GDPR

vložil:

Provozujete nějaký e-shop? Máte prodejnu, která má věrnostní program? Jako podnikatel spolupracujete s jinými podnikateli či společnostmi? Potřebujete využívat různé prodejní a marketingové kanály? Vás všech se týká nesmyslná a šikanózní směsnice EU nazývaná GDPR.

Jednoduše řečeno, směrnice „prý“ vznikla jako ochrana spotřebitele před zneužíváním jeho osobních údajů. OK, to by se dalo pochopit, kdybychom však, jako již mnohokrát, s vaničkou nevylévali i dítě. Přístup úředníka vypadá tak, že někde k něčemu dochází a tak nastavíme co nejstriktnější pravidla a bude po problému. Ale situace je úplně jiná. Nastavením striktních pravidel tak, jako to dělá GDPR, pod hrozbou drakonických pokut, znamená především aplikaci presumpce viny úplně stejně, jako při aplikaci pravidel omezujících porušování autorských práv v oblasti hudebních, audiovizuálních a literárních děl.

Jen pro připomenutí: dnes je každý, kdo si koupí kopírku, tiskárnu, CD/DVD/Blue-ray vypalovačku, pevný disk, SD kartu či jen paměť do počítače, považován za piráta porušujícího autorská práva.  A v kupní ceně zařízení/záznamového média platí autorské poplatky, jako kdyby výše uvedená autorská pomocí těchto zařízení/médií šířil. Prostě a jednoduše:  než stíhat skutečné piráty, raději za piráty považujeme všechny a vzniklé potenciální škody si od nich necháme dopředu zaplatit.

Něco vám to připomíná? Co třeba protizbraňovou směrnici EU schovanou za údajný boj proti terorismu? Prostě než se zatěžovat řešením a postihováním pachatelů, vypracujeme pravidla, která plošně nařídíme bez ohledu na dopady. Hlavně, že máme zářez.

Takže několik základních bodů:

  1. Ke zneužívání osobních dat skutečně dochází
  2. Data zneužívají především velké společnosti, společnosti zabývající se tzv. data miningem a společnosti vydělávající na analýze dat a prodeji výsledků analýz.
  3. Spotřebitelé udělují svůj souhlas se zpracováním údajů vědomě za každou, i třeba nepatrnou, výhodu či slevu.
  4. Osobní data definovaná GDPR jsou v obrovské míře dávno shromážděna a nikdo nedokáže definovat, kdo všechno je má a jak je využívá.
  5. Nikdo neví, které firmy či společnosti mají osobní data k dispozici a v jaké míře.
  6. S osobními daty se čile obchoduje a žádná směrnice to nedokáže zastavit. Maximálně dokáže, že se tento druh obchodu přesune do neoficiální sféry (kde často již je).

 

Proberme to po jednotlivých bodech.

1 Osobní data jsou využívána především tam, kde je možné pomocí nich zvýšit příjem/zisk společnosti. Proto společnosti investují výhody či slevy spotřebitelům výměnou za poskytnutí jejich osobních dat. Obecně jsou dnes již spotřebitelé natolik informováni, že se nedá říci, že by si nebyli vědomi, co znamená poskytnutí osobních dat třetí osobě. Téměř každý z nás se již setkal s telefonáty z neznámého čísla či písemnou či mailovou nabídkou, průzkumy trhu a podobně a podivoval se, kde dotyčný sebral jeho číslo. Těch možností je jistě mnoho, ale s vysokou pravděpodobností se jednalo právě o data, která byla „nějakým způsobem získána“ od majitelů databází osobních dat. Toto je věc, která je jistě zavržení hodná. A proto by měla být nějakým způsobem postižitelná. Ale opět musím opakovat, na základě porušení nějakých pravidel, která dávají smysl a přitom nejsou restriktivní jako právě GDPR. Stanovit závazná pravidla, co se nesmí s osobními daty dělat je věc jedna, ale stanovit pravidla pro všechny, že musí toto a toto dodržet a když to neudělají, čeká je pokuta až 20 mil. Eur je jak ze zlého snu. Trestat se má zneužití dat, ne jejich uložení v neuzamčené skříni ve firmě.

  1. Velké společnosti jako jsou sociální sítě, obrovské e-shopy, nadnárodní obchodní řetězce a podobné využívají a) data získaná vlastním sběrem od zákazníků nebo uživatelů a ti jsou (pokud jsou ochotni číst podmínky) se zpracováním osobních údajů seznámeni, b) data získaná nákupem společností, která si na obchodováním s osobními údaji založili svůj obchodní model.

S tím prvním by problém být neměl, s tím druhým ano. To je to, co má být postiženo. Ať se na mě nikdo nezlobí, ale každý je sám sobě pánem a o tom, zda poskytne někomu své osobní údaje rozhoduje sám. Riziko prodeje osobních údajů pak je to, co je potřeba nějakým způsobem upravit zákonem. Ale to neznamená, že se vymyslí, pro většinu organizací, nesmyslná pravidla.

Dalo by se o tom dlouze polemizovat a nacházet mnoho souvislostí i v jiných oblastech, ale na to abych psal osmidílný román s každým dílem o 500 stránkách opravdu nemám.

  1. Společnosti využívají snahy lidí získat nějakou výhodu. Tím samozřejmě využívají lidské přirozenosti mít lepší podmínky než ostatní. Je to celkem logické a vlastně nic nového. Jen v digitálním věku to dostává nové rozměry. Ale nijak se to neliší od snahy využívání například médií pro ovlivnění obyvatelstva. Ostatně marketing o ničem jiném není a pokud má společnost možnost využít databázi klientů, je jasné, že to udělá. A pokud se zabývá sběrem dat, ráda tato data prodá komukoliv, kdo za ni je ochoten zaplatit. Vítejte v moderním světě. Nějaké GDPR to v zásadě nedokáže regulovat, jen se ten obchod přesune do šedé ekonomiky (kde z části ji dávno je).

Je ovšem třeba si uvědomit, že žijeme ve světě, kde ani nevíme, kdo a jaká data o nás shromažďuje a za jakým účelem. Vezměme například mýtné brány či měřiče rychlosti s identifikací SPZ. Podle GDPR má každý občan právo požádat „zapomeňte“. Ale u koho? Vždyť ani nevíme, kdo naše osobní údaje má k dispozici. Tedy pokud nezapomeneme, komu jsme kdy souhlas udělili.

A to je další problém. Podle GDPR musí každý držitel osobních údajů oslovit každého, koho eviduje s žádostí o souhlas se zpracováním osobních údajů. Jak top ale udělat, když třeba ani neví, jaká data má k dispozici? Koupím databázi podnikatelských subjektů od Českého statistického úřadu (nevím jak teď, ale donedávna běžná věc). Data protřídím a vyfiltruji. Vyberu zajímavé adresy a na ty pošlu obchodní nabídku. Porušil jsem GDPR nebo ne? Pokud ano, budu muset dotyčnému zaslat třeba poštou žádost o souhlas a pak teprve nabídku. Opět písemně (pokud se bude obtěžovat odpovědět), takže jsou to další náklady. V podstatě GDPR omezuje obchodní příležitosti malých firem a podnikatelů omezením možnosti komunikace.

  1. Již roky velké společnosti shromažďují osobní data ať již se souhlasem nebo bez. Nákupní zvyklosti, zájmové oblasti, adresy, telefony, IP adresy a další. Nikdo se těchto dat nevzdá. Jsou získané a jejich. Je to jejich firemní stříbro na kterém dál budují svůj business.

Pokud si nějaký úředník myslí, že vydá nařízení a takovéto firmy si z nich sednou na zadní část těla, velmi se mýlí. Tyto velké firmy disponují možnostmi o kterých se ostatním může jen zdát. Takže si najdou způsob, jak být z obliga a přitom využívat data, která jiné firmy využívat nemohou.

Naproti tomu malé firmy jsou postiženy nečekanými náklady, které zatěžují cash-flow jednak jednorázově při pořízení zabezpečení požadovaného GDPR (i když osobní data nezneužívají), jednak pravidelnými náklady na administrativní obsluhu pravidel definovaných GDPR.

  1. S daty se obchoduje minimálně 10 let. Po celou dobu to nikoho nezajímalo a společnosti do tohoto obchodu na něm vydělávaly miliardy. Najednou se úředníci probudili a řekli, že je to špatně a že je potřeba to regulovat. Svět se točí čím dál rychleji, ale úředníci reagují na změny čím dál pomaleji. Že by bylo něco špatně? Ne, to opravdu ne. Je potřeba situaci analyzovat, prodiskutovat, dohodnout pravidla a následně je vyhlásit. Nejlépe směrnicí, aby nebylo nutné ji schvalovat národními parlamenty.

A že je úplně k h…u? To je nepodstatné. Máme čárku za kterou si zasloužíme svou nehoráznou výplatu. A že spoustu malých firem přivede do existenčních problémů? Detail. Když se kácí les, padají třísky.

  1. V době digitálních kryptoměn, které nejsou vysledovatelné, mi nikdo nevymluví, že někdo dokáže regulovat obchod s osobními daty. Když jdu do banky uložit tržby, podepisuji trapný dokument, že ty peníze co ukládám pochází z obchodní činnosti.

Kryptoměna je něco úplně jiného. Nikdo neví kolik a za co jsem zaplatil. Takže když chytře využiji možnosti nákupu osobních dat za bitcoiny a nenahlásím se jako správce osobních dat (proč bych to dělal), na phonemarketing najmu bezďáka, kterému dám předplacenou kartu…..

Jen ukazuji, jak je to vše bezzubé. Kdo bude chtít, najde hromadu možností, jak se té stupiditě vyhnout a realizovat své záměry. Ale podstatné je, že na spoustu lidí takové nařízení dopadá jako bič. Nechtějí porušovat platná pravidla (ani já ne), ale pak je to zbytečně stojí hromadu peněz a času, které mohli věnovat podnikání a svým zákazníkům.

P.S. pro objektivitu jsem zkusil oslovit právní kancelář, která inzerovala “vyřešíme GDPR s garancí za 4990.- Kč“. Po úvodním dotazu a sdělení základních informací o firmě jsem se dozvěděl, že mi zašlou excelovou tabulku s dotazy pro audit k vyplnění. Ten bude stát 14 000.- Kč a pak mi zašlou doporučení, co je potřeba změnit a nastavit, přičemž cena vyplyne z auditu.

A závěr? Dnes jsem slyšel, jak dcera mé známé povídá:

„Mami, víš o tom novém zákonu co má platit od pátku?“

„Ano, říká se tomu GDPR.“

Dcera na to: „Nebudeme moct už ve škole nosit třídní knihu, protože bychom si mohli zjistit, jak se jmenují naši spolužáci a kde bydlí.“

No není to k posrání???

Příspěvek člena NAOOSP.