Evropou obchází strašidlo GDPR. Google nám najde, že GDPR je zkratka General Data Protection Regulation, Obecné nařízení o ochraně osobních údajů, že je to nový legislativní bič EU na ochranu osobních dat občanů, v účinnost vstoupí 25.5.2018. To je skoro za chvíli. Máme se bát? V čem nám to pomůže nebo uškodí?
Na první pohled se jedná o další eurobuzeraci, tak zkusme druhý pohled. Závazné předpisy o nakládán s osobními údaji tady platí už řadu let, ale praxe je pochybná, na nějakou ochranu se kašle, databáze obchodních kontaktů se prodávají ve velkém, vymahatelnost zákona nulová. GDPR to všechno zpřísní, ale zároveň umožní citelně trestat porušování. Jestli s vaničkou bude vylito i dítě, to teprve uvidíme, ale šplouch to bude velkej.
Co nás čeká, se ptám Petra Gondeka z GDPR-support.cz, námého pod nickem Perun:
Petře, jestli se nepletu, běžného ani BDSM pozitivnho uživatele internetu by to zasáhnout nemělo, přinese to ale nějaký viditelný užitek?
Obyčejného uživatele to zasáhne tak, že by měl mít větší přehled o tom, kdo, kde a jak užívá jeho osobní údaje. Každý, kdo by je chtěl nějak zpracovávat, musí subjekt údajů informovat o tom, jak, proč a jak dlouho bude údaje subjektu zpracovávat. Hodně se dnes mluví o novince – možnosti odvolat svůj souhlas, což není úplně přesné. Souhlas bylo možné odvolat už 18 let, ale pouze písemně. Nyní musí být odvolání souhlasu tak jednoduché, jako jeho udělení. Což v některých případech by mělo znamenat pár kliknutí. Odkaz na bič je vhodný, protože ačkoliv máme dlouhou dobu v tomto ohledu platnou legislativu, nikdo ji pořádně nedodržuje a co hůř – nevymáhá. To se snad teď trochu změní. Subjekty údajů získávají další práva, například přenositelnost údajů, právo na výmaz, na omezení zpracování.
Co organizátoři akcí, autoři blogů, správci webů s BDSM, ti mají minimálně databázi mailů pro zasílání aktualit. Samotný mail v souvislosti s BDSM a fetish orientací už pod GDPR určitě spadá. Mají tu databázi zahodit i s rukama?
Každý identifikátor, který může konkretizovat fyzickou osobu, je osobním údajem. A to i nepřímo. Nově jsou osobními údaji i IP adresa a např. cookies. Každý správce musí splnit povinnost informační – vysvětlit co, proč a jak dlouho chce údaje zpracovávat. V případě blogů se členové registrují dobrovolně, a v těchto případech nepoužívají svá pravá jména. I když předpokládáme falešné jméno, tyto osoby lze identifikovat, je tedy třeba souhlas se zpracováním. Nicméně jak jsem již řekl, jde o nepřímé indentifikátory. Vždy je třeba se zamyslet, zda v případě nějakého incidentu budou porušena práva a svobody zpracovávaného subjektu. Co se týká již hotových databází – nelze odpovědět jednoznačně bez dalších znalostí. Každá společnost je jedinečná a funguje s jinými procesy. Je třeba to důkladně zanalyzovat. Ale, že každý shop musí v květnu smazat celou databázi, to neznamená. Zase je ale třeba posoudit, jaké údaje se zpracovávají a jak. Například zda dochází k profilování a zda uživatel uvádí údaje o sexuálním životě. Například v seznamce.
Projekty na wordpressu a jiných CMS a blogovacích systémech, případně komerčních řešeních, budou mít pravděpodobně potřebné části systému aktualizované v souladu s GDPR, mohlo by to stačit?
Každá organizace, která zpracovává osobní údaje, musí přijmout vhodná organizační a technická opatření, aby chránila práva a svobody osob, jejichž údaje zpracovává. Jak jsem již uvedl, každá organizace je jedinečná a tomu odpovídají i jedinečná řešení. Není to ale jen o tom, že koupíme nějaký program, který se prezentuje jako – vyřeším vám GDPR. Prvotní záležitostí je zhodnotit jaká data a pro jaký účel vůbec zpracováváme. Například nedávno jsme řešili několik účetních společností, které naprosto nesmyslně zpracovávali rodné listy. Pak je třeba řešit zabezpečení těchto údajů. A to nejen po stránce IT. Někdy je lepší si najmout odbornou společnost. Bohužel stát v tomto ohledu zaspal a tak poznat někoho, kdo to opravdu umí, nebo – a to se nezlobte – o tom jen kecá, je pro laika nemožné. Naše společnost nedostatek legislativy supluje tím, že všechny naše metodiky a postupy jsou vypracovány ve spolupráci se soudními znalci, které máme v týmu.
Fajn, stát zaspal jako obvykle. Což mu nebude bránit v buzeraci, vzhledem k politické situaci jsem v otázkách státu ještě skeptičtější než obvykle. No a když k tomu přičteme, že v první vlně bude kontrola chodit v podstatě jen na udání, tak se máme na co těšit…
Děkujeme, že jste dočetli až sem, Petře, díky za rozhovor…
P.S.: Pro případné „aktivní soudruhy“ dodám, že DARKPRESS.cz žádné osobní údaje zatím nezpracovává, pokud někdy v budoucnu zavedeme třeba rozesílání aktualit mailem, bude to z hlediska GDPR dobře ohlídané… 🙂