A co nám kdy oplátkou dali oni? Aneb GDPR v praxi

Klasická otázka z filmu Monty Pythonův Život Briana. Co dali Římané Judejcům za to všechno, co Judejci dali Římanům? Samozřejmě vyjma kanalizace, lékařské péče, vzdělávání, vína, veřejného pořádku, zavlažování, silnic, zásobování pitnou vodou a míru? NIC!

Velmi často slyším lidi hovořit o GDPR přesně v duchu Života Briana.

Jedná se o Nařízení Evropského Parlamentu a Rady (EU), takže GDPR je nadřazené české národní legislativě. Přesně v duchu „Roma locuta est, causa finita est “. Prostě si začne platit 25.5.2018 a je jedno, co česká vláda schválí nebo neschválí. Tato informace již vstoupila ve všeobecné povědomí.

Příklad praktického důsledku

Pokud umožňujete registraci uživatelů nebo odběry newsletterů, tak budete muset kontrolovat věk toho, kdo se vám snaží udělit souhlas se zpracováním. Než bude schválená česká legislativa, budete mít nastaveno 16 let podle GDPR. Až začne platit česká legislativa ve stávajícím návrhu, bude tato hranice snížena na 13 let, kdy takového člověka buď odmítnete nebo musí souhlas dát jeho zákonný zástupce.

Vypadá to jako zbytečná práce navíc? Ono je to vlastně celé trochu jinak. České právní prostředí je plné různých předpisů a nařízení (třeba zákon 499/2004 Sb. o archivní a spisové službě) a mnoho z nich tak upadá do zapomnění. Jedním takovým „zapomenutým“ zákonem je zákon č. 101 z roku 2000 o ochraně osobních údajů. Na rozdíl od Nařízení GDPR je útlý, poměrně čitelný a obsahuje většinu toho, co vyžaduje Nařízení GDPR.

Co je tedy přínosem GDPR? Proč vidím sklenici jako poloplnou?

Zkusím dát pár příkladů.

  • O ochraně osobních informací a soukromí lidí se začalo veřejně hovořit. To je skvělé, protože jakkoliv tu máme 18 let zákon o ochraně osobních údajů, je skvěle utajený a většina lidí ani neví, že má v tomto ohledu nějaká práva. Navíc se tím začíná šířit povědomí o případných dopadech a nebezpečí, které zveřejňováním příliš mnoha osobních informací o dané osobě můžou nastat. Už jen zveřejňování „nejsem doma“ pomocí fotek z dovolené na sociálních sítích není úplně bezpečné. A než nad tím mávneme rukou, že „stejně je toho moc, tak proč se vzrušovat“, zamyslete se, proč svůj dům zamykáte.
  • Souhlas se zpracováním osobních údajů je nevynutitelný. Už žádné „vstupem na tuto stránku automaticky souhlasíte s čímkoliv, co jsme si vymysleli“, neexistuje souhlas se zasíláním čehokoliv utajený uprostřed všeobecných obchodních podmínek, už žádné další odstavce ve smlouvách (mně se to snažila podstrčit realitka při nákupu nemovitosti) „souhlasíte se zasíláním reklamních sdělení, ze kterých se pak můžete odhlásit“. Tak těmto praktikám by výše případných pokut měla učinit konec, ačkoliv se to snažil řešit například zákon 480/2004 Sb.
  • Právo vědět, co o mně kdo ví a drží se stává vymahatelným a to zadarmo. Už zákon 101/2000 Sb. toto řešil, není to pro uživatele novinka, nicméně přibyly dva důležité aspekty, které český zákon neměl. První z nich jsem již zmínil – musí to být zadarmo (zákon 101/2000 Sb. umožňoval tuto službu zpoplatnit „nanejvýš přiměřeně nákladům nezbytných na poskytnutí informace“, GDPR zpoplatňuje, pokud to děláte příliš často) a především je v Nařízení GDPR jasně napsáno „bez zbytečného odkladu nejdéle do 30 dnů“ s možností zdůvodněného prodloužení o dalších 60 dnů. Český zákon má v 12 pouze formulaci „bez zbytečného odkladu“ bez časového omezení.
  • Právo na výmaz zde bylo a jeho lidový výklad „když mě naštvou, tak je přiměju, aby o mně smazali všechno“ je zjevně mimo rámec jak zákona 101/2000 Sb. tak i Nařízení GDPR (přesto se objevuje). Chvíli se mi toto právo jevilo jako zbytečné, protože Správce nesmí držet žádná osobní data, která nepotřebuje nebo k nim nemá váš souhlas, takže pokud by bylo vše na straně Správce v pořádku, pak nemá co smazat i když ho požádáte třikrát. Jenže pak jsem našel příběh Mario Costeja González, který vyhrál soud nad Google, který musel smazat všechny odkazy zmiňující nucený prodej jeho nemovitosti (aby tak Španělsku uhradil dluh na sociálním pojištění).
  • Přeprodávání vašich osobních údajů bude výrazně obtížnější. Nařízení GDPR totiž ukládá kupujícímu těchto údajů jako povinnost vás do 30 dní kontaktovat a sdělit vám, kdo je, od koho a za jakým účelem vaše údaje získal a tento kontakt by měl proběhnout ještě před například nabízením výrobku. A když se vám to nebude líbit, tak rovnou využijete práva na výmaz (nebo námitku), případně právo na omezení zpracování (v zákonu 101/2000 Sb. se tomu říká „blokování“).
  • Povinné upozornění lidí na ztrátu osobních údajů a vysoké pokuty. Myslete si co chcete, ale pokud zákon platí 18 let a lidé o něm prakticky  neví a polovina firem také ne (stačí se podívat do databáze registrovaných subjektů na stránce ÚOOÚ), pak je něco špatně. Nejvyšší uložená pokuta byla 3.600.000 korun, kde se až po vynesení rozsudku zjistilo, jaké informace vlastně unikly, protože zákon nikoho nenutí takovou informaci zveřejnit. GDPR ANO.

Jen pro upřesnění – jednalo se o únik dat ze společnosti T-Mobile o 1,2 milionu zákaznících, v rozsahu jméno, příjmení, datum narození, adresa, telefonní číslo, kód zákazníka, tarif, název, kategorie a značka zařízení, údaj o průměrné útratě, platební metodě, popř. číslu účtu a kódu banky (v případě zákazníků majících zřízenu inkasní platbu). Pro T-Mobile je taková pokuta plivnutí do moře.

Cílem není zlikvidovat české firmy, ale poskytnout ochranu občanům Evropské unie.

Jaké přínosy Nařízení GDPR vidíte vy?

Táta a nadšenec. Pokud se nevěnuje informační bezpečnosti a IT bezpečnosti v práci, nejspíš ho najdete doma s rodinou. K IT bezpečnosti se dostal náhodou v roce 2010, od té doby se systematicky vzdělává a hledá nové podněty pro zlepšení zabezpečení zákazníků. Rád popularizuje kybernetickou bezpečnost na konferencích. Ve zbytcích volného času pomýšlí na Ironmana.
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů

  • Co se tu dočtu?

    CyberCafé představuje místo, kde se dozvíte pravdu a realitu o IT bezpečnosti. Zabýváme se aktuální problematikou, tím, co společnosti/naše zákazníky nejvíce trápí a co řeší. Rádi s vámi budeme diskutovat o všem, co vás v oblasti IT bezpečnosti zajímá. Nechte se inspirovat našimi články. Přejeme příjemné čtení...

  • Nejčtenější příspěvky
  • MENZO, a.s.

    „Pojďme dělat securitu společně“ není pouze naše motto, je to každodenní výzva pro nás i naše zákazníky. Naším cílem je nejenom dodat řešení problému, ale především s vámi vše projít a vysvětlit. Bezpečnost se nedá koupit, bezpečnost se musí dělat, proto je pro nás důležité, abyste porozuměli, co a proč jsme udělali!
    Pracovníci MENZA mají více než 10 let zkušeností v oblasti IT bezpečnosti. Pomáháme vám řešit otázky moderní informační bezpečnosti.

  • 17 KROKŮ K OVĚŘENÍ BEZPEČNOSTI VAŠEHO WEBU

    Stáhněte si ZDARMA - 17 kroků, jak dramaticky zvýšit bezpečnost vaší webové stránky a nenechte hackery hatit vaše úsilí a vydělávat na vašich webových stránkách.

    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů
  • CHCI DOSTÁVAT INFORMACI O NOVÉM ČLÁNKU NA BLOGU
    Vaše osobní údaje (e-mailová adresa, jméno) jsou u nás v bezpečí a budeme (MENZO, a.s.) je na základě vašeho souhlasu zpracovávat podle zásad ochrany osobních údajů, které vycházejí z české a evropské legislativy. Stisknutím tlačítka vyjadřujete svůj souhlas s tímto zpracováním potřebným pro zaslání TIPŮ a dalších užitečných materiálů z IT bezpečnosti (max. 1 měsíčně). Svůj souhlas můžete kdykoli odvolat kliknutím na tlačítko Odhlásit se v každém zaslaném e-mailu. Zásady zpracování osobních údajů Zásady zpracování osobních údajů Zásady zpracování osobních údajů