MENU

Velký návod na GDPR

Převzato z: Deník MF DNES, 21.5.2018

Nová pravidla ochrany údajů se týkají každého. J ak je zvládnout a využít ke svému prospěchu.

Dosud se to týkalo především firem, od nynějška už úplně každého. Evropské nařízení GDPR, které má ambiciózní cíl zkrotit lovce osobních údajů a majitele gigantických databází plných informací nejen o jejich klientech, vstupuje v platnost 25 .května.

MF DNES proto připravila velký přehled, co bude muset každý z nás sledovat, na co bude třeba dát si pozor a jaké výhody GDPR (General Data Protection Regulation) běžným občanům přinese.

Zaškrtněte „Souhlasím“

Dnes si stačí v e-shopu otevřít pár nabídek na mobil, nové boty nebo zájezd do Mexika. Z profilu na Facebooku nebo třeba při čtení zpráv se pak z monitoru valí reklama přesně na to samé. K tomu e-mailová schránka plná newsletterů, někdy i od firem, které neznáte.

Sbírat osobní údaje obrovských počtů lidí je snadné. A přináší to zisk. Případy, jako je 90 milionů uživatelů Facebooku, jejichž osobní údaje využila britská firma Cambridge Analytica k vývoji softwaru, který pomáhal k vítězství v prezidentské kampani Donaldu Trumpovi, jsou jen špička ledovce.

O souhlas se zpracováním osobních údajů žádají všichni – e-shop, plynárna, škola i trenér sportovního kroužku. „Bohužel lidé k nim začínají mít averzi. Buď souhlasí se vším, nebo nepodepisují nic a mohou se tak připravit o služby, které využívají,“ říká expertka na GDPR Eva Škorničková.

Současná situace, byť ji řada lidí vnímá jako obtěžující, je podle ní pro lidi vynikající příležitost udělat si pořádek v tom, v jakých jsou věrnostních klubech, jaké dostávají newslettery a jaké další služby využívají.

Tak například České aerolinie rozeslaly svým zákazníkům zprávu se symbolem smutného obličeje a informují v něm o tom, že pokud nepotvrdí souhlas se zpracováním osobních údajů upravených podle GDPR, nebudou bohužel nadále dostávat jejich newslettery a obchodní nabídky. Kdo tyto jejich služby rád využívá, rád je i potvrdí. Kdo ne, nepotvrdí a dál je jednoduše dostávat nebude.

A to je důležité – souhlas se zpracováním osobních údajů dát nikdo nemusí. GDPR (a tedy i souhlas se zpracováním osobních údajů) se totiž netýká podstaty obchodního nebo jiného vztahu, který s firmou či úřadem máte.

GDPR se týká jen takového využívání osobních informací, které jde nad rámec obchodní smlouvy. Tak například plynárny budou dál dodávat plyn, i když od zákazníka souhlas ke zpracování osobních údajů nedostanou. Informace, které k tomu potřebují, mají na základě obchodního a dalších zákonů. Školy budou i bez podepsaného souhlasu dál vystavovat vysvědčení a vyplňovat školní matriky, jak jim to ukládá školský zákon. Policie bude dál rozdávat pokuty.

Co GDPR řeší, jsou informace, se kterými firmy a instituce pracují nad rámec tohoto základního vztahu. U škol jsou to fotografie na školním webu. Lékař od vás může chtít souhlas k tomu, aby vás mohl přes e-mail upozornit, že se blíží datum prohlídky. Nejčastěji ale o souhlas žádají firmy, které osobní informace používají k marketingovým účelům, tedy například k rozesílání newsletterů jako České aerolinie.

Papežštější než papež

U většiny firem jejich zákazník přechod na GDPR pozná právě jen z toho, že si řeknou o tento souhlas. Avšak už jen to může řadu lidí obtěžovat.

Někdy však nemusí zůstat jen u souhlasu. Například členové věrnostních klubů dm drogerie nebo Billa museli přihlášky de facto vyplňovat znovu. „Předpokládám, že využívali z hlediska GDPR příliš velké množství informací, a to způsobem, kdy musí své systémy komplexně přepracovat,“ říká na to Radomír Pivoda, právník a specialista na GDPR.

V některých případech chtějí firmy od zákazníka stvrdit víc, než je třeba čistě pro jistotu. A to z obav z pokut, které mohou dosahovat až 20 milionů eur. Tak třeba pokud chce firma souhlas kvůli zasílání newsletterů, je zbytečné, aby kvůli tomu své zákazníky hnala podepsat souhlas osobně na pobočku.

Na druhou stranu u citlivých údajů to smysl mít může. „Komunikace přes e-mail stojí na jisté míře důvěry, že je na druhé straně opravdu osoba, od níž chci souhlas získat. Kontrola, která přijde do firmy, může chtít u citlivých údajů vědět, jak firma ověřovala totožnost,“ říká Pivoda. Souhlas přes e-mail tak nemusí stačit například on-line lékárně, která má k dispozici informace, ze kterých se dá vyvodit diagnóza zákazníka.

Když MF DNES oslovovala společnosti z různých oblastí, byla to mimochodem právě Česká lékárnická komora, která byla o něco opatrnější než ostatní. Ta zároveň předpokládá, že by mohly některé věrnostní programy v lékárnách úplně skončit.

„Jedná se o věrnostní programy, v rámci kterých dochází ve větším rozsahu ke sběru údajů zvláštní kategorie, mimo jiné o zdravotním stavu. Dochází k jejich sdílení s dalšími poskytovateli, větším počtem lékáren nebo se zahraničím,“ odpověděla mluvčí komory Michaela Bažantová na otázku, které věrnostní programy by mohly mít problém.

I když úplně samy v tom lékárny nejsou. Už před pár týdny společnost Seznam ohlásila, že zruší službu spoluzaci.cz. „Vyhodnotili, že kdyby měli vyhovět GDPR, museli by službu natolik osekat, že by se jim nevyplatila,“ soudí Pivoda.

Další problém jsou mýty, kterých se kolem GDPR za poslední měsíce vytvořilo nepřeberné množství. Stejně jako vlna žádostí o souhlas se zpracováním osobních údajů by však tato vlna měla po 25. květnu rychle opadnout. „Fascinuje mě, že u zákona, který vznikl kvůli potřebě chránit osobní data v digitálním světě, se nejvíc diskutuje o nástěnkách ve školách,“ říká k tomu Eva Škorničková, expertka na GDPR.

Zdravotní sestřičky se tak nemusí bát, že by nemohly pacienty v čekárně vyvolat jménem, o čemž se také spekulovalo. „Za to, že sestra v čekárně zavolá, že je pan Novák na řadě, ji nikdo sankcionovat nebude, i když z hlediska našeho úřadu by samozřejmě bylo lepší, kdyby ordinace měla anonymizovaný systém, jaký používají například na poštách,“ říká Tomáš Paták, mluvčí Úřadu na ochranu osobních údajů, který bude mít dodržování GDPR na starosti.

Právo vědět

Možná největším přínosem GDPR pro ty, kteří své osobní údaje svěřují ostatním, je právo vědět. Když o to po žádají, bude jim firma či instituce muset sdělit, co všechno o nich ví a co s informacemi dělá.

Jak to udělat, o tom by měla organizace jasně informovat. Někde bude třeba zaslat dotaz, jinde ani to. Například dárci Konta Bariéry dostanou identifikační číslo, přes které se budou moci přihlásit přímo do jejich databáze informací o dárcích. „Budou se do databáze moci podívat, sami v nich změnit údaje, například zasílací adresu, a samozřejmě požádat o výmaz,“ říká Gabriela Švagrová, která má v této nadaci problematiku GDPR na starost.

Lepší představa o tom, co o lidech instituce a firmy vědí, jim dá lepší představu o tom, co chtějí z jejich paměti vymazat. Právo být zapomenut sice měli už podle současné legislativy, nebylo však příliš využíváno. S GDPR se dostalo do centra pozornosti.

„Je ale často špatně vykládáno jako absolutní. Právo na výmaz člověk získá až v okamžiku, kdy společnost už nebude mít žádný zákonný důvod jeho údaje uchovávat. Tak například zaměstnavatel nemůže po skončení pracovní smlouvy všechny osobní údaje vymazat, protože musí ze zákona některé dokumenty archivovat. Firmy si některé informace uchovávají kvůli případným reklamacím a tak podobně. Měly by to ale být jen nezbytné údaje,“ říká Eva Škorničková.

Jaké jsou možnosti, pokud má klient podezření, že firma s údaji nezachází podle práva? Jako první krok doporučuje Tomáš Paták obrátit se na takzvaného pověřence, to je člověk, kterého firmy a úřady musí nově dohledem nad zacházením s osobními údaji pověřit. V případě, že to problém nevyřeší, je další instancí stížnost Úřadu pro ochranu osobních údajů nebo policii.

 
Pokud najdete chyby, nefunkční odkazy, zastaralé či neúplné údaje, sdělte nám to prosím na e-mail: redakce@nepomuk.cz

Kudyznudy.cz - tipy na výlet

© Město Nepomuk, 2020, Design by Beneš & Michl.