Nová pravidla EU o ochraně osobních údajů (GDPR), která mají pomoci hájit práva občanů proti zneužívání jejich osobních dat, nabyla v pátek účinnosti. V Česku platí ve své základní podobě, protože stát nestihl připravit prováděcí předpis. Navíc se ani příliš nevěnoval informační kampani, takže mezi lidmi i firmami kolují nepřesné a nejasné informace, případně rovnou různé mýty.
Velkou pozornost vyvolaly už informace o riziku vysokých pokut. Za méně závažná porušení hrozí pokuta až 250 milionů korun. Pokud je prohřešek velký, opakovaný nebo zasáhne hodně lidí, činí sankce až 500 milionů korun. Bude však trestání opravdu tak přísné?
Uplatňování GDPR má v Česku kontrolovat Úřad pro ochranu osobních údajů. Jeho předsedkyně Ivana Janů uvedla, že úřad to s pokutami nijak nepřehání a postupuje už od svého počátku edukativně. Kontroly budou i nadále probíhat podle ročního plánu a také podle stížností, které úřad dostane. U nich se rozhoduje podle jejich závažnosti, které vybere ke kontrole. Stížností úřadu, který existuje od roku 2000, bývá ročně kolem čtyř tisíc.
Úřad na svých stránkách uvádí, že horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Právníci z toho odvozují, že by pokuty neměly být likvidační.
„Úřad pro ochranu osobních údajů postupuje buď podle kontrolního plánu, nebo na základě podnětu či stížnosti, což je nebezpečnější část. Spíš se obáváme, že se mohou stát dvě věci – jednak že úřad může být zavalen někdy i účelovými podněty, a zároveň že to může být prostředkem konkurenčního boje,“ poznamenala v 90' ČT24 advokátka Veronika Křížová.
Janů také v pátek uvedla, že „Brusel ještě dnes kompletuje a vytváří bruselský orgán, který je stěžejní pro jednotnou evropskou ochranu osobních údajů“. Šéfkou evropského úřadu pro ochranu dat je Rakušanka Andrea Jelineková. V minulosti vedla i obdobný rakouský úřad.
- Školy už se budou muset obejít bez fotek žáků například na nástěnkách.
- Skutečnost: V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem žáků nebo zákonných zástupců žáků uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku či třídy). Žák nebo zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkajících se jeho osoby, které zveřejňovat nechce. Platí to i o fotografiích či záznamech žáka bez uvedení jména v rámci obecné dokumentace školních akcí a úspěchů.
- Osobní údaj je jenom rodné číslo
- Skutečnost: Mezi obecné osobní údaje patří jméno a příjmení, pohlaví, věk a datum narození, IP adresa nebo foto či videozáznam, e-mailová adresa, telefonní číslo či různé identifikační údaje vydané a evidované státem a další speciální údaje (sexuální orientace, členství v odborech…).
- Současné databáze e-mailů, které ve firmě používám, již nebude možné použít.
- Skutečnost: Pokud využíváte vlastní databázi kontaktů, do které se vaši zákazníci svobodně přihlásili a udělili vám souhlas pro zasílání e-mailů, v tom případě můžete takovou databázi i nadále používat. Pokud ale takový svobodný souhlas od zákazníků nemáte nebo vaše evidence těchto údajů není dokonalá, je nutné získat nový souhlas. Toto se nevztahuje na kontakty, které jste získali na základě objednávek, které u vás vaši zákazníci uskutečnili. V takovém případě platí váš oprávněný zájem pro zasílání nabídkových newsletterů vždy. Obeslaní zákazníci ale musí ve všech případech mít možnost se ze zasílání e-mailů odhlásit.
- Jakýkoliv zákazník má právo na vymázání veškerých svých osobních údajů z databází.
- Skutečnost: Na žádost uživatele je firma povinna odstranit všechny osobní údaje, k jejichž používání uživatel udělil souhlas. Tato povinnost ale neplatí pro údaje, které jsou firmy dle platných zákonů povinny uchovávat, například pro účely archivace, reklamačních řízení, účetnictví, Policie ČR.
- Veškeré ukládané osobní informace musí být šifrovány nebo anonymizovány.
- Skutečnost: Žádnou takovou povinnost GDPR neukládá. Povinností firem je zabezpečit osobní údaje proti zneužití třetí stranou.
- Na základě „práva na informování“ musí firma poskytnout zákazníkovi veškeré informace, které o něm má, a to ve formátu, který zákazník požaduje.
- Skutečnost: Do 30 dnů musí provozovatel e-shopu zákazníkovi poskytnout všechny údaje, které o něm má k dispozici. Tedy především půjde o jeho osobní údaje a seznam provedených objednávek. Formát předaných informací není stanoven, pouze musí být srozumitelný.
- Každý podnikatel musí mít svého Pověřence pro ochranu osobních údajů.
- Skutečnost: Tato povinnost se podnikatelů provozujících své živnosti nebo e-shopy zcela jistě netýká.
- Někteří správci a zpracovatelé však skutečně musí povinně jmenovat pověřence. Je to případ všech orgánů veřejné moci a veřejných subjektů a dalších organizací, které – jako hlavní činnost – systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů.
- V Česku se implementace nestihla, nařízení se posouvá
- Skutečnost: Bez ohledu na zpoždění českého adaptačního zákona se v Česku, stejně jako ve všech dalších zemích EU, opravdu začíná v pátek 25. května. Státy si mohou například upravit věk, od kterého by měly mít děti možnost udělit souhlas se zpracováním osobních údajů. To je důležité například pro využívání sociálních sítí. V evropském nařízení je stanoven věk 16 let, státy si ho mohou snížit, ale ne pod 13 let. V Česku se chystá v adaptačním zákoně hranice 15 let, která odpovídá hranicím v trestním a občanském právu.
- Nutnost informovaného souhlasu ve zdravotnictví (pro ambulatní poskytovatele zdravotních služeb)
- Skutečnost: netýká se běžného provozu a poskytování péče; je ale nezbytný v případě zapojení do výzkumu, u klinických studií či jakýchkoli aktivit a zpracování dat, které nesouvisejí s vlastním poskytováním péče.
- Zdroj: Webareal, Úřad pro ochranu osobních údajů, Ministerstvo školství, mládeže a tělovýchovy, Ministerstvo zdravotnictví
Nově už souhlas se zpracováním osobních údajů nesmí být součástí obchodních podmínek. Kvůli novým pravidlům by tak měla být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků.
GDPR rovněž zavádí právo „být zapomenut“, tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo zjištěná data prodávat.
S blížícím se startem GPDR v Česku postupně přibývaly i rady od státních úřadů pro své podřízené organizace, jak mají postupovat.
S radami přišlo například ministerstvo průmyslu a obchodu, které vydalo Příručku pro přípravu malých a středních firem na GDPR. Úřad pro ochranu osobních údajů pak připravil Základní příručku o GDPR a Desatero pro živnostníky a malé podniky. Zastoupení Evropské unie v ČR pak připravilo stránku s odkazy na GDPR v různých oborech.
Telemarketing to bude mít těžší
Dopady GDPR budou obor od oboru různé, jedním z těch, na které nařízení dopadne tvrdým způsobem, bude telemarketing. Lidé dostanou nástroj pro snadnější odmítání nevyžádaných hovorů, takže se čeká konec některých call center, ale i zdražení služeb telemarketingových společností.
Díky novým pravidlům pro ochranu osobních údajů budou call centra moci volat pouze lidem, od kterých mají souhlas. Obtížnější pro ně bude také získávání nových kontaktů. Vysoké sankce jim budou hrozit za to, když budou volat opakovaně lidem, kteří si to nepřejí.
„Telemarketing to bude mít po účinnosti GDPR o poznání těžší se zpracováním osobních údajů, kterým je de facto i samotné telefonní číslo,“ informoval Českou televizi Martin Cach ze Spolku pro ochranu osobních údajů. Call centra na to musela zareagovat změnou svých předpisů. „Finalizujeme veškeré smluvní dokumenty s našimi klienty, tak aby problematika GDPR odpovídala současně známému nařízení bez hluboké znalosti prováděcích předpisů, které obecně postrádáme,“ uvedl ředitel call centra Formica Group Jan Budinský s tím, že například upravují způsob, kterým jejich operátoři budou oslovovat zákazníky.
Nejvýrazněji se podle Cacha nová pravidla dotknou těch společností, které se věnují tzv. aktivnímu telemarketingu, kdy firmy přímo oslovují zákazníky s nabídkou produktů nebo služeb. „Předpokládáme, že cca 25-30 procent hovorů bude ihned ukončeno a v případě nezískaného GDPR souhlasu pro nabídku z roviny správce a zpracovatele pro další kontakt ztraceno,“ domnívá se Budinský.
V té souvislosti dodal, že GDPR bude mít pravděpodobně také negativní dopad na cenu služeb komerčních call center. To proto, že získávání nových kontaktů bude pro tyto společnosti obtížnější a časově náročnější než dřív.
Pozor na fotky z tábora
Přísnější pravidla pro ochranu osobních údajů budou platit i pro dětské tábory. Práce přibude především organizátorům. „Pořadatelé táborů, bez ohledu na to, zda se jedná o podnikající či neziskové subjekty, tak budou muset aktualizovat a v některých (horších) případech možná raději tzv. z gruntu nově navrhnout podmínky, za kterých s rodiči dětí vstupují do smluvního vztahu, jehož předmětem je zajištění účasti dítěte na táboře,“ uvedl Cach.
Rodiče, kteří chtějí své dítě poslat na letní tábor, budou muset dát organizátorům souhlas ke zpracování osobních údajů. „Bude třeba, aby jejich organizátoři získali souhlasy od rodičů dětí ke zpracování jejich osobních údajů, kterými musí disponovat za účelem provozování takového tábora. V řadě případů se může jednat i o údaje z kategorie tzv. citlivých údajů, například zdravotnické údaje, které je nutné adekvátně chránit a zabránit jejich zneužití,“ vysvětlila ČT právnička Eva Škorničková s tím, že pořadatelé táborů budou muset být transparentnější a víc informovat rodiče o tom, jak budou data jejich dětí používat.
Nejvýrazněji se GDPR dotkne zveřejňování fotografií. „Pro takové zpracování už si budou muset pořadatelé táborů zpravidla opatřit separátní souhlas, jehož neudělení by však nemělo nikterak negativně ovlivnit podmínky účasti dítěte na táboře, natož aby byla jeho udělením samotná účast dítěte na táboře podmíněna,“ informoval Cach.
Notáři za bezpečnostní hradbou
Notáři si pořizovali bezpečnostní zámky či šifrování e-mailů. Jejich rukama totiž projde velké množství osobních údajů o manželech, kteří zužují své společné jmění manželů, o vlastnících společností, zemřelých nebo jejich dědicích. Všechna tato data budou nově podléhat přísnější ochraně.
„Na všechny skříně ve své kanceláři jsem nechala nainstalovat bezpečnostní zámky. To mě stálo asi deset tisíc korun. Pak jsem musela zakoupilt šifrovací flash disky a IT odborník mi nastavil šifrování e-mailů. Připravila jsem si také vyčerpávající poučení klientů, které jim budu dávat podepisovat před převzetím každého případu,“ popsala pražská notářka Šárka Tlášková. Dosavadní výdaje na zavedení standardů GDPR ji podle jejích slov přišly na necelých třicet tisíc korun.
Kdo bude pověřencem
Na dodržování nového nařízení dohlédne ve všech institucích takzvaný pověřenec. Zatímco v jihomoravské Olešnici se například dohodli, že postačí, když bude společný pro víc obcí v regionu, Fakultní nemocnice Brno musela kvůli své velikosti přijmout jednoho zaměstnance navíc.
Pověřencem se ve většině institucí stane některý z dosavadních zaměstnanců. Například radnice Brna-středu se ale obrátila na externí právní firmu. Zavedení GDPR si na radnici vyžádá investici devadesát tisíc korun, u příspěvkových organizací to téměř půl milionu. „Problémy jsme zatím nezaznamenali, je to ale administrativní zátěž navíc,“ řekla mluvčí radnice Kateřina Dobešová.
Někteří správci a zpracovatelé musí povinně jmenovat pověřence. Je to případ všech orgánů veřejné moci a veřejných subjektů a dalších organizací, které – jako hlavní činnost – systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů.
- Funkce pověřence je opravdu úplnou novinkou, kterou GDPR přináší. Povinnost to ale není pro všechny. Jmenovat ho musí orgány veřejné moci a ti, kdo zpracovávají údaje v rozsáhlém měřítku. Spadají tam tak třeba úřady, školy nebo nemocnice i firmy, které provozují sociální sítě.
- Kdo může zastávat funkci pověřence? Smí to být vlastní zaměstnanec i externista. Nemůže se ale jednat o šéfa organizace nebo oddělení informatiky, aby nebyl ve střetu zájmů. Je možné, aby jím byla fyzická i právnická osoba. Nařízení to totiž nevylučuje. I tak ale později musí být určený konkrétní člověk. Nabízí se taky možnost takzvaného sdíleného pověřence, v tom případě by měl na starosti více organizací. Musí ale pro všechny být snadno dosažitelný.
- „Pověřenec by měl být odborně způsobilá osoba, která ale na sebe nepřebírá odpovědnost toho správce,“ uvedl Karel Bačkovský z odboru bezpečnostní politiky ministerstva vnitra.
Přesné požadavky na pověřence, co se kvalifikace týče, nařízení nestanovuje. Zmiňuje ale, že jmenován má být na základě profesních kvalit, zejména co do znalostí práva a praxe v oblasti ochrany osobních údajů. Specifikace chybí proto, že každý správce může mít jiné nároky a může mu vyhovovat osoba s jiným vzděláním. - Co přesně je náplní práce takové osoby? Poskytuje informace, poradenství, hlídá, aby praxe byla v souladu s právními předpisy, upozorňuje na případné nedostatky a spolupracuje taky s dozorovým úřadem, kterým je v případě České republiky Úřad pro ochranu osobních údajů. Je pro něj i kontaktním místem. Může také zpracovávat záznamy o tom, jak se s údaji v dané organizaci nakládá.
