Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem GDPR mýty a realita

A je to tu. GDPR vstúpilo do platnosti a....a nič sa nestalo. A nič sa nestane. Prečo? To sa pokúsim objasniť v tomto článku. Teda hovorím o bežných ľuďoch. Spory s veľkými firmami očakávam.

Príčina vzniku GDPR

GDPR vznikal dlho a bol potrebný, pretože ochrana osobných údajov bola v rámci EU zakotvená ešte v roku 1999, keď o internete a nových technológiach ešte snívalo len pár technologických nadšencov. Ochranu osobných údajov si tak riešil každý štát sám a musím povedať, že naše súčasné zákony na ochranu osobných údajov považujem za príliš skostnatelé a zbytočne prísne. Napríklad súhlas s inštaláciami kamerových systémov, napadnuteľnosť kamerových záznamov úradmi na ochranu osobných údajov, alebo ignorácia súdov kamerových záznamov z áut (v DE však padol pred pár dňami prelomový rozsudok, takže sa to snáď pohlo k lepšiemu).
Fascinuje ma fakt ako aj rozumní ľudia nadávajú už dopredu na GDPR bez toho aby vedeli o čo sa tam jedná. Mne osobne výrazne viac vadia už súčasné, pár rokov platné zákony na ochranu osobných údajov, pretože neriešia napríklad problém spamu, ale dokážu výrazne buzerovať bežného človeka, či firmu.
Zaujímavé...voči týmto častokrát nelogickým zákonom nikto neprotestuje.

Čo prináša GDPR

Je to cca 90 strán textu ak sa nemýlim a čítať sa to chce asi málokomu, takže v stručnosti. GDPR rozširuje lokálne legislatívne úpravy, čiže naše zákony na ochranu osobných údajov o zopár vecí.
Predovšetkým definuje, čo je a čo nie je osobný údaj z pohľadu vývoja spoločnosti. Typickým príkladom je IP adresa, mailová adresa, cookies, nickname a pod. Bohužial tu nastáva hneď prvý problém GDPR a tou je povrchnosť ľudí. Mnoho, hlavne právnikov, keďže nemajú dostatočné znalosti v oblasti IT začalo šíriť nesprávne informácie. Typickým prikladom je tvrdenie, že IP adresa alebo mailová adresa je osobným údajom.
Je alebo nie je?
Áno aj nie. Vo všeobecnosti môžeme tvrdiť, že akýkoľvek online identifikátor, cez ktorý si vieme danú osobu vlastnými legálnymi prostriedkami stotožniť je osobným údajom. GDPR sa v tomto opiera o rozhodnutie Europskeho sudneho dvora z roku 2016 (C582/14), ktoré je tým jediným právnym precedensom, ktorý určuje, čo je a čo nie je osobným údajom.

Názorný príklad IP adresa

IP adresa a jedno, či verejná, statická, dynamická alebo dokonca privátna, ktorú zhromažduje náš Apache server v rámci bežného logovania webové trafficu nie je osobným údajom a tým pádom nepotrebujeme súhlas užívateľa na jeho spracovanie.
Prečo?
Pretože nevieme vlastnými a legálnymi prostriedkami stotožniť konkrétnu osobu s týmto identifikátorom.
A kedy to potom osobným údajom je?
Napríklad v prípade ISP. Poskytovateľ internetu v rámci bežného logovania a siete a v rámci jeho infraštruktúry vie komu bola pridelená, pretože si ju vie zosobniť. Každý užívateľ v rámci siete ISP ma pridelenú svoju IP adresu,ktorá sa nemení a občas sa dokonca dáva aj do zmluvy, či jeho dodatku. Ja ako ISP napríklad píšem IP adresu zákazníka do Prevádzového poriadku, ktorý mi každý zákazník podpisuje pri pripojení. Takisto Polícia, ktorá sa vie nepriamo dostat cez ISP k takýmto údajom legálnou cestou vie danú osobu stotožniť, a preto je to pre ňu vždy osobný údaj.

Príklad s emailom

Zaujímavý je aj príklad s emailom. Kedy je email osobným údajom? Keď si vieme danú osobu stotožniť. Uvediem to na príklade ako som to vysvetľoval na školách. Ak má riaditeľka emailovú schránku meno.priezvisko@skola.sk a táto adresa je uverejnená na stránke škola.sk ako kontaktná adresa na riaditeľku ide o osbný údaj, pretože si ju vieme stotožniť. Ak vám však napíš riaditeľka z emailu meno.priezvisko@gmail.com o osobný údaj nejde, pretože to už nevieme. Dúfam, že každý vníma tento rozdiel dostatočne jasne. Dosť, že kopec advokátov a dokonca aj školiteľov, ktorých najal štát na školenia jeho zamestnancov má v týhto pojmoch hokej a vysvetľovali ich na školeniach zle!

[82461-gdpr-jpg]

No a kde sú tie prínosy? Predovšetkým GDPR je kladivo na čarodejnice na firmy mimo EU, na ktoré sme doteraz nemali žiaden dosah. Známy je prípad Mario Costeja González vs Google, ktorý požiadal Google o zmazanie odkazov na jeho osobu starých niekoľko rokov. Bol totižto insolventný, medzitým sa pozbieral, ale jeho minulosť ho na Googli dobiehala. Google mu odmietol vyhovieť a musel zasahovať Európsky súdny dvor. Na základe tohoto prípadu pribudlo do GDPR právo byť zabudnutý. Toto právo je síce diskutabilné, ničmenej je to jeden z hlavných prínosov GDPR. Odteraz by nemal byť vážny problém ak požiadate Google, či FB o zmazanie odkazu, fotografie, či iného, pre vás nevhodného údaju. Toto predtým nebolo možné, pretože veľkí giganti na takéto žiadosti väčšinou zvysoka kašlali.
Ďaľší, pre mňa oveľa praktickejší prínos je to, čo určite poznáte zo života. Neprejde týždeň, aby mi niekto nevolal na firemný alebo dokonca aj súkromný telefón s tým, že mi chce niečo predať, chce investovať moje peniaze a pod. Od platnosti GDPR stačí do telefónu vypýtať si emailový kontakt a mailom požiadať o zmazanie kompletných údajov o vašej osobe. Dotieravá firma vám musí vyhovieť, dokonca čisto teoreticky by vám už nikto nemal ani volať, pretože nemá váš súhlas na spracovanie osobných údajov. To isté sa týka emailov a rôznych ponúk hoci pred nimi sme čiastočne chránený už teraz a slušná firma si najprv vyžiada váš súhlas a až potom zasiela ponuku.
Ak budem mať niekedy pocit, že ma nejaká firma obťažuje agresívnym marketingom určite využijem túto novú možnosť.
Oveľa lepšie by mala fungovať aj spolupráca v rámci EU. Ak budete žiadať o vymazanie svojich osobných údajov napríklad rakúsky subjekt bude to riešiť váš štátny úrad na ochranu osobných údajov a rakúsky by mal robiť niečo ako dozor.A možno aj naopak, pretože toto je definované nejasne a je to jedno z otázok,ktorú mi doteraz úrady nezodpovedali.:-)

Negatíva GDPR

Svet nie je biely, nie je čierny a dokonca ani čiernobiely. Neexistujú len dobré a len zlé veci. Takže kde je problém GDPR?
Predovšetkým zlyhal opäť štát. A to ako v ČR ak aj v SR. Kampaň robili skôr euroskeptici, takže nastal klasický bububu efekt. Štát smerom k ľuďom nekomunikoval, školenia smerom k zamestnancom štátnej správy robili ľudia, ktorí snáď GDPR ani nečítali. Najviac som smutný z toho, ža sa na tomto celom zase nabalili špekulanti, ktorí za nekresťanské peniaze predávali copy&paste dokumenty. Napríklad jednej riaditeľke školy ponúkli spracovanie GDPR dokumentácie ku kamerovému systému za 800 eur. Pritom už súčasná dokumentácia je v poriadku a nie je nutné nič dokupovať. Ale samozrejme, čo spraví riaditeľ školy? Zaplatí. A vyžírka sa smeje ako ten istý dokument predáva za 800 eur každému zákazníkovi ako niečo exkluzívne.
Jdu z toho blej velebnosti...
To sa týka bohužiaľ aj súkromného sektora, ale tam mi tých peňazí tak ľúto nie je. A čo štát? Mlčí. Je viac ako smutné, keď som pred istým časom oslovil slovenské a české úrady na ochranu osobných údajov a nedostal doteraz žiadnu odpoveď. Nie sú žiadne kontaktné adresy, žiaden hotline, podpora sa obmedzila na akési FAQ uverenejé na oficiálnych stránkach. Má štát záujem, aby niekto zarábal na takýchto veciach?
Jdu z toho blejt velebnosti II....

Potrebovali sme GDPR vlastne?

Hm, ťažko povedať. Ak by som to mal zhrnúť jednou vetou a odmyslím si opätovné zlyhanie štátu smerom k EU GDPR vítam. Čo nám prinesie v budúcnosti sa úkaže, ako každé nariadenie aj GDPR sa bude dať aj zneužiť a všetko bude záležať od našich úradnikoch. No zbohom. 8-)
Zatiaľ GDPR prinieslo len úsmevné veci, v prvý deň vraj žaloby na Google a FB v hodnote 200mld dolárov a mňa osobne veľmi pobavili EU verzie amerických webov (aj amíci sa boja EU:-)) a včera som sa smial, keď ma Yahoo privítal GDPR správou v slovinskom jazyku...ti blbci si nás doteraz mýlia so Slovincami, naštastie som už na to zvyknutý od Canonu, kde si nás kedysi mýlili úplne bežne, takže niektoré slovíčka už po slovinsky ovládam.

Komentář k článku

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články