Problematika ochrany osobních údajů byla v roce 2018 horkým tématem podobně, jako zavedení nového Občanského zákoníku v roce 2014. v jednom je ale velký rozdíl: Občanský zákoník bylo třeba promítnou do smluv, do některých produktů a poměrně výjimečně do procesů. Dnes ale na něj v podstatě nikdo nemusí myslet. Jako na něj nemyslel před jeho změnou. Oproti tomu GDPR bylo zavedeno práce proto, aby organizace na osobní údaje myslely stále.
Jaké jsou největší změny, které GDPR přineslo? Prvním dopadem je, že si firmy udělaly jasno, jaké osobní údaje vůbec mají. To je krok samozřejmě důležitý, ale sám o sobě žádnou změnu nepřinesl.
Firmy si musely ujasnit, jaké informace skutečně potřebují.
v řadě organizací skutečně usoudili, že mnoho údajů, které dříve uchovávali, nutně (= vůbec) nepotřebují a je jednodušší je nemít, než se o ně starat. Díky tomu GDPR někde dosáhlo svého cíle, a některé firmy se skutečně alespoň části osobních údajů zbavily.
To je ten nejlepší případ.
Firmy vymyslely, proč data mít musí
U mnoha osobních údajů si firmy kreativně zdůvodnily, že je jejich oprávněným zájmem data mít, i když nikde nevysvětlují, co je tím oprávněným zájmem. Bohužel, tomuto přístupu nahrává samo nařízení GDPR, které pojem oprávněného zájmu bez jasného vymezení zavádí.
Mezi nejabsurdnější příklady oprávněného zájmu patří společnost, pro kterou je oprávněným zájmem sbírat data o klientech na dobu neurčitou proto, aby se dokázala vyrovnat s dodavateli. K tomu potřebují telefon i adresu klienta.
To je asi ten nejhorší případ. Kreativita firem v tomto nezná mezí, oprávněným zájmem se může stát téměř cokoli. Kdyby všechny případy chtěl ÚOOÚ řešit, byl by největší ze všech národních úřadů.
Zavedly se nové papíry, šanony a v nich evidence osobních údajů
Podpisy všemožných souhlasů dnes zavalují nejenom nemocnice, ale i školky, školy, ale i všechny prodejce dražšího zboží, typicky automobilů. Paradoxně tím vznikají nové evidence, tentokrát souhlasů a nesouhlasů. A protože jsou většinou i podepsané rukou, obsahující biometrický údaj.
Software GDPR často neřeší
Rozhodně netvrdím, že dodavatelé IT si GDPR nevšimli. Přesně naopak, všimli a moc dobře. Kde to jen trochu šlo, tak vysvětlili klientům, že GDPR je průšvih, ale oni ho umí řešit. Jenomže až v nové verzi systému, která, „ouha“, tentokrát zrovna stojí skoro tolik, jako nový systém. Protože ví, že si ho koupíte. Pak zjistíte, že jste za tu cenu dostali checkbox někde na kartě klienta. Nikdo ho tam nehledá a nenajde a je to ten nejdražší checkbox v celém systému.
Dodavatelé, a samozřejmě ani checkbox neřeší klíčový problém mnoha, pravděpodobně většiny informačních systémů: IS před nějakými 15 lety přestaly mazat data, protože je to drahé, složité a poruchové a chyba se nedá „vrátit“. A tak tam jsou data zpět až do doby, kdy byl systém ještě před produkcí testován, Účty zaměstnanců, klientů, spolupracovníků. Zejména IT umí najít cokoli. Protože to ale nenajde kontrolující úředník, nikdo to nebude řešit, protože by to bylo ještě dražší, než ta data mazat rovnou.
Abychom ale neházeli špínu na softwarové firmy neprávem, tak jim přiznejme, že tím splnily zadání svých zákazníků, kteří nechtěli ani ten checkbox, nechtěli totiž nic. Ze všeho nejméně chtěli přijít o data o svých zákaznících. A kdyby jim dodavatel v systému začal plnit jejich roli správce podle litery zákona, přišel by nejenom o zákazníka, ale dost možná by i platil penále o neplnění SLA týkající se bezpečnosti dat zákazníků.
Webové stránky dostaly dveře
Standardem pro všechny webové stránky se stal otravný souhlas se sdílením všeho, co se stránkám o vás podaří zjistit. Návštěvník musí otevřít dveře, aby se k obsahu dostal, a pokud nechce, aby si web jeho informace propojoval ve světě s dalšími, musí projít tolika nástrahami, že se autoři snad inspirovali v 1. díle Harryho Pottera. Nakonec stejně nevíte, jestli to má smysl. Je to na hraně zákona o defaultním opt-out, ale nikdo to neřeší, protože ostatně většina stránek je psaná právě proto, aby se o vás něco dozvěděla.
Důsledky změn
GDPR přineslo spoustu papírování, IT firmám zisky z nových verzí a lidem možnost říct otravujícímu marketingovému pracovníci do telefonu, že nemá souhlas volat, a pokud si myslí, že ho má, tak že jste mu ho právě odebrali. Bude to nejspíš stejně k ničemu, jako když vám dodavatel IT vydá prohlášení o shodě jeho systému s GDPR legislativou.
Jestli chcete, aby se u vás skutečně zákon dodržoval, ozvěte se nám. Zjistíme, co je možné dělat, a pomůžeme s tím. Určitě to jde bez šanonů navíc, i když se plní povinnosti.