ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

  • Osobní údaje jako vzácný artikl

    Každý z nás na internetu obchoduje se svými osobními údaji. Potíž je v tom, že z těchto transakcí nic nemáme, zatímco velké korporace na nich vydělávají miliardy. Co s tím?

    logo GDPRZa poslední měsíc jste možná několikrát naťukali své osobní údaje do registračního formuláře na webu, například při nákupu. Nebo vás stránky natolik zaujaly, že jste se rozhodli zanechat na sebe kontaktní e-mail. Tyto interakce, mezi vámi jakožto uživatelem a obchodní společností, se mohou na první pohled tvářit nevinně.

    Popravdě, nevinné nejsou. Jsou cenné. A to doslova.

    Osobní údaje jsou vzácný artikl. Víte například, že cena každého uživatele Facebooku je odhadovaná na 1000 dolarů a že toto číslo stále roste? Podle posledních statistik z poloviny roku 2017 má tato sociální síť dvě miliardy aktivních uživatelů po celém světě. Facebook v České republice používá 4,8 milionů lidí, na které cílí přesně zaměřené reklamy, vytvořené podle chování a zálib uživatele.

    Abychom tomu z pohledu běžného ne-korporátního smrtelníka porozuměli, je třeba podívat se na osobní údaje z perspektivy velkých (nadnárodních) společností. Hodnota našich osobních údajů vytváří korporacím zisk, protože díky nim na nás přesně cílí reklamu – a my nakupujeme. Jindy se s osobními údaji zase nepokrytě obchoduje.

    Správně si teď pokládáte otázku, proč by měl někdo jiný profitovat na vašich osobních údajích? A proč by firmy měly být jediné, kdo na nich vydělává?

    Samozřejmě, že neměly.

    Zdanit zisk z osobních údajů

    Finanční benefity, které osobní údaje generují, by měly být sdílené. Jednou z možností je malé zdanění, jak ukazuje Saadia Madsbjerg, ředitelka The Rockefeller Foundation, ve svém článku. Výnosy z daní by mohly sloužit na vybudování lepšího a spravedlivějšího internetu, z něhož by profitovala celá společnost. V době hoaxů se to vůbec nezdá jako špatné řešení.

    Saadia Madsbjerg navrhuje, že zdanění by mohlo být opravdu malé, méně než 1 procento z příjmu, které společnosti získaly prodejem osobních dat. Toto mírné zdanění by firmám nezpůsobilo žádnou újmu a peníze by byly v ideálním případě použité pro dobro společnosti.

    Tato myšlenka není novátorská nebo převratná.

    Daně z prodeje patří k vůbec nejstarším daním na světě. Proč zatím není prodej dat daněn? Protože ohodnotit osobní údaje není zrovna lehké. Mnoha firmám, které se věnují podnikání na internetu, slouží naše osobní údaje hlavně k obchodním účelům, případně zůstávají „uzamčená“ v souboru, až je budou marketéři potřebovat, například kvůli nové kampani.

    Existuje rozdíl mez společnostmi, jimiž naše údaje „protékají“, jako jsou různí poskytovatelé internetu, v České republice jsou to například společnosti UPC, T-Mobile nebo O2, a mezi společnostmi, které poskytují platformy typu Facebook nebo Twitter.

    Pokud uvažujeme o zdanění zisku z obchodování s osobními údaji, je tady ještě jedna rovina – naše osobní údaje jsou nehmotné. Zkusíte si je představit jako něco, co má tvar a hmotnost, třeba jako auto? Najednou je to jiné, že? Své auto přece také nedáte jen tak k užívání někomu druhému, aby na něm vydělával, a vy jste z takového byznysu neměli ani korunu.

    Představte si teď ještě jinou situaci. Vaše osobní údaje, pokud bychom jim dali fyzickou podobu, jsou „zaparkované“ na milionech pevných disků v rozlehlých budovách v dobrých klimatických podmínkách. A ve chvíli, kdy je marketéři potřebují, tak po nich sáhnou a použijí je. Nejčastěji k tomu, aby zvýšili své prodeje nebo zlepšili své produkty. Například společnost Google analyzuje naše vyhledávání (chování skutečných lidí na internetu), aby vytvořila umělou inteligenci, která bude dobře zvládat přepisy, překlady, nebo dokonce sama řídit auto.

    Nakolik budou tyto nové technologie výnosné, to zatím neví ani samotný Google. Jenže naše osobní údaje neslouží jen k inovacím. Velkým byznysem jsou cílené reklamy, které inzerenti vytvářejí právě na základě našich osobních údajů. Možná jste už někdy zažili ten zvláštní pocit, kdy jste do vyhledávače zadali klíčové slovo, třeba spojení „nová sedačka“, a ještě nějakou dobu poté vám všude v postranních reklamních sloupcích vyskakovaly reklamy na sedací soupravy.

    Aby poskytovatelé platforem mohli vytvořit přesnou cílenou reklamu, potřebují nás znát – čím více dat a údajů o nás mají, tím lépe reklamu zacílí. Existují i společnosti, které naše osobní údaje prodávají „datovým makléřům“, ti je sdružují, analyzují a prodávají je inzerentům.

    Miliony z osobních údajů

    Je to právě odvětví zprostředkování dat, které by mělo být daněno. Společnosti z této branže existují jen pro to, aby shromažďovaly naše osobní údaje a nakládaly s nimi jako s komoditou – obchodovaly je.

    Pro ilustraci několik čísel. Odvětví zprostředkování dat vydělává v USA přes 150 miliard dolarů ročně, výnosy zde rostou velmi rychle, takže v roce 2018 by částka měla narůst na 250 miliard dolarů. Drobné zdanění, například ve výši kolem 0,8 procent, by Spojeným státům přineslo do státní pokladny asi 2 miliardy dolarů ročně.

    Velmi malé zdanění některých odvětví přitom už úspěšně funguje. Během posledního desetiletí vlády deseti zemí, včetně Chile, Francie nebo Nigeru, zdanily letenky (daně se lišily podle cestovní třídy) a získaly 1 miliardu eur. Peníze použily například na financování boje proti AIDS nebo malárii.

    Abychom ale pro příklady nechodili na druhý konec světa, v Rakousku uvažovala vláda o uvalení daně z přidané hodnoty na velké datové transakce mediálních domů, které využívají osobní údaje. Co ji zastavilo, byly nejasnosti ohledně přidělování fixních hodnot těmto transakcím.

    Považujete pořád své jméno, telefon a e-mail za svůj osobní údaj? Je váš, ale také není. Každý z nás s ním obchoduje na internetu. Potíž je, že většina z nás z těchto transakcí nemá ani korunu.

    Nerovnosti a nevyváženosti, které vznikají mezi námi, uživateli, a velkými společnostmi, jež s daty včetně osobních údajů obchodují, bychom měli čelit.

    Finance, vybrané z daní z prodeje osobních údajů, by mohly obchodní nerovnováhu vyvážit. Lze je použít například na lepší zabezpečení internetu nebo na zvýšení internetové gramotnosti.

    Mgr. Eva Škorničková, www.gdpr.cz

  • Unikla vám data? Připravte se na ohlašovací povinnost!

    logo GDPR

    Jakou další velkou změnu přinese nařízení GDPR? Jde o povinnost ohlašovat narušení bezpečnosti zpracovávaných dat, souhrnně tzv. data breaches. Spadají sem případy zničení, ztráty, změny, neoprávněného poskytnutí nebo zpřístupnění zpracovávaných osobních údajů.

    České právo tuto povinnost ukládalo jen sektoru telekomunikačních sítí a internetových služeb, nyní se bude vztahovat na všechny správce osobních údajů. Pro drtivou většinu správců půjde o naprostou novinku a další administrativní zátěž, na kterou je třeba se připravit.

    Povinnost informovat bude mít správce (firma nebo jakákoliv instituce) vůči Úřadu pro ochranu osobních údajů (ÚOOU) a také vůči subjektům, jejichž data zpracovává, typicky občanům. Vůči ÚOOU se ohlašovací povinnost vztahuje na všechna porušení zabezpečení osobních údajů až na výjimky, kdy je nepravděpodobné, že by mohlo dojít k ohrožení práv a svobod dotčených osob. Typicky jsou to úniky už veřejně dostupných údajů nebo údajů bezpečně zašifrovaných.

    eva 150x150

    Ohlašujte bez odkladů

    Ohlášení by měl správce provést bez zbytečného odkladu, maximálně do 72 hodin od chvíle, kdy se o něm dozvěděl. Pozdější ohlášení musí být důsledně odůvodněno. Pravděpodobně by obstál například argument o souhrnném ohlášení většího počtu identických úniků dat, například v důsledku více vln hackerských útoků.

    Správce by měl popsat povahu porušení, uvést, jaké kategorie údajů byly zasaženy a kolika osob se situace týká. Je potřeba uvést kontaktní místo v rámci vlastní organizace, se kterým bude moci ÚOOU komunikovat a které by mělo mít veškeré dostupné informace. Pracuje-li ve vaší organizaci pověřenec pro ochranu osobních údajů (DPO), bude právě on touto kontaktní osobou. Správce by měl úřad dále obeznámit s pravděpodobnými důsledky porušení a s popisem nápravných opatření, která za účelem zmírnění těchto důsledků přijal.

    Veškeré případy se musí dokumentovat

    Nařízení GDPR počítá s tím, že správce nebude mít všechny informace dostupné během požadované doby nebo přesně vyčíslené. Proto umožňuje, aby informace byly poskytovány postupně. Je však třeba v této fázi udržovat maximální komunikaci s ÚOOU a o situaci úřad průběžně informovat. Veškeré případy porušení bude muset správce dokumentovat, spolu s jejich důsledky a přijatými nápravnými opatřeními.

    O trochu méně přísnosti, ale…

    Ohlášení konkrétním osobám je, naštěstí pro správce, méně přísné. O porušení ochrany osobních údajů musí správce informovat jednotlivé subjekty pouze v případech, kdy pro jejich práva bude porušení znamenat vysoké riziko. Má se tak předejít příliš častému obtěžování občanů zbytečnými a pro mnohé matoucími ohlášeními. Nutno dodat, že praxe jistě uvítá osvětlení hranice mezi „vysoce rizikovým“ a „obyčejným“ porušením. Snad se toho dočkáme díky vysvětlujícím stanoviskům WP29 či rozhodovací praxe evropských dozorových úřadů. Do té doby doporučujeme o porušení, které by se mohlo vykládat jako vysoce rizikové, pro jistotu občany informovat.

    Organizace by se měly důkladně připravit na to, že v případě úniku dat jednotlivých osob budou muset kontaktovat v některých případech až statisíce osob, což může firmu snadno paralyzovat.

    Míra rizikovosti konkrétního porušení se bude stanovovat hned podle několika kritérií. Záležet bude především na tom, jaké osobní údaje byly postiženy, v jakém množství, jakých subjektů se týkají, jakým způsobem byly chráněny, za jakým účelem byly zpracovávány a konečně jaká je pravděpodobnost jejich zneužití.

    Ohlášení konkrétním občanům by měl správce opět provést bez zbytečného odkladu, a to jasným, srozumitelným a transparentním způsobem. Ohlášení by tak mělo být samostatnou zprávou, jejíž obsah bude „osobě průměrného rozumu“ pochopitelný. Nedoporučujeme ohlášení spojovat s jakýmkoliv jiným nesouvisejícím obsahem, například nabídkou služeb a produktů. Za ideální způsob komunikace doporučujeme e-mail, SMS či jiný přímý kontakt. Správce by však vždy měl zvolit takové prostředky, aby šance na předání informace byla maximální, a to i kdyby měl komunikačních kanálů zvolit více. Pokud nejde konkrétního člověka kontaktovat přímo, lze využít i ohlašování v médiích či na jiných veřejně přístupných informačních kanálech.

    Prověřte vnitřní procesy, proškolte zaměstnance

    Aby organizace dokázala minimalizovat výše popsaná rizika, musí dopředu přizpůsobit své vnitřní procesy a proškolit zaměstnance. Sebeúčinnější systém nakládání s osobními údaji nikdy zcela nevyloučí případy porušení zabezpečení osobních dat. Zda firma v tomto ohledu obstojí, bude záležet především na míře jejího přehledu a kontroly nad systémem zpracovávání osobních údajů tak, aby každé narušení bylo co nejdříve a co nejpřesněji zjištěno, zdokumentováno a ohlášeno. Organizace by neměly zapomínat ani na finanční postih. Následky neplnění ohlašovací povinnosti budou zásadní. Pokuty mohou dosahovat až 10 milionů eur nebo dvou procent správcova celosvětového ročního obratu.

    Mgr. Eva Škorničková, www.gdpr.cz

Nejčtenější

Chyba: Žádné články k zobrazení