Milá MF Dnes! Čo tak napísať niečo nové, osviežujúce a pravdivé? Tvoj článok Fotenie len so súhlasom je obsahom takmer kópiou starších článkov z iných médií, ktoré už medzitým vyvrátili experti ako nezmysel. Takýmto neobvyklým spôsobom sa začína reakcia našich kolegov z českého Zastúpenia Európskej komisie na text veľkého českého denníka o údajných ťažkostiach, ktoré môže školám spôsobiť nové európske nariadenie o ochrane osobných údajov známe aj pod skratkou GDPR.
Článok vyvracia obavy denníka, podľa ktorých budú musieť školy žiadať súhlas rodičov na zverejnenie každej fotografie s ich dieťaťom. Pokiaľ nebudú fotografie obsahovať aj iné osobné údaje o deťoch, na uverejňovanie fotografií stačí jeden hromadný súhlas, tak, ako to bolo aj doteraz. Text sa končí výzvou, aby médiá radšej pomáhali zmeny ľuďom pochopiť, ako šírili nepravdivé mýty.
Naši kolegovia možno siahli po netradičnej forme reakcie, ale ani sa tomu veľmi nečudujem. O GDPR sa v posledných týždňoch popísalo naozaj veľa nezmyslov, ktoré ľudí iba zbytočne zneisťujú, a nielen v Česku – podobné strašenie, hoci v menšej miere, sa vyskytuje aj u nás.
Žiadna revolúcia
O čo teda pri GDPR v skutočnosti ide a aké následky z novej legislatívy vyplývajú? V prvom rade si treba ujasniť, že bežných ľudí – fyzických osôb – sa týkajú najmä práva, nie povinnosti. Tie, naopak, platia pre inštitúcie, firmy, organizácie či nadnárodné spoločnosti, ktoré s našimi osobnými údajmi narábajú.
Hlavným dôvodom novej legislatívy, na ktorej sa dohodli všetky štáty EÚ, je účinnejšia ochrana našich osobných údajov. Tá sa doteraz riadila dvadsať rokov starou legislatívou a aj spleťou nesúrodých národných pravidiel. GDPR pritom nezavádza žiadne revolučné zmeny, iba zjednocuje pravidlá ochrany osobných údajov pre celú EÚ, ako aj pre všetky subjekty pôsobiace na spoločnom európskom trhu.
Pre inštitúcie, ktoré dodržiavali doterajšie normy, sa tak toho veľa nemení. Stačí sa riadiť základnými zásadami – zbierať osobné údaje iba na jasne vymedzený účel a iba v nevyhnutnom rozsahu. Ak ste podnikateľ, zákazníkov o účele zberu osobných údajov informujte, údaje dobre chráňte a uchovávajte ich iba na čas, na ktorý ich skutočne potrebujete. Optimálne je tieto procesy spísať aj do krátkeho dokumentu, aby sa nimi riadila celá firma a vedeli ste ich na požiadanie objasniť.
Ak nie ste práve banka alebo veľká nadnárodná korporácia, ktoré narábajú s obrovským množstvom osobných dát, do zavádzania týchto zásad nemusíte investovať ani euro.
Samozrejme, okrem času, ktorý treba na naštudovanie nových podmienok a revíziu procesov, tak, aby boli informácie o klientoch naozaj chránené. Tento čas by nám však mal všetkým stáť za to. Osobné údaje totiž možno bez veľkého preháňania prirovnať k rodinnému striebru, ktoré by sme určite nemali nechať len tak niekde povaľovať. Málokto si uvedomuje, že tieto údaje sú pre budúcnosť možno komerčne najcennejším kapitálom, ktorým ako osoby disponujeme.
Možnosť rozhodnúť sa
Zneužitie pritom nehrozí iba jednotlivcom, ale aj celej spoločnosti. Osobné dáta sa už dávno nezbierajú iba preto, aby nám obchodníci mohli posielať ponuky na nové hrnce. Stačí si spomenúť na nedávnu kauzu firmy Cambridge Analytica, ktorá zbierala na Facebooku súkromné údaje o nás a našich priateľoch a pomocou cielených kampaní potom manipulovala voličov po celom svete.
GDPR nám pritom všetkým umožňuje zistiť, kto s našimi osobnými údajmi narába, v akej miere a aj na aký účel. Mňa samého až zaskočilo, kde všade sa informácie o mne nachádzajú, keď mi pár dní pred účinnosťou nariadenia začalo v elektronickej pošte pribúdať množstvo e-mailov žiadajúcich potvrdenie spracúvania osobných údajov. Vo väčšine prípadov som povedal nie a oslobodil sa tak od zbytočných reklám a nevyžiadanej pošty.
GDPR nám všetkým poskytuje možnosť rozhodnúť sa, komu a na čo naše údaje poskytneme a žiadať aj ich vymazanie. Ak si nie ste istí, aké údaje o vás tá-ktorá inštitúcia uchováva a na čo ich používa, nová legislatíva vám zároveň dáva právo o tieto informácie požiadať.
Kým osobné údaje bude predsa za istých okolností možné stále spracúvať aj bez vyžadovania súhlasu (napríklad pre potreby plnenia zmluvy, úloh verejných inštitúcií alebo na poskytovanie klientskych služieb), v prípade zberu takzvaných citlivých údajov už bude súhlas v každom prípade nevyhnutný. Znamená to, že bez vášho odobrenia nebude možné uchovávať informácie o vašom zdravotnom stave, etnickom pôvode, náboženskom vyznaní či sexuálnom živote.
Jednoduchšie pravidlá
Aj keď názov GDPR znie vcelku zložito (General Data Protection Regulation alebo Všeobecné nariadenie o ochrane osobných údajov), jedným z princípov, ktoré zavádza, je aj väčšia jednoduchosť. Banky či e-shopy by vám tak už nemali vysvetľovať svoju politiku ochrany súkromia cez komplikované paragrafy v nekonečných oznamoch písaných nečitateľne malým písmom (ktoré aj tak nikto nečítal a radšej to „odklikol“), ale jednoduchým a zrozumiteľným jazykom. Špeciálne by sa táto podmienka mala vzťahovať na informácie adresované deťom.
Veľa sa hovorí aj o drakonických pokutách, s ktorými údajne prišiel Brusel. Aj tu musím konštatovať, že vo väčšine prípadov ide iba o neodôvodnené strašenie. Áno, nariadenie skutočne určuje strop pokuty až na 20 miliónov eur alebo štyri percentá z obratu. Kontroly i pokuty však budú riešiť národné úrady na ochranu osobných údajov a zohľadňovať pritom budú závažnosť porušenia pravidiel, úmysel či mieru spolupráce pri náprave.
Strop pokút musí byť nastavený tak vysoko preto, aby bolo možné zabezpečiť účinnú nápravu stavu aj v prípade veľkých hráčov, pre ktorých by nízka pokuta bola len akýmsi „kolkom“ na zneužitie našich údajov na dosahovanie oveľa väčších ziskov. Drobné pochybenia menších firiem a organizácií bude možné riešiť primerane, hoci aj napomenutím.
Ak to zhrniem, GDPR by zodpovedným firmám nemalo prinášať žiadnu mimoriadnu záťaž a nám – bežným ľuďom – by, naopak, malo poskytovať omnoho efektívnejšie možnosti chrániť naše súkromie. Nenechajme sa preto obalamutiť tými, ktorí pri každej príležitosti šíria mýty o diktáte Bruselu. Či už ide o krivé uhorky, rovné banány, vysávače alebo o likvidačné podmienky ochrany osobných údajov. Ako v mnohých prípadoch, aj tu môže platiť princíp, že najviac kričí trafená hus.