce to selský rozum!

A co ty strašné sankce??

Možná nejčastější otázka, kterou dostávám. Nevím, jak se situace vyvine, taky bych před pár lety nevěřil, že trafikant dostane 15 tisíc pokuty za nevydanou stvrzenku za noviny vydávané premiérem v demisi. Na druhou stranu – finančáci se nám rozrostli jak svrab, ale ÚOOÚ těch kontrolorů zase tolik nemá. Jak vlastně budou ty kontroly probíhat? ÚOOÚ má svou odpovědnost danou zákonem. Zaprvé je odpovědný za kontrolu toho, jak státní orgány včetně vlády plní závazky vůči evropské regulaci. Pak je druhá, stále vysoká kontrolní plotna, tou jsou kontroly, které probíhají na základě klasického ročního plánu kontrol (tam určitě nebude uvedena čajírna v Bílině!). A pak jsou to kontroly probíhající na základě národního sportu, tedy udání. Ale ani v tomto případě nelze čekat, že když udám předsedu pingpongového oddílu, že zveřejnil fotografii mého plačícího syna po prohraném zápase šesté okresní třídy, že na následující trénink dorazí zásahová jednotka. Kontroly standardně probíhají tak, že z Úřadu vám dorazí výzva k vysvětlení. Na odpověď máte dost času a ten můžete využít k přemýšlení, co odepsat. Kdybych byl tím tenisovým předsedou, odepíši, že došlo k selhání lidského faktoru, že byla přijata opatření, aby se taková situace neopakovala a že všechny fotografie pořízené při oddílových zápasech byly smazány. Věřte, že pan Úřad se s tím spokojí.

Na co jsem zapomněl

Na spoustu věcí!! A nad spoustou mých tvrzení lze donekonečna diskutovat. Nemám patent na rozum a nejsem certifikovaným výkladcem snů o GDPR! Za rok budeme chytřejší! A seznáme, kolik doživotních trestů bylo vyneseno, kolik pionýrských oddílů hradí statisícové pokuty na splátky, či kolik starostů si v zoufalství prohnalo hlavu kulí. 

V Praze, 14. května 2018, 11 dní do platnosti GDPR