GDPR – nový koniec sveta?

Zažil som už niekoľko koncov sveta, ktoré sa ma bezprostredne dotkli. Napríklad 21.12.2012 mala nastať úplná očista ľudstva podľa Mayského kalendára a zároveň EÚ zariadila zrovnoprávnenie žien a mužov v životnom poistení. Feministky sa otvorene a víťazoslávne tešili, že budú odrazu platiť viac za životné poistenie.

Od 1.1.2015 sa menil občiansky zákonník a stanovil minimálnu výšku písma v spotrebiteľských zmluvách na 1,9 mm, čo si vzali k srdcu len banky a poisťovne, väčšina iných poskytovateľov služieb spotrebiteľom si to ani nevšimli alebo to priamo odignorovali. Občas to využijem, keď mi poskytovateľ internetu minule predložil na podpis zmluvu s celým radom pokút, ani ma to nevyrušilo a zmluvu som podpísal, pretože táto spotrebiteľská zmluva je kvôli podmierečnému písmu neplatná od začiatku. Akákoľvek pokuta alebo dlžoba z mojej strany je preto spochybniteľná. Nechám ich žiť v omyle. Akurát ma hnevá, že návody a zloženie potravín sa stále nedajú čítať kvôli mikroskopickému písmu. Človek aby so sebou na nákupy nosil lupu.

A nakoniec v piatok 25.5.2018 vstúpilo do platnosti v celej Európskej únii Všeobecné nariadenie o ochrane údajov, nazývané skratkou GDPR (General Data Protection Regulation). Vie sa o ňom už 2 roky, hoci všetci o ňom intenzívne hovoria len v posledných dňoch. A keby len hovorili, mnohých opantala priam hystéria, a to najmä v poisťovacích a bankových kruhoch, akoby inkriminovaný dátum bol ďalším (už neviem koľkým) koncom sveta.

Právne oddelenia a útvary compliance finančných inštitúcií vyprodukovali neuveriteľné balíky právnych dokumentov, poslali všetkým sprostredkovateľom obsiahle zmluvy o spracovaní osobných údajov s hrozbou vysokých pokút, aj keď doteraz to v podstate fungovalo všetko rovnako.

Ak zapínate svoj počítač pomocou hesla, používate kvalitný antivírový program, vaše papiere s osobnými údajmi o klientoch a zamestnancoch sa nepovaľujú v nezabezpečenej kancelárii a Váš server je riadne šifrovaný, v podstate sa nič nemení. Máte zmluvy so všetkými partnermi o ochrane osobných údajov – s účtovníčkou, IT technikom a subdodávateľmi? Potom všetko robíte správne a v súlade s novými pravidlami.

Chceš dostávať moje maily aj po GDPR?

Nové pravidlá však prinášajú hypotetické situácie, ktoré autori GDPR očividne nedomysleli. Ide napríklad o „právo na zabudnutie“. Mám v počítači aj v papierovej podobe tisíce kontaktov osôb, ktoré sú mojimi klientami, ale aj takých, ktorí už klientami nie sú alebo sa nimi len stanú. Okrem toho mám kontakt na môjho opravára firemného auta, záhradníka, údržbára elektronickej brány, dodávateľa kopírovacieho papiera a tonerov, atď. Mám všetkých žiadať o informovaný súhlas, aby som si mohol ich kontakty zachovať? Alebo mám všetky informácie vymazať, resp. skartovať?

Keď dostanem od slušného človeka email, na konci správy je jeho vizitka. Mal by som mu poslať späť žiadosť o jeho súhlas s uložením jeho údajov do počítača?

GDPR je aj o rozšírení pojmu „osobné údaje“. Okrem klasických osobných údajov ako je meno, priezvisko, dátum narodenia, bydlisko, email pribudli aj lokalizačné údaje a online identifikátory, napríklad IP adresa, cookies, poloha – údaje z GPS.

Od týchto tzv. „bežných“ osobných údajov je potrebné odlíšiť tzv. „citlivé“ osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, genetické údaje, biometrické údaje, údaje o zdravotnom stave alebo sexuálnej orientácii.

Predstavte si, že stretnete na ulici piráta s drevenou nohou a čiernou páskou cez oko. Cítite z neho rum. Je vám jasné, že ide o kapitána Flinta, svojím pohľadom ste teda spracovali jeho osobné údaje – meno, polohu a citlivé údaje – jeho výzor, závislosť na alkohole a zdravotné postihnutie. Keď ho vidíte len na ulici, nič sa nedeje, pretože pravidlá GDPR sa vzťahujú len na inštitucionálnych spracovateľov osobných údajov, neriešia povinnosti súkromných osôb.

Ak ste však bankový úradník a milý pirát vás príde do banky požiadať o úver, musíte ho legitimovať. Toto robíte v rámci svojej náplne práce podľa zákona o bankách. Keď však chcete ďalšie osobné údaje, ktoré s daným produktom nesúvisia, už potrebujete poskytnutie informovaného súhlasu, napr. aby ste si mohli poznačiť niečo o jeho zdravotnom stave, rodinných pomeroch, etnickom pôvode a sociálnom statuse, čo by ste radi využívali na marketingové účely.

Mark Zuckerberg a GDPR

V inom prípade vojdete do administratívnej budovy monitorovanej kamerovým systémom. Na vrátnici (recepcii) vás legitimujú – poskytnete strážnikovi občiansky preukaz a idete navštíviť obchodného partnera na 8. poschodie. Vojdete do výťahu, stisnete gombík a už majú váš otlačok prsta. Poskytli ste im informovaný súhlas na kamerový záznam a otlačok prsta, ktoré v kombinácii s dobrovoľne odovzdaným dokladom totožnosti môžu byť zneužité? Vonkoncom. Pre vnútornú potrebu za účelom riadenia bezpečnosti navštívenej inštitúcie majú na to právo. Keď však správca informačného systému vaše údaje použije na iný účel alebo hacker prelomí firewall informačného systému a vaše osobné údaje uniknú, zodpovedný je prevádzkovateľ systému. Úrad na ochranu osobných údajov mu uštedrí veľkú pokutu, ktorá môže byť podľa nového zákona až likvidačných 20 miliónov EUR, peniaze skončia v štátnom rozpočte a vy sa môžete domáhať odškodnenia na súde.

Kladiem si otázku, ako je chránený záujem spotrebiteľa, keď vo finále je odkázaný na individuálne domáhanie sa svojich práv, zatiaľ čo vinníka, ktorý zapríčinil „bezpečnostný incident“, bez problémov skasíruje štát. Poškodený občan neuvidí z pokuty ani cent, hoci štát zarobí.

Po smernici o zakrivení uhoriek a pravidlách o znížení príkonu vysávačov Európska únia opäť vyprodukovala samoúčelný zákon, ktorý komplikuje ľuďom a firmám život a rieši všetko možné, len nie záujmy spotrebiteľov.