Názor k článku Internet je rozbitější a uživatelé hloupější, než odborníci na bezpečnost doufali od Miroslav Šilhavý - A vám nevadí ta presumpce viny? Prostě vám...

A vám nevadí ta presumpce viny? Prostě vám nasraný zaměstnanec vykrade databáze, prodá a viníkem jste automaticky a bez soudu vy.

Tak postupně.

Presumpce viny vs. neviny není totéž jako objektivní vs. subjektivní odpovědnost. Presumování viny je nepřípustné vždy a za všech okolností, ale týká se pouze trestní odpovědnosti. Zde se jedná o odpovědnost civilní - tedy v zásadě "jen" povinnosti nahradit škodu a "jen" zaplatit pokutu. Budu o tom psát dál.

Bez soud určitě nejste viníkem. Když proti Vám někdo vznese nárok, tak se může na soud obrátit. Ale je pravda, že soud bude vycházet z toho, že Vaše firma zanedbala své povinnosti, když k úniku došlo. Na Vás bude doložit, že máte ve firmě zavedena taková opatřeních, při kterých jste mohl být přesvědčený, že jsou informace chráněny. Tomu vyvinění se se říká "liberace" (u subjektivní odpovědnosti pak "exkulpace").

Představte si restauraci, kde v kuchyni běhají myši a lednička je plesnivá. Myslíte si, že by bylo správné, aby nebyl postihnutý provozovatel restaurace jen kvůli tomu, že "to zavinili jeho zaměstnanci"? To by nefungovalo. Vždy by se to hodilo na nějakou nešťastnou pomocnici v kuchyni a náprava by nikdy nepřišla.

Proto se zavádí, ve výjimečných případech, objektivní odpovědnost. Provozovatel musí zajistit (a je čistě na něm JAK), aby k takovému prohřešku v jeho provozu nedošlo. Majitel restaurace může chodit provoz kontrolovat osobně, nebo může ustanovit ještě vedoucího směny, který bude úklid dokumentovat, a/nebo zajisti pravidelný servis od externí firmy, která jednou za čas ještě prověří stav a provede generální úklid. Nebo se rozhodne nevařit teplou kuchyni a prodávat jen zákusky z chladicího boxu.

V případě citlivých informací je to stejné. Směrnice nutí ty, kteří informace shromažďují, aby se nejprve zamysleli, jestli je vůbec shromažďovat potřebují; mnohdy to dělají z plezíru, nebo jen kvůli nemístnému marketingu. V druhé řadě musí informace oddělit tak, aby s nimi přicházelo do styku minimum zaměstnanců, jen ti, kteří je opravdu potřebují ke své práci. Pak je vhodné tyto zaměstnance poučit (proškolit), jak se k informacím chovat.

Je nutné zamyslet se i nad tím, jaká je motivace provozovatelů - zaměstnavatelů. Doposud, když došlo k průšvihu, vyplatilo se jak "zlobivému zaměstnanci", tak i jeho zaměstnavateli držet ústa a nespolupracovat na vyšetřování úniku dat. Poměrně logicky. Jsem firma - a proč bych dával do ruky úřadům důkaz o tom, že moje firma udělala chybu? V případě objektivní odpovědnosti je to dané, firma je odpovědná, a tedy ráda spolupracuje na vyšetření, protože jí to může jedině pomoci.

Zkrátka, pokud takovou odpovědnost nezavedeme, pak budeme jíst jídlo z plesnivých kuchyní a budeme dostávat neustále víc a víc cílené marketingové masírky, protože naše soukromí přestane existovat úplně. Nikdo nikdy nebude odpovědný, protože se nepodaří vypátrat, kdo co zavinil.

GDPR už jsem potkal v praxi. Kupoval jsem si přednabitou slevovou kartu. Provozovatel ke kartě shromažďuje údaje, ale jen za jediným účelem - kvůli blokaci při ztrátě a vydání náhradní karty. Dříve chtěli znát jméno, příjmení, adresu, datum narození, telefon a e-mail. Dnes už po mně chtěli jen (jméno NEBO příjmení) A (telefon NEBO e-mail). Jednalo se o přednabití pakatelu, asi 3000 Kč, takže i kdyby to měli zaplatí ze svého, nepoloží je to na lopatky. A tak usoudili, že pro daný účel stačí shromáždit takto omezené informace. A TO JE GDPR V PRAXI!