Armageddon se blíží, křičí na nás ze všech stran bandy věrozvěstů ze sousedství i z krajin evropsko-unijních a vyhrožují, že kdo se nepřipraví, nezadá analýzy a za drahé peníze neobjedná nezbytné zabezpečení, dopadne zle.

Úřad na ochranu osobních údajů mu totiž nadělí pokuty v řádech naprosto likvidačních.

A čas běží a termín konce světa se bleskurychle blíží. Zánik dnešního otevřeného světa totiž má nastat už za tři měsíce (přesně 25. května 2018). A kdo neví, ten se začne bát, přihlásí se na školení, objedná si komplexní analýzu, nový software či alespoň petlici na pracovní stůl, v němž schovává seznam zaměstnanců s maily a s daty narození. Jenomže jako v mnoha jiných případech platí i u GDPR, že nejhorší smrt je z vyplašení a finance, které už kdekdo vynaložil, někdy ochrání před útoky, ale jindy slouží jen jako výpalné.

Když si totiž všechny ty příšerně složité definice a věty přečtete, zjistíte, že všechno je ve skutečnosti jinak. Ne že by to bylo tak jednoduché, jak se před několika dny na stránkách tohoto listu snažila veřejnost přesvědčit naše paní eurokomisařka. Oni se totiž naši zástupci v Bruselu už odnaučili psát jednoduše a srozumitelně, a tak jen preambule (tedy úvod, v němž se popisuje účel oné normy) má v češtině 31 stran, celé nařízení 88 stran. A jsou to slova plná neurčitých pojmů, závěrů a deklarací, jež by jeden od orgánů ani nečekal. Co si například pomyslet o větě: Zpracování osobních údajů by mělo sloužit lidem?

Co se tím vlastně chtělo říct

Možná stačilo jít na věc jednoduše a stručně popsat, že se ta hrozná instrukce primárně vztahuje na obrovské korporace typu Google, Facebook, Amazon, telefonní operátory či zdravotní pojišťovny, tedy na kolosy velké jako světadíl, vybavené obrovským IT oddělení, týmy slovutných právníků, jimž nečiní problém zvýšit stupeň ochrany, jediným kliknutím vymazat kontakt v databázi, a když na to v nejhorším přijde, i zaplatit pokutu v řádu několika milionů EUR. Paradoxně tyto kolosy dnes spí stejně klidně jako novorozené neviňátko, protože se už v době letitých negociačních jednání na dopad GDPR připravily, podobně jako se už stačily připravit banky a všechny nadnárodní firmy. A tak teď děs a hrůza padá na ty malé a střední podnikatele a s nimi na školy, města, obce a kraje a organizace jimi řízené a spravované.

Jak to tedy vlastně je

Český předpis musí být jasný, přehledný, adresný a vykonatelný. Evropská unie na to šla novátorsky a poněkud jinak. Nechává totiž na každém subjektu, aby zvážil riziko citlivosti dat (je rozdíl, zda v šuplíku mám jméno a telefonní číslo obchodních partnerů, anebo kartu onkologického pacienta) a hrozbu kybernetického či jiného odcizení (v módním salonu se spíše ztratí drahý model než míry a váha modelů).

Požaduje, aby každý subjekt vyhodnotil, proč osobní údaje archivuje, a tomu odpovídajícím způsobem je zabezpečil. To by snad nemuselo být tak obtížné (škola musí vést seznam žáků, proto nepotřebuje souhlas každého se zpracováním osobních údajů, údaje musí být zabezpečené heslem nebo zamčené ve skříni), bohužel podobně jako u zákazu diskriminace přenáší důkazní břemeno odpovědnosti na toho, kdo osobní údaje schraňuje (což jsou prakticky všichni). Důsledek tohoto faktu je jednoduchý: i soukromá manikérka musí vymyslet systém, zavést evidenci (papír, sešit, elektronickou databázi), psát záznamy, kontrolovat, zamykat a šifrovat. Argument, že kdo dodržoval starý zákon o ochraně osobních údajů, může i dnes klidně spát, je sice hezký, ale naivní, protože zákonů máme tolik, že takřka nikdo není schopen je všechny dodržovat, a spíše si pravidla pohlídá velká banka než kadeřnice nebo jednotřídka.

A tak by bylo férovější zavčas říct: bude to náročné, obtěžující (práce a byrokracie navíc) a drahé. A zaplatí to každý z nás, podobně jako čtvrtletní hlášení DPH a jiné administrativní zhůvěřilosti, jež si na nás stát či EU vymysleli. Úřad na ochranu osobních údajů nás zatím lehce a neznatelně uklidňuje, že se sankcemi to nechce přehánět. Zbývá jen doufat, že bude ctít ducha nové normy a při kontrolách se zaměří na velké nadnárodní společnosti, kvůli nimž bylo celé GDPR vymyšleno. V opačném případě totiž nařízení otevírá nekonečný prostor další kriminalizaci a státní buzeraci.

Žijeme ovšem v době plné paradoxů: na jedné straně o sobě na sociální sítě, na zdi a do sluchátek telefonu sdělujeme kdejaký osobní údaj dobrovolně, ale když se nás něco dotkne anebo nám z toho kyne kšeft, neváháme se soudit kvůli uniklé fotce nebo drobné, byť zveřejněné informaci. Na jedné straně chráníme, co na druhé vykřikujeme. Ale tak to přece funguje od nepaměti ve všech dobách i ve všech Kocourkovech.

Psáno pro MF Dnes