Armagedon se blíží, křičí na nás ze všech stran bandy věrozvěstů ze sousedství i z krajin evropsko-unijních a vyhrožují, že kdo se nepřipraví, nezadá analýzy a za drahé peníze neobjedná nezbytné zabezpečení, tomu Úřad na ochranu osobních údajů nadělí pokuty v řádech naprosto likvidačních.
Čas běží a termín konce dnešního otevřeného světa se bleskurychle blíží. Zánik má totiž nastat už za tři měsíce. Přesně 25. května 2018. A kdo neví, ten se začne bát, přihlásí se na školení, objedná si komplexní analýzu, nový software či alespoň petlici na pracovní stůl, v němž schovává seznam zaměstnanců s maily a s daty narození.
Pozor, teď vás vyfotímeOchrana osobních údajů se dotkne i skiareálů  |
Jenomže jako v mnoha jiných případech platí i u GDPR, tedy Obecného nařízení o ochraně osobních údajů, že nejhorší smrt je z vyplašení a finance, které už kdekdo vynaložil, někdy ochrání před útoky, ale jindy slouží jen jako výpalné. Když si totiž všechny ty příšerně složité definice a věty nové normy pro ochranu osobních údajů přečtete, zjistíte, že vše je ve skutečnosti jinak.
Ne že by to bylo tak jednoduché, jak se před několika dny na stránkách tohoto listu snažila veřejnost přesvědčit naše eurokomisařka Věra Jourová. Oni se totiž naši zástupci v Bruselu už odnaučili psát jednoduše a srozumitelně, a tak jen preambule (tedy úvod, v němž se popisuje účel oné normy) má v češtině 31 stran, celé nařízení 88 stran.
A jsou to slova plná neurčitých pojmů, závěrů a deklarací, jež by jeden od orgánů ani nečekal. Co si například pomyslet o větě: Zpracování osobních údajů by mělo sloužit lidem.
Co tím chtěli říct
Možná stačilo jít na věc jednoduše a stručně popsat, že se ta hrozná instrukce primárně vztahuje na obrovské korporace typu Google, Facebook, Amazon, telefonní operátory či zdravotní pojišťovny, tedy na kolosy velké jako světadíl, vybavené obrovským IT oddělením, týmy slovutných právníků, jimž nečiní problém zvýšit stupeň ochrany, jediným kliknutím vymazat kontakt v databázi, a když na to v nejhorším přijde, i zaplatit pokutu v řádu několika milionů eur.
Paradoxně tyto kolosy dnes spí stejně klidně jako novorozené neviňátko, protože se už v době letitých negociačních jednání na dopad GDPR připravily, podobně, jako se už stačily připravit banky a všechny nadnárodní firmy. A tak teď děs a hrůza padá na ty malé a střední podnikatele a s nimi na školy, města, obce, kraje a organizace jimi řízené a spravované.
S osobními údaji klientů se dnes vesele obchoduje, říká auditor |
Jak to tedy vlastně je? Český předpis musí být jasný, přehledný, adresný a vykonatelný. Evropská unie na to šla novátorsky a poněkud jinak. Nechává totiž na každém subjektu, aby zvážil riziko citlivosti dat (je rozdíl, zda v šuplíku mám jméno a telefonní číslo obchodních partnerů, anebo kartu onkologického pacienta) a hrozbu kybernetického či jiného odcizení (v módním salonu se spíše ztratí drahý model než míry a váha modelů).
Požaduje, aby každý subjekt vyhodnotil, proč osobní údaje archivuje, a tomu odpovídajícím způsobem je zabezpečil. To by snad nemuselo být tak obtížné. Škola musí vést seznam žáků, proto nepotřebuje souhlas každého se zpracováním osobních údajů, údaje musí být zabezpečené heslem nebo zamčené ve skříni. Bohužel podobně jako u zákazu diskriminace přenáší důkazní břemeno odpovědnosti na toho, kdo osobní údaje schraňuje, což jsou prakticky všichni.
Důsledek tohoto faktu je jednoduchý: i soukromá manikérka musí vymyslet systém, zavést evidenci (papír, sešit, elektronickou databázi), psát záznamy, kontrolovat, zamykat a šifrovat. Argument, že kdo dodržoval starý zákon o ochraně osobních údajů, může i dnes klidně spát, je sice hezký, ale naivní, protože zákonů máme tolik, že takřka nikdo není schopen je všechny dodržovat.
A spíše si pravidla pohlídá velká banka než kadeřnice nebo jednotřídka. A tak by bylo férovější zavčas říct - bude to náročné, obtěžující (práce a byrokracie navíc) a drahé.
Zaplatí to každý z nás
A zaplatí to každý z nás, podobně jako čtvrtletní hlášení DPH a jiné administrativní zhůvěřilosti, jež si na nás stát či EU vymyslely. Úřad na ochranu osobních údajů nás zatím lehce a neznatelně uklidňuje, že se komentáře sankcemi to nechce přehánět.
Zbývá jen doufat, že bude ctít ducha nové normy a při kontrolách se zaměří na velké nadnárodní společnosti, kvůli nimž bylo celé GDPR vymyšleno. V opačném případě totiž nařízení otevírá nekonečný prostor další kriminalizaci a státní buzeraci. Žijeme ovšem v době plné paradoxů: na jedné straně o sobě na sociální sítě, na zdi a do sluchátek telefonu sdělujeme kdejaký osobní údaj dobrovolně, ale když se nás něco dotkne anebo nám z toho kyne kšeft, neváháme se soudit kvůli uniklé fotce nebo drobné, byť zveřejněné informaci.
Na jedné straně chráníme, co na druhé vykřikujeme. Ale tak to přece funguje od nepaměti ve všech dobách i ve všech Kocourkovech.
