GDPR - ochrana osobních údajů a jejich zabezpečení

Osobní data. Veliké téma, které zasáhne do chodu všech organizací v roce 2018.

Evropské unie podle nového nařízení GDPR, z anglického General Data Protection Regulation, posiluje na novou úroveň požadavky na ochranu osobních dat každého jejího občana.

Původním, jistě bohulibým záměrem bylo ochránit osobní údaje uložené mimo dosah soudní jurisdikce orgánů v Evropské unii. Proč je to problém? Představte si, kolik osobních dat o uživateli získává například Google. V systému mobilních telefonů s operačním systémem Android zadává uživatel takové množství osobních údajů, že si mnohdy ani neuvědomuje tu míru zneužitelného odhalení. Na smart telefonech s operačním systémem a připojením k rychlému internetu pracuje každý z nás s nějakou aplikací. Tu je to navigace, která přesně ví, kdo jste a kam jedete, stejný systém zná kalendář uživatele a pro větší pohodlí digitálního věku rovnou aplikace kalendáře nabízí předávání dat o cíli cesty. Další aplikace sbírají data o sexuálních preferencích, jako jsou různé seznamky. Například uživateli aplikace Tinder na vlastní žádost podanou podle nařízení o ochraně osobních dat, společnost Tinder Inc. odeslala 800 stran osobních údajů. Za několik měsíců používání shromáždili o jeho osobě i seznam nejčastějších slov v příspěvcích, data z propojeného účtu Facebooku, přesnou znalost lokality, kde se při používání pohyboval.

Pokud se zamyslíte nad mírou odhalení jedince, jde vlastně ze strany Evropské unie o velmi dobrou myšlenku. Chrání data svých občanů, nedovoluje uložení osobních dat mimo dosah velmi přísných pravidel. Pokud byste se chtěli dozvědět víc o principech ochrany osobních dat, ty velmi přesně vystihnul Evropský soudní dvůr ve svém nálezu k principů Safe Harbour z října 2015.

GDPR je soubor pravidel a nařízení daných přímo z Evropské unie. Pro každý stát v Unii jsou pravidla stejná, a stejná je i vymahatelnost práva. Český uživatel má jistotu, že data poskytnutá organizaci sídlící například v Německu nemohou být zneužitá. Legislativa je stejná, a velmi důsledně trestá.

Strašák jménem GDPR. Ochrana dat se netýká pouze firem. Stejně jako úřady státní správy, ministerstva, dobročinné spolky včetně třeba dobrovolných hasičů. Citlivou informací se totiž rozumí každý údaj, který vede či napomáhá k identifikaci konkrétního člověka. Nařízení zpřísňuje principy ochrany osobních údajů nad rámec dnes platného zákona, a zavádí pro organizace pracující s rozsáhlými databázemi funkci jakéhosi nezávislého ombudsmana. Organizace jmenuje DPO, Data Protection Officer, který má za úkol nezávisle posuzovat, zda nedochází k rizikovému chování a k únikům. Toto je zcela nový přístup, pro mnohé korporace jenom další povinnost ke splnění nějakého nařízení a náklady se bez potíží rozpustí. Jenomže vysoký stupeň ochrany osobních údajů společně s vysokými pokutami platí i pro různé neziskové organizace. Například školy nebo sportovní kluby mají stejné a nákladné povinnosti. Týká se to i starostů obcí a obecních úřadů. Stejně jako provozovatelé služeb elektronických komunikací. Pokud používáte stabilní internet a máte spuštěnou službu internetové kabelové televize, poskytovatel platformy může vidět, kdy jste se dívali na jaký pořad, zda jste si ho pouštěli zpětně a kolikrát. Případně ví, jestli jste si dokument nahráli. Typ obsahu odhalí leccos.

Co je to vlastně únik osobních dat?

Vezměte si například malou obec. Starosta je neuvolněný, starostuje po práci. Má na místním obecním úřadě knihovnu, se zápisy o vypůjčení knih, kartotéku se jmény občanů, jejich osobními daty a adresami. K tomu počítač s diskem plným zápisů o jednáních a elektronickou korespondencí s občany. Podle GDPR pravidel musí být všechna tato data nepřístupná pro nepovolané osoby. Tedy nesmí za ním přicházet lidé na projednávání svých záležitostí do místnosti, kde by byl viditelný obsah dokumentů třeba položených na stole. Elektronická zařízení musí být zabezpečená proti krádeži dat zvenku i zevnitř. Například databázi obyvatel a jejich údajů nesmí jeho program umožnit stáhnout a odnést někomu, kdo pro to nemá patřičné oprávnění a právní titul.

V roce 2018 zavádění pravidel GDPR bude znamenat velkou výzvu pro každého, kdo se pohybuje ve veřejné správě, pro poskytovatele služeb a vlastně pro každý podnik.

Je to cena za soukromí. A to za to stojí.