Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem GDPR mýty a realita

A je to tu. GDPR vstúpilo do platnosti a....a nič sa nestalo. A nič sa nestane. Prečo? To sa pokúsim objasniť v tomto článku. Teda hovorím o bežných ľuďoch. Spory s veľkými firmami očakávam.

Príčina vzniku GDPR

GDPR vznikal dlho a bol potrebný, pretože ochrana osobných údajov bola v rámci EU zakotvená ešte v roku 1999, keď o internete a nových technológiach ešte snívalo len pár technologických nadšencov. Ochranu osobných údajov si tak riešil každý štát sám a musím povedať, že naše súčasné zákony na ochranu osobných údajov považujem za príliš skostnatelé a zbytočne prísne. Napríklad súhlas s inštaláciami kamerových systémov, napadnuteľnosť kamerových záznamov úradmi na ochranu osobných údajov, alebo ignorácia súdov kamerových záznamov z áut (v DE však padol pred pár dňami prelomový rozsudok, takže sa to snáď pohlo k lepšiemu).
Fascinuje ma fakt ako aj rozumní ľudia nadávajú už dopredu na GDPR bez toho aby vedeli o čo sa tam jedná. Mne osobne výrazne viac vadia už súčasné, pár rokov platné zákony na ochranu osobných údajov, pretože neriešia napríklad problém spamu, ale dokážu výrazne buzerovať bežného človeka, či firmu.
Zaujímavé...voči týmto častokrát nelogickým zákonom nikto neprotestuje.

Čo prináša GDPR

Je to cca 90 strán textu ak sa nemýlim a čítať sa to chce asi málokomu, takže v stručnosti. GDPR rozširuje lokálne legislatívne úpravy, čiže naše zákony na ochranu osobných údajov o zopár vecí.
Predovšetkým definuje, čo je a čo nie je osobný údaj z pohľadu vývoja spoločnosti. Typickým príkladom je IP adresa, mailová adresa, cookies, nickname a pod. Bohužial tu nastáva hneď prvý problém GDPR a tou je povrchnosť ľudí. Mnoho, hlavne právnikov, keďže nemajú dostatočné znalosti v oblasti IT začalo šíriť nesprávne informácie. Typickým prikladom je tvrdenie, že IP adresa alebo mailová adresa je osobným údajom.
Je alebo nie je?
Áno aj nie. Vo všeobecnosti môžeme tvrdiť, že akýkoľvek online identifikátor, cez ktorý si vieme danú osobu vlastnými legálnymi prostriedkami stotožniť je osobným údajom. GDPR sa v tomto opiera o rozhodnutie Europskeho sudneho dvora z roku 2016 (C582/14), ktoré je tým jediným právnym precedensom, ktorý určuje, čo je a čo nie je osobným údajom.

Názorný príklad IP adresa

IP adresa a jedno, či verejná, statická, dynamická alebo dokonca privátna, ktorú zhromažduje náš Apache server v rámci bežného logovania webové trafficu nie je osobným údajom a tým pádom nepotrebujeme súhlas užívateľa na jeho spracovanie.
Prečo?
Pretože nevieme vlastnými a legálnymi prostriedkami stotožniť konkrétnu osobu s týmto identifikátorom.
A kedy to potom osobným údajom je?
Napríklad v prípade ISP. Poskytovateľ internetu v rámci bežného logovania a siete a v rámci jeho infraštruktúry vie komu bola pridelená, pretože si ju vie zosobniť. Každý užívateľ v rámci siete ISP ma pridelenú svoju IP adresu,ktorá sa nemení a občas sa dokonca dáva aj do zmluvy, či jeho dodatku. Ja ako ISP napríklad píšem IP adresu zákazníka do Prevádzového poriadku, ktorý mi každý zákazník podpisuje pri pripojení. Takisto Polícia, ktorá sa vie nepriamo dostat cez ISP k takýmto údajom legálnou cestou vie danú osobu stotožniť, a preto je to pre ňu vždy osobný údaj.

Príklad s emailom

Zaujímavý je aj príklad s emailom. Kedy je email osobným údajom? Keď si vieme danú osobu stotožniť. Uvediem to na príklade ako som to vysvetľoval na školách. Ak má riaditeľka emailovú schránku meno.priezvisko@skola.sk a táto adresa je uverejnená na stránke škola.sk ako kontaktná adresa na riaditeľku ide o osbný údaj, pretože si ju vieme stotožniť. Ak vám však napíš riaditeľka z emailu meno.priezvisko@gmail.com o osobný údaj nejde, pretože to už nevieme. Dúfam, že každý vníma tento rozdiel dostatočne jasne. Dosť, že kopec advokátov a dokonca aj školiteľov, ktorých najal štát na školenia jeho zamestnancov má v týhto pojmoch hokej a vysvetľovali ich na školeniach zle!

[82461-gdpr-jpg]

No a kde sú tie prínosy? Predovšetkým GDPR je kladivo na čarodejnice na firmy mimo EU, na ktoré sme doteraz nemali žiaden dosah. Známy je prípad Mario Costeja González vs Google, ktorý požiadal Google o zmazanie odkazov na jeho osobu starých niekoľko rokov. Bol totižto insolventný, medzitým sa pozbieral, ale jeho minulosť ho na Googli dobiehala. Google mu odmietol vyhovieť a musel zasahovať Európsky súdny dvor. Na základe tohoto prípadu pribudlo do GDPR právo byť zabudnutý. Toto právo je síce diskutabilné, ničmenej je to jeden z hlavných prínosov GDPR. Odteraz by nemal byť vážny problém ak požiadate Google, či FB o zmazanie odkazu, fotografie, či iného, pre vás nevhodného údaju. Toto predtým nebolo možné, pretože veľkí giganti na takéto žiadosti väčšinou zvysoka kašlali.
Ďaľší, pre mňa oveľa praktickejší prínos je to, čo určite poznáte zo života. Neprejde týždeň, aby mi niekto nevolal na firemný alebo dokonca aj súkromný telefón s tým, že mi chce niečo predať, chce investovať moje peniaze a pod. Od platnosti GDPR stačí do telefónu vypýtať si emailový kontakt a mailom požiadať o zmazanie kompletných údajov o vašej osobe. Dotieravá firma vám musí vyhovieť, dokonca čisto teoreticky by vám už nikto nemal ani volať, pretože nemá váš súhlas na spracovanie osobných údajov. To isté sa týka emailov a rôznych ponúk hoci pred nimi sme čiastočne chránený už teraz a slušná firma si najprv vyžiada váš súhlas a až potom zasiela ponuku.
Ak budem mať niekedy pocit, že ma nejaká firma obťažuje agresívnym marketingom určite využijem túto novú možnosť.
Oveľa lepšie by mala fungovať aj spolupráca v rámci EU. Ak budete žiadať o vymazanie svojich osobných údajov napríklad rakúsky subjekt bude to riešiť váš štátny úrad na ochranu osobných údajov a rakúsky by mal robiť niečo ako dozor.A možno aj naopak, pretože toto je definované nejasne a je to jedno z otázok,ktorú mi doteraz úrady nezodpovedali.:-)

Negatíva GDPR

Svet nie je biely, nie je čierny a dokonca ani čiernobiely. Neexistujú len dobré a len zlé veci. Takže kde je problém GDPR?
Predovšetkým zlyhal opäť štát. A to ako v ČR ak aj v SR. Kampaň robili skôr euroskeptici, takže nastal klasický bububu efekt. Štát smerom k ľuďom nekomunikoval, školenia smerom k zamestnancom štátnej správy robili ľudia, ktorí snáď GDPR ani nečítali. Najviac som smutný z toho, ža sa na tomto celom zase nabalili špekulanti, ktorí za nekresťanské peniaze predávali copy&paste dokumenty. Napríklad jednej riaditeľke školy ponúkli spracovanie GDPR dokumentácie ku kamerovému systému za 800 eur. Pritom už súčasná dokumentácia je v poriadku a nie je nutné nič dokupovať. Ale samozrejme, čo spraví riaditeľ školy? Zaplatí. A vyžírka sa smeje ako ten istý dokument predáva za 800 eur každému zákazníkovi ako niečo exkluzívne.
Jdu z toho blej velebnosti...
To sa týka bohužiaľ aj súkromného sektora, ale tam mi tých peňazí tak ľúto nie je. A čo štát? Mlčí. Je viac ako smutné, keď som pred istým časom oslovil slovenské a české úrady na ochranu osobných údajov a nedostal doteraz žiadnu odpoveď. Nie sú žiadne kontaktné adresy, žiaden hotline, podpora sa obmedzila na akési FAQ uverenejé na oficiálnych stránkach. Má štát záujem, aby niekto zarábal na takýchto veciach?
Jdu z toho blejt velebnosti II....

Potrebovali sme GDPR vlastne?

Hm, ťažko povedať. Ak by som to mal zhrnúť jednou vetou a odmyslím si opätovné zlyhanie štátu smerom k EU GDPR vítam. Čo nám prinesie v budúcnosti sa úkaže, ako každé nariadenie aj GDPR sa bude dať aj zneužiť a všetko bude záležať od našich úradnikoch. No zbohom. 8-)
Zatiaľ GDPR prinieslo len úsmevné veci, v prvý deň vraj žaloby na Google a FB v hodnote 200mld dolárov a mňa osobne veľmi pobavili EU verzie amerických webov (aj amíci sa boja EU:-)) a včera som sa smial, keď ma Yahoo privítal GDPR správou v slovinskom jazyku...ti blbci si nás doteraz mýlia so Slovincami, naštastie som už na to zvyknutý od Canonu, kde si nás kedysi mýlili úplne bežne, takže niektoré slovíčka už po slovinsky ovládam.

Jsou zobrazeny jen nové komentáře. Zobrazit všechny
Předmět Autor Datum
Tu sa síce bavíme viacmenej o online svete, ale včera som dcére podpisoval papier do školy ohľadne G…
deadhead 07.06.2018 13:44
deadhead
i korporát nám vygeneroval dotazník. neopisoval jsem si ho, ale podstatné body k zatržení byly tyto:… nový
lední brtník 09.06.2018 01:01
lední brtník
Shodou okolností zrovna o tomhle něco vím. Škola může klidně fotit, pokud pod fotkou (nebo ve fotce)… nový
touchwood 23.06.2018 23:02
touchwood
Celkom nesuhlasim. Škola nepotrebovala ex-ante suhlas ani predtym a nepotrebuje ho ani teraz. Navyse… nový
fleg-sk 25.06.2018 07:19
fleg-sk
Čo tak pozerám po webe, aj svadobní fotografi z toho majú dosť zmätok. Tu je prave to zlyhanie stat… poslední
fleg 10.07.2018 09:06
fleg

Tu sa síce bavíme viacmenej o online svete, ale včera som dcére podpisoval papier do školy ohľadne GDPR a to som len otváral oči s čím všetkým mám súhlasiť, resp. nesúhlasiť.
Celkom zaujímavá v tejto súvislosti je oblasť fotenia. Tak rozmýšľam, že ak napr. Jankovi rodičia nebudú súhlasiť aby škola zhotovovala fotky na ktorých bude, tak všetky fotky z výletov a školských akcií budú a) retušovať b) učiteľka povie "Janko bež do prdele teraz sa fotíme a ty sa nemôžeš" alebo za c) škola na to rezignuje a fotky už nebudeme mať žiadne?
Čo tak pozerám po webe, aj svadobní fotografi z toho majú dosť zmätok.

i korporát nám vygeneroval dotazník.
neopisoval jsem si ho, ale podstatné body k zatržení byly tyto:
- souhlasím s publikováním svých foto / video v interních publikacích (na intranetu): ano - ne
- souhlasím s publikováním svých foto / video na firemních sockách (pro všechy uživatele internetu): ano - ne.

ať už to dopadlo jak chtělo, chcípnulo interní zobrazení uživatelů + jejich fotek. takže pokud hledám někoho z cizího kanclu, vůbec netuším jak to má vypadat.

Shodou okolností zrovna o tomhle něco vím. Škola může klidně fotit, pokud pod fotkou (nebo ve fotce) nebude jméno žáka (např. Janko Matúško skáče přes švihadlo), popř. nepůjde o jednoznačně identifikující fotku. Naopak dokumentační foto (celá třída, celá škola, školní akce, kde podstatou není samotný žák, ale zadokumentování události) je zcela OK.

Celkom nesuhlasim. Škola nepotrebovala ex-ante suhlas ani predtym a nepotrebuje ho ani teraz. Navyse verejne publikovanie fotiek riešil zákon uz davno pred GDPR.
Podstatna zmena je práve v zjednoteni postihu napriklad pri porušení prava na zabudnutie. Toto zakon predtym riesil nejednoznacne a domoct prava sa dalo len na sude. Teraz moze/musi zasiahnuť už Urad na ochranu osobných údajov, ktory dostal s GDPR nove väčšie právomoci.
To, ze si školy, ci hocikto iny dáva podpisovať suhlas uz dopredu je len preventivna obrana pri pripadnom buducom spore.

Čo tak pozerám po webe, aj svadobní fotografi z toho majú dosť zmätok.

Tu je prave to zlyhanie statu smerom k obcanom, pretoze svadobni fotografi mat ziaden zmatok nemuseli mat keby stat zvladol lepsie svoju ulohu v tomto procese.
Reportazne fotografie (kam svadobne fotografie, alebo fotografie zo skolskych akcii patria) nepotrebuju ziadne zvlastne GDPR povolenie, pretoze ho npotrebovali ani predtym a ohladom takychto fotografii tu mame uz z minulosti niekolko rozsudkov.
Samozrejme rodic, alebo niekto z tej svadby moze zazalovat skolu/fotografa, ale jeho sanca na uspech na sude je v tomto pripade skoro nulova.

Zpět na články Přidat komentář k článku Nahoru