Bezpečnost, a zvláště ta informační je nesmírně dynamickou oblastí, kde se pořád něco děje. Kdy černý trh s daty a v současné době hlavně trh s osobními údaji radostně kvete. Osobní údaje se stávají ceněným zbožím, se kterým se obchoduje a částky, kterými tento trh vládně, jsou astronomické.
Jsou tady dva základní momenty, a sice to, jak firma nebo instituce zacházejí s osobními údaji, které jsme jim svěřili. Na druhou stranu nejsme tak úplně bez viny ani my, tzv. Subjekty údajů. Nezajímáme se o svá práva v oblasti ochrany osobních údajů a nesnažíme se je uplatňovat. Nikdo si s vašimi osobními údaji ale nemůže dělat, co chce.
Od 25. května 2018 bude účinné Obecné nařízení o ochraně osobních údajů (více známé pod zkratkou GDPR), které je platné od dubna 2016. Toto nařízení reguluje ochranu osobních údajů na území Evropského hospodářského prostoru, což je EU plus Norsko, Island a Lichtenštejnsko.
Na některé aspekty GDPR upozorňuje Aleš Špidla, prezident Českého institutu kybernetické bezpečnosti, ČIMIB. Nařízení GDPR sjednocuje principy ochrany osobních údajů v celém výše uvedeném evropském hospodářském prostoru.
Přístup institucí a firem musí tak být ve všech těchto zemích stejný, a to včetně pokut, které v závažných případech porušení dosáhnout až 4 % z celosvětového obratu firmy nebo 20 milionů eur. Důležité je, že principy GDPR musí dodržovat i země, které nepatří do Evropského hospodářského prostoru, i tehdy – zjednodušeně řečeno – pokud nabízejí služby ze svých zemí i rezidentům EHP.
„Zajímavou roli, řekl bych jistou forsáž, zde sehrál případ Snowden, který ukázal chatrnost dohody Safety Harbour, která se ochranou osobních údajů Evropských občanů ze strany firem a institucí v USA nastavovala,“ komentuje prezident ČIMIB Aleš Špidla. Snowden ukázal, že tato dohoda není dodržována. Její tichý zánik znamenal to, že musela vzniknout nová dohoda s podobným obsahem, která se jmenuje Privacy Shield. Je to dohoda, ke které se přihlašují firmy z USA na stránkách www.privacyshield.org. A tím dávají najevo svůj závazek chránit osobní údaje Evropských rezidentů. Rozdílný přístup ale zaujal soud v USA, který předběžným opatřením zakázal firmě Microsoft blokovat přístup k veřejným profilům uživatelů sociální sítě LinkedIn.
Jádro problému spočívá v tom, že tato firma chce využít veřejné profily, statusy a předpovídat chování zaměstnanců, a tyto informace prodávat. Kdyby firma Microsoft přístup k těmto profilu nezablokovala, porušila by článek 14 GDPR, který mimo jiné říká, že subjekt (občan) musí být informován a musí souhlasit se změnou účelu zpracování osobních údajů, což tento případ jednoznačně je.
Firma Microsoft se proti tomuto opatření odvolala, ale na místě je obava o osud dohody Privacy Shield. Aleš Špidla dále upozorňuje na to, že některé články, zakotvené v nařízení GDPR je technicky velice těžké zrealizovat. V České republice platí zákon 101/2001 Sb. o Ochraně osobních údajů a pokud by byl dodržován, GDPR není až tak zásadní změnou. Problém tohoto zákona ale byl v tom, že sankce byly nízké, důraz na jeho dodržování nebyl razantní, a i díky tomu jej spousta společnosti s radostí obcházela.
Už tento zákon ukládá zabezpečení osobních údajů tak, aby nemohly být ukradeny nebo zneužity. Takže: kdo dodržoval pravidla, stanovená zákonem 101/2001 Sb., pro toho přechod na GDPR nebude až tak velkou změnou. „Je nutno, aby si občané uvědomili, že nařízení GDPR významně posiluje práva nás občanů. Je nutno postupovat informovaně a nenechat si líbit svévoli ze strany správců a
zpracovatelů osobních údajů. Z vlastní zkušenosti vím, že při např. zadání kalkulace ceny výrobku, který jsem si vybral na e-shopu, bylo podmíněné dokončení objednávky zatržením políčka o souhlasu s poskytnutím mých osobních údajů k marketingovým účelům,“ říká Aleš Špidla. „Což z pohledu GDPR bude ale na pokutu. Ale, abych dokončil myšlenku, do políčka poznámka jsem vepsal, že mnou poskytnuté údaje slouží pouze a jen k vytvoření cenové nabídky a poté žádám provozovatele serveru, aby je smazal. A oni mi volali. Jak to, že mi voláte, tím porušujete právní předpis – a to platí i pro ostatní volání, kdy vám někdo něco nabízí nebo poptává. Já jsem vám nedal souhlas se zpracováním osobních údajů, tak jak to, že mi voláte?“ A navíc, žádná políčka, která automaticky navádějí k nějaké činnosti nebo službě či funkci, nesmějí být předvyplněná ve prospěch firmy nebo poskytovatele, opět dle GDPR. Pokud tuto funkci chcete využít, pak její stav musí být nastaven tak, abyste ji museli zaškrtnout.
Závěrem je nutno ještě jednou zdůraznit úlohu nás občanů při uplatňování našich práv. Je nutno je znát a hlásit se o ně. Ptát se institucí a firem jaké osobní údaje, za jakým účelem a pod jakým zákonným důvodem je zpracováváte.
Aleš Špidla, prezident ČIMIB