Konec syslení dat. Díky tajemné zkratce GDPR se lidé poprvé dozvědí, kdo o nich co ví

Všechny české podniky, úřady, nemocnice, školy i neziskové organizace se musí připravit na nová pravidla ochrany osobních údajů. Nabudou účinnosti 25. května. Zavádí je nové evropské nařízení na ochranu dat, v odborných kruzích známe pod zkratkou GDPR. To zásadně mění způsob, jak se v Evropě včetně Česka chrání soukromí. Lidem slibuje nová práva, zároveň ale „zabíjí byznys“. Konec už kvůli novým pravidlům oznámila například webová platforma Spolužáci.cz. 

Osobní údaje se v posledních letech změnily v cenné platidlo. Řada služeb a aplikací je dnes na internetu zdarma výměnnou za to, že od uživatelů získají jejich osobní údaje. S těmi pak provozovatelé webů naloží, jak uznají za vhodné. Cílí jejich prostřednictvím reklamu, za což od zadavatelů reklamy inkasují peníze, informace o uživatelích analyzují a poté prodávají, nebo je sdílí se svými dalšími službami. Na takovém ekonomickém modelu stojí třeba miliardový byznys Googlu.

Jde ale i o bezpečnost dat. „Cloudy dnes často sídlí v cizích zemích, a vůbec nevíte, kdo k nim má přístup. Společnosti tam přesto zasílají miliony osobních údajů svých klientů a zaměstnanců,“ popisuje zaběhlou praxi advokátka bpv Braun Partners Gabriela Jiráková.

Nové evropské nařízení na ochranu osobních údajů ji má změnit. Firmy a instituce totiž podle něj budou muset podrobně informovat své klienty, co s jejich osobními údaji učiní. Pokud budou chtít použít data zákazníků třeba pro marketingové účely nebo je předávat dál, budou k tomu od nich navíc muset mít výslovný souhlas. To sice platilo i podle dosavadních českých pravidel, nově ale musí být souhlas jasně odlišený od ostatního obsahu.

„Neměl by být například součástí smlouvy nebo všeobecných obchodních podmínek,“ vysvětluje partnerka advokátní kanceláře Taylor Wessing Karin Pomaizlová. Právě tam se přitom v minulosti hlavně u e-shopů nebo bank často schovával, což vedlo k tomu, že jej lidé dávali bezmyšlenkovitě.

Video 90’ ČT24 - Ochrana osobních údajů podle nových unijních pravidel
video

Devadesátka ČT24 o ochraně osobních údajů podle GDPR

Možnost odvolat souhlas

Pokud lidé souhlas udělí, musí mít také možnost jej kdykoliv odvolat, a to stejně snadnou cestou, jako bylo jeho poskytnutí. V takovém případě musí firma data bezodkladně smazat ze všech svých databází. „Jednoznačně pozitivní je i zákaz podmiňovat dodání zboží či poskytnutí služby udělením souhlasu se zpracováním osobních údajů, což se dnes často děje, například v e-shopech,“ dodává Pomaizlová.

Žádat o souhlas se zpracováním osobních údajů by raději neměly firmy své zaměstnance, ačkoliv jejich data potřebují. Mohly by totiž vzniknout pochybnosti o tom, zda byl souhlas vůbec svobodný, anebo jej pracovník podepsal jen proto, že se bál o místo. I na to ale nařízení pamatuje. Souhlas totiž firmy a instituce nepotřebují v případě, že je ke zpracování dat zavazuje zákon. Typicky půjde třeba o situaci, kdy zaměstnavatel potřebuje rodné číslo zaměstnance, aby za něj mohl státu zaplatit sociální a zdravotní pojištění.

Ilustrační foto
Zdroj: DPA (ČTK)
Autor: Patrick Pleul

Konec vydírání: vaše data budou chodit všude s vámi

Naprostou novinkou, kterou GDPR zavádí, je také právo na přenositelnost osobních údajů. To má podle plánů Evropské komise zvýšit konkurenci zejména mezi poskytovateli internetových služeb. Mělo by zabránit situacím, kdy uživatel zůstává u používání jedné služby jen proto, že kdyby přešel ke konkurenci, přišel by o vlastní obsah, který si při používání služby vytvořil. Takovým obsahem může být třeba kalendář nebo adresář kontaktů vytvořený v e-mailové schránce.

Přenos údajů bude ve většině případů zdarma. „Výjimkou bude situace, kdy může správce údajů doložit, že žádosti jsou zjevně nedůvodné nebo nepřiměřené – zejména proto, že se opakují,“ upřesňuje konzultantka a expertka na nové nařízení Eva Škorničková.

Jiná pravidla obsažená v evropském nařízení, ale tak úplně nová nejsou. Tak například žádat výmaz neaktuálních údajů mohli lidé i podle starých pravidel. Jak ale ukázal případ Španěla Maria Costeji Gonzáleze, který se u Googlu v letech 2010 až 2014 domáhal smazání starého odkazu na článek o dražbě svého majetku, museli kvůli tomu k soudu. GDPR pravidla upřesňuje – údaje, které už neslouží k účelu, k němuž je lidé poskytli, se budou muset mazat automaticky.

Příprava na novinky není pro správce a zpracovatele dat jednoduché. Nařízení sice mluví o právech a povinnostech, už ale jasně neříká, jak konkrétně je potřeba data zabezpečit. Každá firma, úřad, neziskovka, škola nebo třeba i nemocnice si tak musí sama vyhodnotit, jaká opatření musí k ochraně dat přijmout.

GDPR je hrozba, soudí řada organizací

„Dopad GDPR je dlouhodobý a přináší změny v interních procesech, zamyšlení se nad tím, když k nám někdo přijde na recepci nebo třeba pošle životopis, tak tím už začíná životní cyklus dat, na který by ta firma měla být připravena,“ říká Škorničková. Nové nařízení tak pro firmy a instituce znamená hlavně příležitost udělat si pořádek v datech, s nimiž pracují.

V některých případech nová pravidla také uleví od administrativních povinností. Tak například, když si bude chtít obchodník v prodejně umístit kamery, nebude se už kvůli tomu po květnovém termínu muset registrovat na Úřadu pro ochranu osobních údajů.

Přesto řada organizací považuje nové evropské nařízení za hrozbu. Jak ukázal průzkum, který si nechala udělat společnost NetApp pouhých šest týdnů před účinností novinek, 67 procent šéfů amerických a evropských firem, si myslí, že nedokáží splnit požadavky plynoucí z nového nařízení včas. Každá třetí společnost se pak obává, že GDPR může ohrozit její existenci.

„Abychom mohli změny, které z GDPR vyplývají, implementovat na Spolužácích, museli bychom službu od základů přepsat. Toto řešení se ukázalo jako neefektivní a finančně příliš náročné, proto jsme dospěli k rozhodnutí službu ukončit.“

Veronika Prokopová

produktová manažerka platformy Spolužáci.cz

Největší obavy z nařízení panují mezi firmami z on-line prostředí. „Právo na výmaz a právo na přenositelnost údajů znamenají pro digitální byznys jednoznačně růst nákladů. Přenositelnost osobních údajů mezi správci v některých případech nebude možná z důvodu odlišného technologického řešení,“ upozorňuje na hlavní problémy spojené s novinkami výkonná ředitelka Sdružení pro internetový rozvoj Kateřina Hrubešová.

Obavy v očích firem vyvolává ale také výše sankcí, které nově hrozí za porušení pravidel. Zatímco v Česku se doposud nejvyšší pokuty udělené za únik osobních údajů pohybovaly v řádu jednotek milionů korun, nově budou moci vyšplhat až na 20 milionů eur, tedy zhruba na půl miliardy korun, u firem až na 4 % z celosvětového obratu.

V českých podmínkách mají ale experti pro „paniku“ provázející GDPR i jiné vysvětlení. „S GDPR všichni začali ochranu osobních údajů řešit a často zjistili, že ji 17 let nemají v souladu s platnou právní úpravou,“ míní advokátka bpv Braun Partners Gabriela Jiráková. Že mají Češi v ochraně dat rezervy, ostatně potvrzuje i Úřad pro ochranu osobních údajů. „Obecně západní státy EU jsou značně napřed,“ říká mluvčí úřadu Tomáš Paták.

I kvůli tomu je teď adaptace na nová pravidla pro české firmy a úřady poměrně drahá. Podle propočtů společnosti Bureau Veritas průměrný podnik počítá náklady v řádu stovek tisíc korun. A podobně jsou na tom i státní instituce. Celkově by Česko mohla příprava na nové nařízení vyjít až na šest miliard.