Obecné nařízení o ochraně osobních údajů neboli GDPR (občas lze spatřit i odvozenou českou zkratku ONOOÚ) patří mezi jedno z nejprobíranějších a nejkontroverznějších nařízení EU, které však od svého vzniku v dubnu před třemi lety (účinnost je od května 2018) inspirovalo řadu dalších států k chystané proměně legislativy.
V mediálním pozdvižení, které řadu měsíců GDPR provázelo, však mnohdy opomnělo zmínit úplné základy nařízení. Tedy, co znamená, proč vzniká, jaký je jeho účel a jaké jsou jeho klady a zápory. Názory domnělých expertů z firem a organizací nejsou v tomto případě zcela relevantní: je nutné si uvědomit, že zaprvé nejsou nestranní a zadruhé, GDPR pro ně představuje především složitost a záležitost, která je pro ně mnohdy nákladná a problematická. Podobnému smýšlení se nevyhnou právníci, technici ani další povolané osoby.
A mají z části pravdu, proti tomu protestovat nelze.
Jenže tím je výklad nařízení poněkud nabourán. Přestože samotné GDPR je skutečně místy napsáno poněkud nejednoznačně a volně, příliš mnoho nového v podstatě ani nepřináší. Jeho principy už dávno měly být dodržovány na lokální státní úrovni, neb se týkají základních principů ochrany osobních údajů.
Vlivem těchto nejasností vznikají omyly, které nejsou založeny na realitě – ostatně, EU i lokální státy jsou velmi zdrženlivé vůči pokutování prohřešků, od implementace byly rozdány všehovšudy pouhé dvě pokuty, nebo přinejmenším jsou jen dvě známy.
Kupříkladu rozšířený mýtus týkající se toho, že děti se nesmí podepisovat na výkres jménem nebo je při omlouvání po telefonu rodiče nesmí označovat jejich skutečným křestním jménem a příjmením, je naprostá hloupost. V těchto případech totiž jde nejen o rozumné využití nutných osobních údajů, ale především jsou tyto údaje dány dobrovolně a vědomě.
Zato je ovšem pravdou, že pokud nechce někdo být viděn na fotografii či videu, má právo požádat o nepublikování materiálu nebo o odstranění jeho identifikovatelných prvků z obrazového média. V případě, že jde o opodstatněnou žádost, bude mu vyhověno.
GDPR ve své podstatě nemá svazovat ruce těm, kteří oprávněně manipulují s osobními údaji: tedy kupříkladu lékařům a jejich pacientům. Jde jen o to, aby se k těmto údajům dostali jen ti, co mají, a údaje nebyly prodávány třetím stranám bez výslovného upozornění a potvrzení jejich vlastníkem.
Příklad? Nemocnice smí shromažďovat nutné informace o pacientovi – ty, které jí předá. Pacient na oplátku smí kdykoliv požádat o jejich odstranění. Nemocnice má povinnost tyto údaje bezpečně uchovávat a povolit k nim přístup pouze relevantním osobám. Tedy doktorům ano, pacientovi samotnému klidně rovněž, ale nikomu jinému. To je samozřejmě nutné řešit technicky i administrativně, ale buďme upřímní, nejde o žádný nepřekonatelný problém.
Problematické je GDPR pro firmy, které manipulují s obrovským množstvím osobních údajů, a ještě kombinují metody automatizované a manuální. To je ovšem spíše jeden z kladů nařízení, byť samozřejmě ne pro firmy – nutí je se soukromím a bezpečností více zabývat a ujistit se, že vše je v souladu se zákonem.
V posledních měsících si můžete povšimnout, že naprostá většina webů vám ukáže malou lištu, na které se píše cosi o schválení sběru cookies a určitých informací o návštěvníkovi. To zajišťuje soulad s GDPR, neboť uživatel má právo znát, jaké informace o něm web sbírá, a buď to přijmout, nebo stránku opustit. Pokročilejší weby nabízí i možnost si nastavit, jaké přesně informace budou o uživateli získávány.
Uživatel má rovněž vždy možnost požádat o získání informací, které o něm web (nebo kdokoliv jiný) má a případě požádat o smazání těchto dat. Je úplně jedno, kde daná služba sídlí – pokud jde o obyvatele EU, jeho práva jsou stále stejná.
I to je jeden z důvodů, proč se obdoby GDPR rozšíří i jinde do světa. Státy, které nechtějí přijít o evropské zákazníky, musí alespoň základní zásady nařízení implementovat i tak. Je pravda, že se minorita služeb rozhodla skutečně evropským uživatelům zakázat přístup, konkrétně například některé americké zpravodajské servery. Obecně se však firmy přizpůsobily, a to je dobře: lepší ochrana našeho soukromí a práv je velmi potřebná.