GDPR mýty a realita
A je to tu. GDPR vstúpilo do platnosti a....a nič sa nestalo. A nič sa nestane. Prečo? To sa pokúsim objasniť v tomto článku. Teda hovorím o bežných ľuďoch. Spory s veľkými firmami očakávam.
Príčina vzniku GDPR
GDPR vznikal dlho a bol potrebný, pretože ochrana osobných údajov bola v rámci EU zakotvená ešte v roku 1999, keď o internete a nových technológiach ešte snívalo len pár technologických nadšencov. Ochranu osobných údajov si tak riešil každý štát sám a musím povedať, že naše súčasné zákony na ochranu osobných údajov považujem za príliš skostnatelé a zbytočne prísne. Napríklad súhlas s inštaláciami kamerových systémov, napadnuteľnosť kamerových záznamov úradmi na ochranu osobných údajov, alebo ignorácia súdov kamerových záznamov z áut (v DE však padol pred pár dňami prelomový rozsudok, takže sa to snáď pohlo k lepšiemu).
Fascinuje ma fakt ako aj rozumní ľudia nadávajú už dopredu na GDPR bez toho aby vedeli o čo sa tam jedná. Mne osobne výrazne viac vadia už súčasné, pár rokov platné zákony na ochranu osobných údajov, pretože neriešia napríklad problém spamu, ale dokážu výrazne buzerovať bežného človeka, či firmu.
Zaujímavé...voči týmto častokrát nelogickým zákonom nikto neprotestuje.
Čo prináša GDPR
Je to cca 90 strán textu ak sa nemýlim a čítať sa to chce asi málokomu, takže v stručnosti. GDPR rozširuje lokálne legislatívne úpravy, čiže naše zákony na ochranu osobných údajov o zopár vecí.
Predovšetkým definuje, čo je a čo nie je osobný údaj z pohľadu vývoja spoločnosti. Typickým príkladom je IP adresa, mailová adresa, cookies, nickname a pod. Bohužial tu nastáva hneď prvý problém GDPR a tou je povrchnosť ľudí. Mnoho, hlavne právnikov, keďže nemajú dostatočné znalosti v oblasti IT začalo šíriť nesprávne informácie. Typickým prikladom je tvrdenie, že IP adresa alebo mailová adresa je osobným údajom.
Je alebo nie je?
Áno aj nie. Vo všeobecnosti môžeme tvrdiť, že akýkoľvek online identifikátor, cez ktorý si vieme danú osobu vlastnými legálnymi prostriedkami stotožniť je osobným údajom. GDPR sa v tomto opiera o rozhodnutie Europskeho sudneho dvora z roku 2016 (C582/14), ktoré je tým jediným právnym precedensom, ktorý určuje, čo je a čo nie je osobným údajom.
Názorný príklad IP adresa
IP adresa a jedno, či verejná, statická, dynamická alebo dokonca privátna, ktorú zhromažduje náš Apache server v rámci bežného logovania webové trafficu nie je osobným údajom a tým pádom nepotrebujeme súhlas užívateľa na jeho spracovanie.
Prečo?
Pretože nevieme vlastnými a legálnymi prostriedkami stotožniť konkrétnu osobu s týmto identifikátorom.
A kedy to potom osobným údajom je?
Napríklad v prípade ISP. Poskytovateľ internetu v rámci bežného logovania a siete a v rámci jeho infraštruktúry vie komu bola pridelená, pretože si ju vie zosobniť. Každý užívateľ v rámci siete ISP ma pridelenú svoju IP adresu,ktorá sa nemení a občas sa dokonca dáva aj do zmluvy, či jeho dodatku. Ja ako ISP napríklad píšem IP adresu zákazníka do Prevádzového poriadku, ktorý mi každý zákazník podpisuje pri pripojení. Takisto Polícia, ktorá sa vie nepriamo dostat cez ISP k takýmto údajom legálnou cestou vie danú osobu stotožniť, a preto je to pre ňu vždy osobný údaj.
Príklad s emailom
Zaujímavý je aj príklad s emailom. Kedy je email osobným údajom? Keď si vieme danú osobu stotožniť. Uvediem to na príklade ako som to vysvetľoval na školách. Ak má riaditeľka emailovú schránku meno.priezvisko@skola.sk a táto adresa je uverejnená na stránke škola.sk ako kontaktná adresa na riaditeľku ide o osbný údaj, pretože si ju vieme stotožniť. Ak vám však napíš riaditeľka z emailu meno.priezvisko@gmail.com o osobný údaj nejde, pretože to už nevieme. Dúfam, že každý vníma tento rozdiel dostatočne jasne. Dosť, že kopec advokátov a dokonca aj školiteľov, ktorých najal štát na školenia jeho zamestnancov má v týhto pojmoch hokej a vysvetľovali ich na školeniach zle!
No a kde sú tie prínosy? Predovšetkým GDPR je kladivo na čarodejnice na firmy mimo EU, na ktoré sme doteraz nemali žiaden dosah. Známy je prípad Mario Costeja González vs Google, ktorý požiadal Google o zmazanie odkazov na jeho osobu starých niekoľko rokov. Bol totižto insolventný, medzitým sa pozbieral, ale jeho minulosť ho na Googli dobiehala. Google mu odmietol vyhovieť a musel zasahovať Európsky súdny dvor. Na základe tohoto prípadu pribudlo do GDPR právo byť zabudnutý. Toto právo je síce diskutabilné, ničmenej je to jeden z hlavných prínosov GDPR. Odteraz by nemal byť vážny problém ak požiadate Google, či FB o zmazanie odkazu, fotografie, či iného, pre vás nevhodného údaju. Toto predtým nebolo možné, pretože veľkí giganti na takéto žiadosti väčšinou zvysoka kašlali.
Ďaľší, pre mňa oveľa praktickejší prínos je to, čo určite poznáte zo života. Neprejde týždeň, aby mi niekto nevolal na firemný alebo dokonca aj súkromný telefón s tým, že mi chce niečo predať, chce investovať moje peniaze a pod. Od platnosti GDPR stačí do telefónu vypýtať si emailový kontakt a mailom požiadať o zmazanie kompletných údajov o vašej osobe. Dotieravá firma vám musí vyhovieť, dokonca čisto teoreticky by vám už nikto nemal ani volať, pretože nemá váš súhlas na spracovanie osobných údajov. To isté sa týka emailov a rôznych ponúk hoci pred nimi sme čiastočne chránený už teraz a slušná firma si najprv vyžiada váš súhlas a až potom zasiela ponuku.
Ak budem mať niekedy pocit, že ma nejaká firma obťažuje agresívnym marketingom určite využijem túto novú možnosť.
Oveľa lepšie by mala fungovať aj spolupráca v rámci EU. Ak budete žiadať o vymazanie svojich osobných údajov napríklad rakúsky subjekt bude to riešiť váš štátny úrad na ochranu osobných údajov a rakúsky by mal robiť niečo ako dozor.A možno aj naopak, pretože toto je definované nejasne a je to jedno z otázok,ktorú mi doteraz úrady nezodpovedali.
Negatíva GDPR
Svet nie je biely, nie je čierny a dokonca ani čiernobiely. Neexistujú len dobré a len zlé veci. Takže kde je problém GDPR?
Predovšetkým zlyhal opäť štát. A to ako v ČR ak aj v SR. Kampaň robili skôr euroskeptici, takže nastal klasický bububu efekt. Štát smerom k ľuďom nekomunikoval, školenia smerom k zamestnancom štátnej správy robili ľudia, ktorí snáď GDPR ani nečítali. Najviac som smutný z toho, ža sa na tomto celom zase nabalili špekulanti, ktorí za nekresťanské peniaze predávali copy&paste dokumenty. Napríklad jednej riaditeľke školy ponúkli spracovanie GDPR dokumentácie ku kamerovému systému za 800 eur. Pritom už súčasná dokumentácia je v poriadku a nie je nutné nič dokupovať. Ale samozrejme, čo spraví riaditeľ školy? Zaplatí. A vyžírka sa smeje ako ten istý dokument predáva za 800 eur každému zákazníkovi ako niečo exkluzívne.
Jdu z toho blej velebnosti...
To sa týka bohužiaľ aj súkromného sektora, ale tam mi tých peňazí tak ľúto nie je. A čo štát? Mlčí. Je viac ako smutné, keď som pred istým časom oslovil slovenské a české úrady na ochranu osobných údajov a nedostal doteraz žiadnu odpoveď. Nie sú žiadne kontaktné adresy, žiaden hotline, podpora sa obmedzila na akési FAQ uverenejé na oficiálnych stránkach. Má štát záujem, aby niekto zarábal na takýchto veciach?
Jdu z toho blejt velebnosti II....
Potrebovali sme GDPR vlastne?
Hm, ťažko povedať. Ak by som to mal zhrnúť jednou vetou a odmyslím si opätovné zlyhanie štátu smerom k EU GDPR vítam. Čo nám prinesie v budúcnosti sa úkaže, ako každé nariadenie aj GDPR sa bude dať aj zneužiť a všetko bude záležať od našich úradnikoch. No zbohom.
Zatiaľ GDPR prinieslo len úsmevné veci, v prvý deň vraj žaloby na Google a FB v hodnote 200mld dolárov a mňa osobne veľmi pobavili EU verzie amerických webov (aj amíci sa boja EU) a včera som sa smial, keď ma Yahoo privítal GDPR správou v slovinskom jazyku...ti blbci si nás doteraz mýlia so Slovincami, naštastie som už na to zvyknutý od Canonu, kde si nás kedysi mýlili úplne bežne, takže niektoré slovíčka už po slovinsky ovládam.
Já mám na spoustu zde uvedených věcí jiný názor než ty a GDPR hluboce nevítám. Ne jako občan, který získá "právo na výmaz" a který teď může prudit, aby např. škola odstranila jeho fotku - ale jako správce a zpracovatel.
Vůbec bych nepředjímal rozhodování soudů (až tam nějaké spory doputují), jak je to s IP adresou nebo e-mailem. Murphyho zákon bude platit i tady, co se může pokazit, to se také pokazí. I když v případě GDPR bych použil mnohem expresivnější výraz než "pokazí". Tvůj optimismus, že se nic neděje a nic dít nebude, nesdílím. Ale rád bych se mýlil.
Nediv se (jakkoliv velkým/malým) firmám, že GDPR nemilují. Pokuty jsou "docela srandovní" (až půl mld. Kč) a nějaké tweety lidí z ÚOOÚ, že "ty budou jen pro ty velké nadnárodní, v případě zásadních pochybení", žádné jistoty nikomu nedávají. Když budu mít zájem, zlomyslný zájem, mohu kdejaké porušení GDPR hlásit dnes a denně.
Na rozdíl od benevolentních jedinců si myslím, že podle definice osobního údaje jím může být třeba i nick
. A nemyslím si to jen já, viz např. https://cybercounsel.co.uk/pd/, https://blog.moosend.com/gdpr-compliance-questions/, atd, atd.
-----
"Mýty a realita" z nadpisu, to je hodně odvážné tvrzení, IMHO
S GDPR zijem uz nejaky ten piatok, venoval som mu casu radovo v dnoch, cital, pisal si, telefonoval a bavil sa s desiatkami ludi, ktori chodili po skoleniach alebo priamo skolili.
Ja mam vyhrady voci uz sucasne platnym zakonom na ochranu osobnych udajov, tie zname preipady, ked bol okradnuty clovek pokutovany lebo zverejnil video zlodeja, respektive ho len zhotovil na verjenom priestranstve, alebo, ze sud neuznal nahravku z auta z miesta nehody lebo nebola v sulade so zakonom, alebo, ze zamestnavatel dostal pokutu, zatoze nebol znovuprijaty zamestnanes opakovane pouceny o tej istej byrokratickeh blbosti, o ktorej uz pouceny bol....za toto vsetko sa davaju/davali pokuty uz dnes a vcera.
GDPR je v principe ok, vsetko zalezi na ludoch, ako so pisal v clanku zneuzit sa da cokolvek a niet vacsieho nestastia ako aktivny uradnik-blbec.
Tvoja citacia je znama, pocul som ju v TV a pytal sa na to moderator tej pani z uradu. Je to upravnea citacia zo Zákon č. 101/2000 Sb., a upravil ju niekto tak, aby bola este nepochopitelnejsia ako je v zakone.
A teraz mi povedz ako je na zaklade tvojho nicku viem priamo, ci nepriamo identifikovat teba ako fyzicku osobu?
Jak? Treba tak, ze jako spravce osobnich udaju znas muj nick FRAVOP a e-mail frantisek.voprsalek@seznam.cz, ktery jsem uvedl pri registraci sluzby. Vim, je to ponekud pritazene za vlasy, ale poruseni GDPR nebude posuzovat ajtak, ale pravnik, bazirujici na slovickach.
A ako viem, ze si konkretny Franta Voprsalek a nie nejaky iny? Nijako. A to je ten rozdiel, ze mne nestaci vediet len, ze si Franta Voprsalek, ja musim vediet, ze si konkretny Franta Voprsalek, a preto v tomto pripade nie je email osobnym udajom.
Takže jej klidně můžeš prodávat reklamním agenturám. Všechny e-maily tisíců lidí, kteří se u tebe zaregistrovali. Není to osobní údaj, nespadá to pod GDPR, netřeba se ničeho bát.
To si opravdu myslíš?
Som o tom presvedceny. Navyse ak si cital co som pisal inde vies, ze tento moj nazor podporila aj osoba, ktora u vas GDPR implementovala.
- Nevim jak v Cr, ale zde je stim velky problém (bordel), kde kupriklladu se zapises u nejaké spolecnosti pro internet + Telefon [Orang*, SF* etc] - (zde vzdy davaji k ruteru i pevnou linku) a oni (provider) pak po 100tisicech tak jako i tvé informace prodaji, tvuj mail, tvé telefononi cislo i na mobil, pak dostanes 10-20 volani dene maskovanych cislel komercniho zpusobu, nebo zdvyhnes a nikoho neslysis (toto volani se opkajuje, aby vedeli kdy jsi doma), volani vetsinou pochazi z Maroka, nebo Tunsis, kdyz se jich zeptas, odkud vzaly tvé telefoni cislo, bud neodpovi, nebo zavesi..
* Tady z toho byl velky povyk, kvuli prodavani osobnich informaci, jediné co se od té doby pohlo je to, ze u podepisovani kontratu uplne vzadu malym pismem je o informacich mini upozornovaci oddil = jako ze jste o tom vedeli a souhlasili ze Vase vyplnené informace muzou byt nadale pouzity..
PS : Mobil volani blokuji, pevna linka letela z okna a ted muzou jedine volat tak do diry ve zdi co po nem zbyla.
*To samé u poskytovatele WEBu, kde jsem pronajal WEB a mrd mesic po tom ty vole normalne moje 'jméno', 'adresa', 'telefoni cislo' byly dostupné na googlu uz chybel jen ockovaci prukaz na psa a maji o me vsechno, pritom mam v nastaveni u 1&1 oznaceno/zakrizkovano 'nesdilet osobni informace o majiteli webu'..
Prezvanajuce cudzie cisla z Afriky tu mame uz niekolko mesiacov. Pointa je nikdy nevolat naspat, oni aj tak volaju len tak, ze to raz zazvoni a hned zlozia, aby chudaci neprevolali gate, takze zdvihnut sa mi ich podarilo len asi 1-2x;o).
To s tym webom je pekny priklad zneuzitia osobnych informacii a prave oreti by po zavedeni GDPR mali taketo veci prestat, pretoze by sa po tom malo ist ovela tvrdsie.
• Tady ty "jedno narazovky/zazvoneni", nebude to jen automat, jakoze zkusit jestli cislo existuje ?
• Pak co s tim delaji dal nevim, ale jestli to neni jen k overeni jestli to cislo nekdo vlastni stylu volaci automat (script) "cislo : +33 xxx = true" kdyz zazvoni a "false" kdyz neexistuje, (k cemu staci zminené jen "jedno zazvoneni") pak shromazdi vsechny ty existujici " = true/" treba pro FR (+33) a pak to prodaji nejaké mistni reklamni (a né jen) spolecnosti co pak tyto cisla pouzivaji k reklamnimu podtextu, nabidky telefonich sluzeb komercniho podmetu ("vice zazvoneni" + realna osoba na konci dratu).
* Mozna presmerovat volani do PC a sledovat jejich adresu, prichozi IP v pripade ze jde o internetové volani, které by je IMHO vyslo mnohem levneji .
PS : U toho 1&1 jsem musel zmenit adresu etc, aby na Googlu nebyla zobrazena opravdu moje.
* Uz tam volba nezobrazovat neni clovece (ted jsem se dival) a zmenit mé dosavadni iosobni informace nemohu, jak pak postupovat ?! Sisce jde o WEB ktery nepouzivam nejak vazne, ale jak to pak je, kdyz tu adresu zkratka potrebujes mit spravnou (uz jen kvuli posty, posilani dokumentu ze strany poskytovatele etc) zaplatis cenou PUBLIC informaci o osobne ?
Update : 04/06 : "13h10m"
• Ted sem nasel "z 25 mai 2018" Mas pravdu hned po prihlaseni na server na mne vyskocila informace o prichozi zmene konfidelity k ohledu na [RGPD], od kdyz ze je to v obehu ?
* Zobrazeni info hlasky [RGDP] pri prihlaseni -> nastaveni "osobnich udaju" / Moje kontaktní údaje k 1&1 :
-----
• Jinak diky za (IMHO podstatnou) INFORMACI "dobré vedet" (navic tyka se to vsech) ..
To prezvananie sa robi z ineho dovodu.
Vela ludi je zvedavych, respektive je tak naucenych, ze ked ked mas zmeskany hovor tak volas spat, co cten clovek chcel.
A na tom sa zaraba.
Africky operator nema zmluvu s tvojim operatorom a tak sa za prepojenie sieti plati. Inymi slovami tvoj operator je skasirovany pomerne velkou ciastkou, ze volal do siete africkeho operatora, a preto su tieto hovory casto spoplatnovane po minutach (nie sekundach) a aj par sekundovy hovor ta moze vyjst na par eur.
A teraz si predstav, ze im denne zavola tisic ludi.
Zlata bana pre africkych zmrdov.
Ta definice je primo z GDPR.
Tu sa síce bavíme viacmenej o online svete, ale včera som dcére podpisoval papier do školy ohľadne GDPR a to som len otváral oči s čím všetkým mám súhlasiť, resp. nesúhlasiť.
Celkom zaujímavá v tejto súvislosti je oblasť fotenia. Tak rozmýšľam, že ak napr. Jankovi rodičia nebudú súhlasiť aby škola zhotovovala fotky na ktorých bude, tak všetky fotky z výletov a školských akcií budú a) retušovať b) učiteľka povie "Janko bež do prdele teraz sa fotíme a ty sa nemôžeš" alebo za c) škola na to rezignuje a fotky už nebudeme mať žiadne?
Čo tak pozerám po webe, aj svadobní fotografi z toho majú dosť zmätok.
i korporát nám vygeneroval dotazník.
neopisoval jsem si ho, ale podstatné body k zatržení byly tyto:
- souhlasím s publikováním svých foto / video v interních publikacích (na intranetu): ano - ne
- souhlasím s publikováním svých foto / video na firemních sockách (pro všechy uživatele internetu): ano - ne.
ať už to dopadlo jak chtělo, chcípnulo interní zobrazení uživatelů + jejich fotek. takže pokud hledám někoho z cizího kanclu, vůbec netuším jak to má vypadat.
Shodou okolností zrovna o tomhle něco vím. Škola může klidně fotit, pokud pod fotkou (nebo ve fotce) nebude jméno žáka (např. Janko Matúško skáče přes švihadlo), popř. nepůjde o jednoznačně identifikující fotku. Naopak dokumentační foto (celá třída, celá škola, školní akce, kde podstatou není samotný žák, ale zadokumentování události) je zcela OK.
Celkom nesuhlasim. Škola nepotrebovala ex-ante suhlas ani predtym a nepotrebuje ho ani teraz. Navyse verejne publikovanie fotiek riešil zákon uz davno pred GDPR.
Podstatna zmena je práve v zjednoteni postihu napriklad pri porušení prava na zabudnutie. Toto zakon predtym riesil nejednoznacne a domoct prava sa dalo len na sude. Teraz moze/musi zasiahnuť už Urad na ochranu osobných údajov, ktory dostal s GDPR nove väčšie právomoci.
To, ze si školy, ci hocikto iny dáva podpisovať suhlas uz dopredu je len preventivna obrana pri pripadnom buducom spore.
Tu je prave to zlyhanie statu smerom k obcanom, pretoze svadobni fotografi mat ziaden zmatok nemuseli mat keby stat zvladol lepsie svoju ulohu v tomto procese.
Reportazne fotografie (kam svadobne fotografie, alebo fotografie zo skolskych akcii patria) nepotrebuju ziadne zvlastne GDPR povolenie, pretoze ho npotrebovali ani predtym a ohladom takychto fotografii tu mame uz z minulosti niekolko rozsudkov.
Samozrejme rodic, alebo niekto z tej svadby moze zazalovat skolu/fotografa, ale jeho sanca na uspech na sude je v tomto pripade skoro nulova.