Co je to GDPR?

GDPR je komplex legislativních opatření, jehož obsahem je ochrana osobních dat uživatelů internetu. Tento balíček byl schválen v roce 2016, v platnost vstoupí 25. května 2018.

Tři čtvrtiny českých domácností má alespoň jeden počítač připojený k internetu, přes telefon je trvale připojená skoro polovina Čechů. Užíváme služeb, které nám poskytují zábavu nebo informace. Výměnou za to sbírají informace o nás, které později zužitkují. Není to něco virtuálního, je to reálný obchod s konkrétními daty a čísly. Nejpatrnější je tento fakt u velkých služeb. Na Facebook nebo na Google se můžeme dívat jako na zdroj potěšení zdarma. Jen málo lidí ale studuje podmínky používání, ve kterých souhlasí se zpracováním osobních dat.

Co všechno o sobě prozradíme?

Všechno. Největší hráči jako Google nebo Facebook vědí, jak se jmenujeme, kde pracujeme; vědí, jaké máme přibližně příjmy; vědí, že jsme si právě koupili psa a plánujeme dovolenou na Krétě. Na základě těchto informací nám prostřednictvím reklamních systémů dokáží nabídnout seznamku, dovolenou od cestovní agentury nebo psí granule. Toto cílení reklamy je pak podstatou obchodu mezi Googlem (příp. Facebookem) a inzerentem.

Toto prostředí nás obklopuje. Je míň viditelné, než reálné okolí venku na ulici, zároveň je ale mnohem systematičtější a ze získaných informací nikdy nic nezapomene.

Cookies nemusí být vždy sladké

Účelem každého webu je získat návštěvnost, čemuž lze pomoci analýzou návštěv, které už na web přišly. K této analýze se používají malé soubory – cookies, do kterých se ukládají informace o pohybu návštěvníka na webu, časy strávené na stránkách a další souvislosti. Každý určitě zná lištu, upozorňující na fakt, že web používá cookies. Tato lišta byla prvním pokusem, jak shromažďování dat nějak právně uchopit, resp. přesunout na návštěvníky webu zodpovědnost za to, co o sobě webu prozradí. Část lidí si tak možná uvědomila, že osobní údaje není radno uvádět kamkoliv. GDPR jde mnohem dál.

Co to znamená v praxi?

GDPR stanovuje povinnost provozovatele webu informovat návštěvníka o všech údajích, které o něm web shromažďuje. Nejde jen o osobní údaje jako jméno nebo telefonní číslo, ale i IP adresu nebo např. biometrické údaje. Zákazník bude mít nárok všechny tyto uložené informace jednak znát, ale bude moci i požádat o jejich smazání. Za určitých okolností bude mít firma povinnost jmenovat Pověřence pro ochranu osobních údajů (Data Protection Officer, DPO), který bude na dodržování pravidel GDPR dohlížet.

Reálné dopady lze prozatím těžko predikovat. Některá ustanovení GDPR nejsou úplně konkrétní, diskutabilní je například povinnost firmy mít DPO, pokud aplikace shromažďuje údaje pro potřeby behaviorální reklamy. Zároveň GDPR stanovuje drakonické sankce v miliónech eur, což zjevně míří na provozovatele sociálních sítí a podobně rozsáhlé projekty. Je to útok na svobodu internetu ve smyslu „každý má právo provozovat web jak chce“, nebo naopak vstup právních mechanismů tam, kde bylo nutné vnést pořádek? Můžeme očekávat, že GDPR bude mít stejný efekt jako bezmyšlenkovitě odklikávaná lišta o cookies, nebo se nám internet mění před očima?

Uvidíme. My v Shockworks se ale nenecháme překvapit.