ROZHOVOR: Rok s GDPR. Co nám dalo a vzalo? Zeptali jsme se Jana Slaniny, experta na ochranu dat z Creative Docku


Honza Slanina se může pochlubit více než 15letou praxí v oblasti ochrany dat a financí, z toho 8 lety v bance ČSOB. Pokud chcete něco vědět o GDPR (Obecné nařízení o ochraně osobních údajů neboli anglicky General Data Protection Regulation), jeho vzniku, slabinách nebo reálných dopadech na startupy, je jedním z vůbec nejpovolanějších. Jak hluboko se za necelý rok života podařilo obecnému nařízení známému pod zkratkou GDPR proniknout do našich životů? Na to jsme se pokusili společně najít odpověď.


Vnímal jste vlnu hysterie, kterou zrození GDPR 25. května 2018 vyvolalo?

Rozhodně a tahle vlna pořád ještě následky přináší. Vždy si na prvním místě vybavím zklamané obličeje dětí ve školce, kterým učitelky řekly, že letos už nebude Medvídek Světoběžník.

...Medvídek Světoběžník?

Aha, asi ještě nemáte děti, protože Světoběžníka znají všichni rodiče. Je to medvídek z jednoho dílu seriálu Prasátko Peppa, kde děti ve třídě mají plyšového medvídka, kterého si na víkend vždy vezme jedna rodina, a do kroniky, kterou má medvídek s sebou, se píše, co s tou rodinou zažil. Toto se chytilo i ve školkách - my jsme cyklisti, tak jsme medvídka vždycky vzali na nějaký cyklovýlet. Děti z toho bylo nadšené, v kronice se objevovaly zajímavé příběhy z jeho cest, bylo to prostě pěkné.

Ale přišlo GDPR.

A pak přišlo GDPR a paní učitelky se lekly - Aha, zpracování osobních údajů! A v té knížce jsou osobní údaje, takže ji raději zrušíme.

Určitě chtěly mít jistotu, že se nedostanou do problémů.

To ano, ale ani já z pohledu GDPR specialisty jsem se ještě pořád nerozhodl, jestli toto vůbec je zpracování osobních údajů, na které se GDPR vztahuje.

Proč by se nevztahovalo?

Nařízení GDPR bylo napsáno především s ohledem na dva případy shromažďování osobních údajů. Tím prvním jsou data zpracovávaná automaticky, což se vztahuje například na náš oblíbený Facebook a všechny ostatní sociální sítě. Tím druhým jsou údaje ukládané v kartotéce, což určitě splňují data zpracovávaná v archivu správy sociálního zabezpečení, která do polic musí zakládat vysokozdvižné vozíky.

Takže GDPR nepostihuje napsání jména do nějaké oběžné knížky?

Myslím si, že ne. Ale i kdyby postihovalo, tak je toto zpracování naprosto neškodné a stačí o něm udělat jeden jednoduchý záznam do evidence zpracování osobních údajů. Vždyť rodiče mají naprostou kontrolu nad množstvím údajů, které tam uvedou - nikdo je nenutí tam psát celé jméno ani přesnou adresu. Bohatě postačí „Medvídek byl u Aničky”.

Co ale stojí za tím, že GDPR u nás budí tak silné emoce a tlačí lidi do opravdu radikálních opatření?

Je potřeba si přiznat, že se u nás na ochranu osobních údajů dlouho kašlalo. Těžko říct, jestli to je dědictví komunismu, kdy lidé byli zvyklí, že je režim tak trochu šmíruje, nebo pozůstatek našeho hujerského kapitalismu 90. let. Když se v roce 2001 přijímal zákon o ochraně osobních údajů, který transponoval evropskou směrnici, tak ani tehdy to nikdo moc neřešil. Až s GDPR v roce 2018 se tohle téma naplno otevřelo.

Přijde mi, že v sousedních evropských zemích tato směrnice ale tolik vášní nerozbouřila. Proč u nás ano?

V evropských zemích byl vývoj jiný. Tam měli ochranu osobních údajů mnohem lépe ošetřenou a GDPR pro ně znamenalo evoluci, ne revoluci. Už od roku 1998 se z evropských směrnic dalo vyčíst, že máme právo být informování o zpracovávání osobních údajů, dokonce i právo být zapomenut. Řada z nás to ignorovala a bouři spustilo až GDPR s výhružkou masivních pokut.

Máte pocit, že výše pokut byla tím budíčkem?

My jsme tu byli zvyklí na pokuty od státních úřadů v řádech desetitisíců. Už před GDPR u nás byl strop pokut za porušení ochrany osobních údajů 10 milionů korun, ale reálně této výše nikdy nedosáhly. T-Mobile v roce 2016 dostal pokutu 3,6 milionů korun, za to, že jejich zaměstnanec ukradl data více než milionu uživatelů. Už tato částka byl šokující, ačkoliv vlastně nevím, kdo jiný by měl dostat více. Takže jistým způsobem cifry v řádech milionů eur mohly být tím impulzem.

Je to ale fér? Není to zbytečně přísné?

Tak z určitého úhlu pohledu se zdá, že 10 milionů eur je pro českou firmu citelnější než pro německou. Na druhou stranu se pokuty budou vždy uplatňovat v rámci našeho ústavního pořádku, takže tyto sankce nesmí být vyloženě likvidační. Když ale řeknete akcionářům, že je tu riziko pokuty ve výši až 4 % globálního obratu, tak je to určitě zvedne ze židle.

 

Pedikérka vs. Nejbohatší korporace

Je GDPR krokem správným směrem?

Ďábel se skrývá v detailu - když bylo nařízení přijímáno v Evropském parlamentu, všichni před očima měli Google a Facebook. U nich regulace určitě dává smysl, protože my vlastně vůbec nemáme kontrolu nad tím, jaká naše osobní data tyhle společnosti shromažďují a k čemu je využívají. Z tohoto úhlu pohledu považuji myšlenku GDPR, a vlastně i předchozích směrnic, za nezpochybnitelně správnou.

Co přesně je jim v rámci ochrany osobních dat nařizováno?

Facebook by měl uživatelům prostě říct, co všechno bude s našimi údaji dělat, a my si zvážíme, zda to chceme nebo už ne. Uživatel se nemůže rozhodovat o něčem, u čeho netuší ani základní podstatu - jaké údaje sociální sítě shromažďují a k čemu je používají. Osobně bych si raději vybral placenou variantu bez poskytování svých osobních dat k reklamním účelům a souhlas nepodepisoval, ale to nikdo nenabízí.

Je pravda, že za poslední dobu jsem takových souhlasů se zpracováním osobních údajů zaškrtnul nebo ručně podepsal nepočítaně.

A to je možná další následek té hysterie. Na zpracování údajů, které firma nutně potřebuje pro účely plnění smlouvy, souhlas nepotřebuje. Ale pokud zákazníkům poskytuje něco zdarma, což samozřejmě nikdy tak úplně zdarma není, tak by jim měla také říct, jak a co bude s jejich osobními údaji provádět dále. Otázkou je, do jakého detailu budou Google, Facebook či banky ochotni nás nechat nahlédnout do fungování jejich algoritmů.

Je tedy správně nechat zákazníky podepsat souhlas?

V situaci, kdy zpracovávám jen údaje nutné k plnění smlouvy, tak je to spíš na škodu. Zákazník může odvolat souhlas se zpracováním svých údajů a smlouvu nevypovědět, což mě přivede do velmi komplikované situace. Automatické přesvědčení, že podepsaný papír bude jistější, tak není úplně na místě. Pokud ale žádná smlouva uzavřená není, nebo se jí zpracovávané údaje přímo netýkají, potom je souhlas nutný.

Předpokládám, že tu jsou další oblasti, kde se nařízení malinko vymklo kontrole?

Při schvalování GDPR nikdo nemyslel třeba na to, že tu je na rohu pedikérka, která zpracovává zdravotní údaje svých klientů. To je z pohledu osobních údajů hodnoceno velmi přísně a nese s sebou dodatečné povinnosti. Třeba to, že pedikérka nyní musí šifrovat svůj disk a všechny údaje řádně zálohovat, což je běžná praxe u Googlu a Facebooku, ale nahánět takto pedikérku mi přijde už za hranou.

Kde vidíte největší problém současného nařízení o ochraně osobních údajů?

V první řadě se nemělo přijmout obecné nařízení. Z podstaty věci je velice vágní, to nejde udělat jinak. Nikdo třeba neřekl, že to rozpracujeme po částech pro různé oblasti. A do toho se také zaspalo s komunikací.

Jak myslíte zaspalo?

Zpočátku nikdo nevysvětloval, co přesně bude GDPR pro podniky znamenat. S tím se intenzivně začalo až po tom, co se vyrojili konzultanti s business modelem „vystrašit a vyfakturovat”. Tím se zaselo semínko nedůvěry a rozdělilo podnikatele na ty, kteří raději zaplatili výpalné a měli relativní klid, a ty, kdo nad tím mávli rukou a řekli si, že to nějak dopadne.

Může podnik dnes hrdě prohlásit, že si je na 100 procent jistý tím, že své povinnosti vyplývající z GDPR perfektně splňuje?

Obávám se, že v současné době v tomto stavu ještě nejsme a nejspíš se tam brzy ani nedostaneme. Budeme dlouho čekat na nové rozsudky a judikáty, které nám určí, jak některé problémy řešit, což s ohledem na všechny opravné prostředky může trvat klidně do roku 2025.

 

GDPR a Creative Dock

V rámci kterého projektu bylo GDPR pro Creative Dock největší výzvou?

Zajímavé to bylo u projektu SingleCase, což je vlastně cloud pro advokátní kanceláře, který umožňuje online správu všech spisů. Právní dokumenty a komunikace klienta se svým advokátem patří mezi nejsvatější tajemství, jaké náš právní systém zná. Stáli jsme před Sophiinou volbou, jak to vyřešit.

Můžete nastínit, jak se to povedlo?

V první řadě my jako poskytovatel služby se k těmto osobním údajům nikdy nedostaneme. V cloudu jsou dokumenty kanceláře zahashovány privátním klíčem, který má pouze klient. Nese to s sebou tu nevýhodu, že pokud si klíč smaže, tak přišel o všechna data své kanceláře. Nám nezbývá nic jiného, než na začátku klienta několikrát upozornit, ať si klíč vytiskne a uloží ho třeba do bankovního sejfu. To krásně ilustruje těžké volby, před které podniky ochrana dat staví.

Je nějaký příklad, kde nám GDPR možnost volby prakticky sebralo?

Napadá mě třeba outsourcing call center mimo EU, kdy například indické společnosti umožňujete přístup do CRM systému k nákupní historii zákazníků. Tento model spolupráce GDPR prakticky znemožnilo, protože firma si musí ověřit schopnosti zpracovatele předávané údaje ochránit, a uzavřít s firmou mimo EU docela konkrétní smlouvu. Pokud to ověřit nedokáže, data uživatelů mu poskytovat nesmí. A já si neumím ani představit, jak by to šlo vlastně splnit.

Co by se mělo stát, aby se situace kolem GDPR zlepšila?

Bude potřeba precizovat mechanismy fungování GDPR a dále je vysvětlovat nejspíš pomocí právních výkladů a stanovisek. Ty by měly jít konkrétnější cestou, kterou jde například chystané nařízení ePrivacy garantující práva v oblasti elektronické komunikace, konkrétně v oblasti obchodních sdělení. Tím, že nařízení o ePrivacy upravuje detailně vymezenou oblast, umí být jednoduše čitelné a předvídatelné, což se o obecné úpravě GDPR zatím říct nedá.

A jestli vás zajímá víc, koukněte na praktické tipy, jak na GDPR připravit každou firmu.


Autor: Matyáš Vejskal
Foto: archiv Creative Dock