Konec syslení dat. Díky tajemné zkratce GDPR se lidé poprvé dozvědí, kdo o nich co ví


16. 5. 2018Aktualizováno21. 5. 2018|Zdroj: ČT24

Všechny české podniky, úřady, nemocnice, školy i neziskové organizace se musí připravit na nová pravidla ochrany osobních údajů. Nabudou účinnosti 25. května. Zavádí je nové evropské nařízení na ochranu dat, v odborných kruzích známe pod zkratkou GDPR. To zásadně mění způsob, jak se v Evropě včetně Česka chrání soukromí. Lidem slibuje nová práva, zároveň ale „zabíjí byznys“. Konec už kvůli novým pravidlům oznámila například webová platforma Spolužáci.cz.

Osobní údaje se v posledních letech změnily v cenné platidlo. Řada služeb a aplikací je dnes na internetu zdarma výměnnou za to, že od uživatelů získají jejich osobní údaje. S těmi pak provozovatelé webů naloží, jak uznají za vhodné. Cílí jejich prostřednictvím reklamu, za což od zadavatelů reklamy inkasují peníze, informace o uživatelích analyzují a poté prodávají, nebo je sdílí se svými dalšími službami. Na takovém ekonomickém modelu stojí třeba miliardový byznys Googlu.

Jde ale i o bezpečnost dat. „Cloudy dnes často sídlí v cizích zemích, a vůbec nevíte, kdo k nim má přístup. Společnosti tam přesto zasílají miliony osobních údajů svých klientů a zaměstnanců,“ popisuje zaběhlou praxi advokátka bpv Braun Partners Gabriela Jiráková.

  • 1) Proč slyším o GDPR ze všech stran právě v posledních týdnech a co ta zkratka vlastně znamená?
  • Pod zkratkou GDPR se skrývá obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation). Nařízení schválili evropští zákonodárci na jaře 2016 a dali podnikům a institucím, které využívají osobní data Evropanů, dva roky na to, aby se na nová pravidla připravily. Nařízení nabylo ve všech státech EU účinnosti 25. května.
  • 2) Osobní údaje se však chrání už teď. Dokážete v jednom souvětí shrnout změny, které mě jako běžného občana – uživatele čekají?
  • Především dostanete nové informace. Nařízení totiž klade důraz na transparentnost, to znamená, že všechny firmy a instituce, které pracují s osobními údaji občanů, je budou muset informovat o tom, co s údaji o nich dělají. A získáte také nová práva, například právo žádat výmaz svých údajů z marketingových databází. Zvlášť v internetovém prostředí pak bude vítanou novinkou právo na přenositelnost. To umožní občanům zdarma žádat přenos svých osobních údajů od starého správce, například poskytovatele e-mailové schránky, k novému.
  • 3) Týká se to i sociálních sítí? E-mailů?
  • Ano. Nařízení reaguje právě na rozvoj nových technologií a komunikačních nástrojů, které v 90. letech, kdy vznikala stará evropská směrnice o ochraně osobních údajů, často ještě vůbec neexistovaly.
  • 4) Jak zjistím, která data o mně kdo uchovává? Můžu se přímo zeptat?
  • Ano. Správce nebo zpracovatel osobních údajů, od soukromých firem přes státní úřady, nemocnice až po neziskové organizace, vám musí sdělit, jaké osobní údaje o vás zpracovává a jaký je účel tohoto zpracování. Pokud organizace jmenuje pověřence pro ochranu osobních údajů – toho musí podle GDPR povinně mít například nemocnice, státní úřady, internetové vyhledavače nebo také mobilní operátoři – můžete se s dotazy obracet přímo na něj. V ostatních případech na jednatele nebo na zaměstnance, s nímž jste v minulosti komunikovali. 
  • 5) Firma odmítá moje data smazat, nekomunikuje. Jak postupovat dál?
  • V takovém případě můžete podat podnět k Úřadu pro ochranu osobních údajů, aby situaci prošetřil. 
  • 6) Informace o mně jsou na internetu nepravdivé nebo staré, jak se bránit?
  • Kontaktujte správce nebo zpracovatele dat, tedy například provozovatele internetových stránek, a požádejte ho o opravu osobních údajů. Vyhovět podle nařízení musí bez zbytečného odkladu. 
  • 7) Ve své živnosti mám několik databází zákazníků, existuje jednoduchý návod, co smazat, a co ne?
  • Na tuto otázku jednoduchá odpověď neexistuje. Nařízení dává pouze obecný návod a je na každé společnosti či živnostníkovi, aby si udělal analýzu osobních údajů, které o svých zákaznících, ale také třeba zaměstnancích, má a z jakého titulu je sbírá. Titulem opravňujícím ke sběru dat může být plnění smlouvy, plnění zákonné povinnosti, oprávněný zájem nebo také souhlas se zpracováním osobních údajů. Je na vás, abyste posoudili, zda takové oprávnění máte. Pokud ne, musíte osobní údaje smazat.
  • 8) Mohu se povinnosti provádět vstupní analýzy k GDPR vyhnout tím, že všechny zákazníky, zaměstnance a lidi, s nimiž přicházím do kontaktu, požádám o souhlas se zpracováním osobních údajů?
  • Nikoliv. Naopak kvůli sbírání souhlasů v případech, že je nepotřebujete, protože vás ke zpracování opravňuje jiný titul – například povinnost plynoucí ze smlouvy – můžete od Úřadu pro ochranu osobních údajů dokonce dostat pokutu. Takové chování totiž úřad považuje za klamavé. Může v lidech vzbuzovat mylný dojem, že souhlas mohou později odvolat a správce bude muset na základě toho jejich údaje vymazat.
  • 9) Kdo firmám a živnostníkům poradí s otázkami kolem nových pravidel ochrany osobních údajů?
  • V nabídkách poradenství se předhánějí advokátní kanceláře a nejrůznější konzultantské společnosti. Levnější je ale obvykle hledat pomoc u profesních organizací, jako je třeba Svaz průmyslu a dopravy nebo Hospodářská komora. Některé – například Česká stomatologická komora – zveřejnily také metodiky a návody, jak se na GDPR připravit. Základní otázky kolem nařízení zodpoví také ChatBot vytvořený ve spolupráci Svazu průmyslu a dopravy, ministerstva vnitra a společnosti IBM. Pokyny a výkladová stanoviska k novému nařízení jsou k dispozici také na webu Úřadu pro ochranu osobních údajů.
  • 10) Týká se GPDR i úřadů či občanských spolků? Budou se data mazat i tam?
  • Evropské nařízení o ochraně osobních údajů se týká všech, kdo pracují s osobními údaji. Státní instituce, neziskové organizace, ale také bytová družstva nebo společenství vlastníků v tom nejsou výjimkou. To ale neznamená, že by musely osobní údaje hned mazat. Zvlášť státní instituce až na výjimky totiž sbírají osobní údaje ze zákona. Totéž platí také o osobních údajích vlastníků bytů nebo nájemníků, které sbírají společenství vlastníků jednotek.
  • 11) Český zákon o zpracování osobních údajů, který reaguje na GDPR, teprve projednává sněmovna. Znamená to, že se Češi budou muset začít řídit novými pravidly až poté, co politici zákon schválí?
  • Ne. Nařízení je přímo účinné ve všech zemích Evropské unie. Bez ohledu na stav projednávání národních adaptačních zákonů začala ve všech členských zemích Unie nová pravidla platit 25. května. Členské státy si ve svých předpisech pouze mohou upravit ty oblasti, kde to Brusel výslovně umožnil. Nastavit si tak mohou například věk, do nějž budou muset zpracování osobních údajů dětí odsouhlasit rodiče. Oscilovat může mezi 13 a 16 lety. Český návrh zákona také snižuje pokuty, které hrozí za porušení nových pravidel orgánům veřejné moci, a nově upravuje i fungování Úřadu pro ochranu osobních údajů.

Nové evropské nařízení na ochranu osobních údajů ji má změnit. Firmy a instituce totiž podle něj budou muset podrobně informovat své klienty, co s jejich osobními údaji učiní. Pokud budou chtít použít data zákazníků třeba pro marketingové účely nebo je předávat dál, budou k tomu od nich navíc muset mít výslovný souhlas. To sice platilo i podle dosavadních českých pravidel, nově ale musí být souhlas jasně odlišený od ostatního obsahu.

„Neměl by být například součástí smlouvy nebo všeobecných obchodních podmínek,“ vysvětluje partnerka advokátní kanceláře Taylor Wessing Karin Pomaizlová. Právě tam se přitom v minulosti hlavně u e-shopů nebo bank často schovával, což vedlo k tomu, že jej lidé dávali bezmyšlenkovitě.

Nahrávám video
Devadesátka ČT24 o ochraně osobních údajů podle GDPR
Zdroj: ČT24

Možnost odvolat souhlas

Pokud lidé souhlas udělí, musí mít také možnost jej kdykoliv odvolat, a to stejně snadnou cestou, jako bylo jeho poskytnutí. V takovém případě musí firma data bezodkladně smazat ze všech svých databází. „Jednoznačně pozitivní je i zákaz podmiňovat dodání zboží či poskytnutí služby udělením souhlasu se zpracováním osobních údajů, což se dnes často děje, například v e-shopech,“ dodává Pomaizlová.

Žádat o souhlas se zpracováním osobních údajů by raději neměly firmy své zaměstnance, ačkoliv jejich data potřebují. Mohly by totiž vzniknout pochybnosti o tom, zda byl souhlas vůbec svobodný, anebo jej pracovník podepsal jen proto, že se bál o místo. I na to ale nařízení pamatuje. Souhlas totiž firmy a instituce nepotřebují v případě, že je ke zpracování dat zavazuje zákon. Typicky půjde třeba o situaci, kdy zaměstnavatel potřebuje rodné číslo zaměstnance, aby za něj mohl státu zaplatit sociální a zdravotní pojištění.

Ilustrační foto
Zdroj: Patrick Pleul/DPA (ČTK)

Konec vydírání: vaše data budou chodit všude s vámi

Naprostou novinkou, kterou GDPR zavádí, je také právo na přenositelnost osobních údajů. To má podle plánů Evropské komise zvýšit konkurenci zejména mezi poskytovateli internetových služeb. Mělo by zabránit situacím, kdy uživatel zůstává u používání jedné služby jen proto, že kdyby přešel ke konkurenci, přišel by o vlastní obsah, který si při používání služby vytvořil. Takovým obsahem může být třeba kalendář nebo adresář kontaktů vytvořený v e-mailové schránce.

Přenos údajů bude ve většině případů zdarma. „Výjimkou bude situace, kdy může správce údajů doložit, že žádosti jsou zjevně nedůvodné nebo nepřiměřené – zejména proto, že se opakují,“ upřesňuje konzultantka a expertka na nové nařízení Eva Škorničková.

Jiná pravidla obsažená v evropském nařízení, ale tak úplně nová nejsou. Tak například žádat výmaz neaktuálních údajů mohli lidé i podle starých pravidel. Jak ale ukázal případ Španěla Maria Costeji Gonzáleze, který se u Googlu v letech 2010 až 2014 domáhal smazání starého odkazu na článek o dražbě svého majetku, museli kvůli tomu k soudu. GDPR pravidla upřesňuje – údaje, které už neslouží k účelu, k němuž je lidé poskytli, se budou muset mazat automaticky.

Nová pravidla budou od 25. května platit v celé Evropské unii. Dodržovat je ale budou muset i firmy a instituce ze zámoří, pokud budou chtít pracovat s daty občanů unie.

Příprava na novinky není pro správce a zpracovatele dat jednoduché. Nařízení sice mluví o právech a povinnostech, už ale jasně neříká, jak konkrétně je potřeba data zabezpečit. Každá firma, úřad, neziskovka, škola nebo třeba i nemocnice si tak musí sama vyhodnotit, jaká opatření musí k ochraně dat přijmout.

GDPR je hrozba, soudí řada organizací

„Dopad GDPR je dlouhodobý a přináší změny v interních procesech, zamyšlení se nad tím, když k nám někdo přijde na recepci nebo třeba pošle životopis, tak tím už začíná životní cyklus dat, na který by ta firma měla být připravena,“ říká Škorničková. Nové nařízení tak pro firmy a instituce znamená hlavně příležitost udělat si pořádek v datech, s nimiž pracují.

V některých případech nová pravidla také uleví od administrativních povinností. Tak například, když si bude chtít obchodník v prodejně umístit kamery, nebude se už kvůli tomu po květnovém termínu muset registrovat na Úřadu pro ochranu osobních údajů.

Přesto řada organizací považuje nové evropské nařízení za hrozbu. Jak ukázal průzkum, který si nechala udělat společnost NetApp pouhých šest týdnů před účinností novinek, 67 procent šéfů amerických a evropských firem, si myslí, že nedokáží splnit požadavky plynoucí z nového nařízení včas. Každá třetí společnost se pak obává, že GDPR může ohrozit její existenci.

Abychom mohli změny, které z GDPR vyplývají, implementovat na Spolužácích, museli bychom službu od základů přepsat. Toto řešení se ukázalo jako neefektivní a finančně příliš náročné, proto jsme dospěli k rozhodnutí službu ukončit.
Veronika Prokopová
produktová manažerka platformy Spolužáci.cz

Největší obavy z nařízení panují mezi firmami z on-line prostředí. „Právo na výmaz a právo na přenositelnost údajů znamenají pro digitální byznys jednoznačně růst nákladů. Přenositelnost osobních údajů mezi správci v některých případech nebude možná z důvodu odlišného technologického řešení,“ upozorňuje na hlavní problémy spojené s novinkami výkonná ředitelka Sdružení pro internetový rozvoj Kateřina Hrubešová.

Obavy v očích firem vyvolává ale také výše sankcí, které nově hrozí za porušení pravidel. Zatímco v Česku se doposud nejvyšší pokuty udělené za únik osobních údajů pohybovaly v řádu jednotek milionů korun, nově budou moci vyšplhat až na 20 milionů eur, tedy zhruba na půl miliardy korun, u firem až na 4 % z celosvětového obratu.

V českých podmínkách mají ale experti pro „paniku“ provázející GDPR i jiné vysvětlení. „S GDPR všichni začali ochranu osobních údajů řešit a často zjistili, že ji 17 let nemají v souladu s platnou právní úpravou,“ míní advokátka bpv Braun Partners Gabriela Jiráková. Že mají Češi v ochraně dat rezervy, ostatně potvrzuje i Úřad pro ochranu osobních údajů. „Obecně západní státy EU jsou značně napřed,“ říká mluvčí úřadu Tomáš Paták.

I kvůli tomu je teď adaptace na nová pravidla pro české firmy a úřady poměrně drahá. Podle propočtů společnosti Bureau Veritas průměrný podnik počítá náklady v řádu stovek tisíc korun. A podobně jsou na tom i státní instituce. Celkově by Česko mohla příprava na nové nařízení vyjít až na šest miliard.

Výběr redakce

V Česku přibývá případů horečky dengue

V Česku přibývá případů horečky dengue

před 10 mminutami
Některé dodávky budou muset být od července vybaveny tachografy

Některé dodávky budou muset být od července vybaveny tachografy

před 40 mminutami
Trump byl evakuován z galavečeře s novináři poté, co se v budově střílelo

Trump byl evakuován z galavečeře s novináři poté, co se v budově střílelo

včeraAktualizovánopřed 5 hhodinami
Čína nás vydírá, říká Farský. My nepodlézáme, brání se Červený

VideoČína nás vydírá, říká Farský. My nepodlézáme, brání se Červený

před 9 hhodinami
Výběr policistů do elitního týmu URNA. Pekelný týden natáčel štáb ČT

VideoVýběr policistů do elitního týmu URNA. Pekelný týden natáčel štáb ČT

před 10 hhodinami
Dohoda Londýna s Paříží má migrantům zkomplikovat riskantní cesty po moři

Dohoda Londýna s Paříží má migrantům zkomplikovat riskantní cesty po moři

před 10 hhodinami
ETS je obchod s uměle vytvořenou komoditou, míní Gavor. Emise jsou realita, říká Svárovská

ETS je obchod s uměle vytvořenou komoditou, míní Gavor. Emise jsou realita, říká Svárovská

před 10 hhodinami
Soud uvalil další vazbu za žhářský útok v Pardubicích

Soud uvalil další vazbu za žhářský útok v Pardubicích

včeraAktualizovánopřed 12 hhodinami

Aktuálně z rubriky Ekonomika

ETS je obchod s uměle vytvořenou komoditou, míní Gavor. Emise jsou realita, říká Svárovská

„Věřím, že se dožiju dne, kdy budou zrušeny emisní povolenky,“ řekl v Nedělní debatě ČT předseda Svobodných Libor Vondráček z poslaneckého klubu SPD. Analytik poradenské společnosti ENA Jiří Gavor je názoru, že systém sice není nastavený ideálně, ale zrušit se nedá. Podle spolupředsedkyně Zelených Gabriely Svárovské z klubu Pirátů Zelená dohoda prochází změnami. „Potřebujeme ji měnit i ve smyslu podpory průmyslu,“ podotkla. Debatu o emisních povolenkách moderoval Lukáš Dolanský.
před 10 hhodinami

Nový zákon podle Fialy zrychlí reakci na krize. Vláda se bojí žalob, míní Skopeček

Nový zákon o regulaci cen paliv umožní rychlejší a flexibilnější reakce na krizové situace, řekl v Nedělní debatě předseda poslaneckého klubu SPD Radim Fiala. Vláda se chce vyhnout žalobám, oponoval místopředseda sněmovny Jan Skopeček (ODS). Podle viceprezidenta Svazu průmyslu a dopravy ČR Radka Špicara mělo být opatření mírnější. Debatu vedl Lukáš Dolanský.
před 15 hhodinami

Česko letos podle NATO nesplní závazek dvou procent HDP na obranu, řekl Babiš

Česko letos podle hodnocení Severoatlantické aliance (NATO) nesplní závazek vydat na obranu dvě procenta hrubého domácího produktu (HDP). Podle hodnocení NATO budou obranné výdaje činit 1,78 procenta HDP, řekl v neděli ve videu na sociálních sítích premiér Andrej Babiš (ANO). Závazek podle něj nesplnila loni ani bývalá vláda Petra Fialy (ODS), protože NATO uznalo obranné výdaje ve výši 1,85 procenta HDP. Fiala nicméně v reakci na to uvedl, že Česko loni podle aktuální zprávy generálního tajemníka NATO své závazky splnilo. Bývalá ministryně obrany Jana Černochová (ODS) sdělila, že Babiš zase lže.
včeraAktualizovánopřed 19 hhodinami

VideoHosté Událostí, komentářů z ekonomiky probrali cestování během blízkovýchodní krize

Hosté Událostí, komentářů z ekonomiky probrali současnou situaci kolem cestování během krize na Blízkém východě. Pozvání přijali výkonný ředitel Asociace cestovních kanceláří ČR Michal Veber a generální ředitel skupiny Le Hotels Petr Lžičař. „Letenky se zdraží. Možná o pět až osm procent. Jenže zdražilo se i palivo na pumpě a jízda autem je nižší komfort, takže se zájem o letání nezmění,“ míní Veber. Lžičař označil vyjádření eurokomisaře pro energetiku, že se cestování zdraží až o 20 procent v případě cen letenek, za spekulaci. „Nemyslím, že zdražení letenek ovlivní chuť lidí vycestovat na dovolenou. Pokud by se to stalo, tak může být například pozitivní, že Češi budou preferovat tuzemskou dovolenou,“ dodal. Svůj pohled také přidal výkonný ředitel rozvoje leteckého obchodu Letiště Praha Jiří Vyskoč. Diskusi moderovala Vanda Kofroňová a Hana Vorlíčková.
před 21 hhodinami

VideoMalá restituce napravila mnohé majetkové křivdy, vše se ale majitelům nevrátilo

Radost z vráceného majetku, ale i starost, co s ním dál, provázely takzvanou malou restituci, která byla na jaře roku 1991 v plném proudu. Stát v rámci ní vracel zhruba sto tisíc vyvlastněných nájemních domů, menších nebo středních rodinných podniků, hotelů, restaurací, dílen, pil nebo mlýnů. I když podle zákona o zmírnění následků některých majetkových křivd z roku 1990 měli dosavadní uživatelé povinnost původním majitelům nabídnout k odprodeji veškeré zařízení, někdy byly prostory v době vracení prázdné.
před 22 hhodinami

Slabý růst, pomalé ozdravení. Agentura S&P o stupeň snížila rating Slovenska

Mezinárodní ratingová agentura S&P oznámila, že snížila hodnocení úvěrové spolehlivosti Slovenska o jeden stupeň na úroveň A. Poukázala na slabý růst slovenské ekonomiky a pomalejší než předpokládané ozdravení veřejných financí země. Výhled ratingu pak S&P změnila na stabilní z negativního, což znamená, že ho v nejbližší době nehodlá měnit. Slovenské ministerstvo financí v reakci uvedlo, že krok S&P byl očekávaný, neboť dosavadní rating Slovenska u S&P byl podle něj vyšší než u jiných agentur.
25. 4. 2026

Státy EU se neshodnou na přístupu k emisním povolenkám, Komise chystá revizi

Evropská komise má připravit do července revizi systému emisních povolenek ETS, který však má zůstat zachován, vyplývá ze závěrů březnového summitu EU. Jde o výsledek debaty mezi státy, které chtějí ulevit těžkému průmyslu, a zeměmi, které si přejí pokračování dlouho fungujícího systému. Už na začátku dubna Komise navrhla úpravu, která ruší zneplatňování povolenek v rezervě. Premiér Andrej Babiš (ANO) následně zaslal předsedkyni EK Ursule von der Leyenové a dalším evropským lídrům dopis, v němž navrhuje další bezplatné alokace povolenek některým podnikům.
25. 4. 2026

VideoVládní regulace cen paliv je jen pro mimořádné situace, říká Mach. Omezené šance na přezkum, namítá Volpe

Sněmovna potvrdila, že ceny pohonných hmot bude do budoucna moci regulovat nebo zastropovat vláda. Poslanci tím přehlasovali veto Senátu. Regulace nastala jako ochrana před tím, že si někdo „namastí kapsy na úkor spotřebitelů“, argumentoval náměstek ministryně financí Petr Mach (SPD). Opatření dle něj platí pro mimořádnou situaci, nikoli běžný provoz. Člen sněmovního podvýboru pro dopravu Samuel Volpe (Piráti) zmínil přijetí zákona ve stavu legislativní nouze, výtky Senátu pokládá ve většině za relevantní. Varoval před precedentem z Maďarska, kde dle něj obdobné opatření k ničemu nevedlo. Vyzdvihl také problematiku dalšího přezkumu, v případě nařízení vlády je možný jen u Ústavního soudu. Debatou v Událostech, komentářích provázela Tereza Řezníčková.
25. 4. 2026
Načítání...