Všechny české podniky, úřady, nemocnice, školy i neziskové organizace se musí připravit na nová pravidla ochrany osobních údajů. Nabudou účinnosti 25. května. Zavádí je nové evropské nařízení na ochranu dat, v odborných kruzích známe pod zkratkou GDPR. To zásadně mění způsob, jak se v Evropě včetně Česka chrání soukromí. Lidem slibuje nová práva, zároveň ale „zabíjí byznys“. Konec už kvůli novým pravidlům oznámila například webová platforma Spolužáci.cz.
Konec syslení dat. Díky tajemné zkratce GDPR se lidé poprvé dozvědí, kdo o nich co ví
Osobní údaje se v posledních letech změnily v cenné platidlo. Řada služeb a aplikací je dnes na internetu zdarma výměnnou za to, že od uživatelů získají jejich osobní údaje. S těmi pak provozovatelé webů naloží, jak uznají za vhodné. Cílí jejich prostřednictvím reklamu, za což od zadavatelů reklamy inkasují peníze, informace o uživatelích analyzují a poté prodávají, nebo je sdílí se svými dalšími službami. Na takovém ekonomickém modelu stojí třeba miliardový byznys Googlu.
Jde ale i o bezpečnost dat. „Cloudy dnes často sídlí v cizích zemích, a vůbec nevíte, kdo k nim má přístup. Společnosti tam přesto zasílají miliony osobních údajů svých klientů a zaměstnanců,“ popisuje zaběhlou praxi advokátka bpv Braun Partners Gabriela Jiráková.
- 1) Proč slyším o GDPR ze všech stran právě v posledních týdnech a co ta zkratka vlastně znamená?
- Pod zkratkou GDPR se skrývá obecné nařízení o ochraně osobních údajů (z anglického General Data Protection Regulation). Nařízení schválili evropští zákonodárci na jaře 2016 a dali podnikům a institucím, které využívají osobní data Evropanů, dva roky na to, aby se na nová pravidla připravily. Nařízení nabylo ve všech státech EU účinnosti 25. května.
- 2) Osobní údaje se však chrání už teď. Dokážete v jednom souvětí shrnout změny, které mě jako běžného občana – uživatele čekají?
- Především dostanete nové informace. Nařízení totiž klade důraz na transparentnost, to znamená, že všechny firmy a instituce, které pracují s osobními údaji občanů, je budou muset informovat o tom, co s údaji o nich dělají. A získáte také nová práva, například právo žádat výmaz svých údajů z marketingových databází. Zvlášť v internetovém prostředí pak bude vítanou novinkou právo na přenositelnost. To umožní občanům zdarma žádat přenos svých osobních údajů od starého správce, například poskytovatele e-mailové schránky, k novému.
- 3) Týká se to i sociálních sítí? E-mailů?
- Ano. Nařízení reaguje právě na rozvoj nových technologií a komunikačních nástrojů, které v 90. letech, kdy vznikala stará evropská směrnice o ochraně osobních údajů, často ještě vůbec neexistovaly.
- 4) Jak zjistím, která data o mně kdo uchovává? Můžu se přímo zeptat?
- Ano. Správce nebo zpracovatel osobních údajů, od soukromých firem přes státní úřady, nemocnice až po neziskové organizace, vám musí sdělit, jaké osobní údaje o vás zpracovává a jaký je účel tohoto zpracování. Pokud organizace jmenuje pověřence pro ochranu osobních údajů – toho musí podle GDPR povinně mít například nemocnice, státní úřady, internetové vyhledavače nebo také mobilní operátoři – můžete se s dotazy obracet přímo na něj. V ostatních případech na jednatele nebo na zaměstnance, s nímž jste v minulosti komunikovali.
- 5) Firma odmítá moje data smazat, nekomunikuje. Jak postupovat dál?
- V takovém případě můžete podat podnět k Úřadu pro ochranu osobních údajů, aby situaci prošetřil.
- 6) Informace o mně jsou na internetu nepravdivé nebo staré, jak se bránit?
- Kontaktujte správce nebo zpracovatele dat, tedy například provozovatele internetových stránek, a požádejte ho o opravu osobních údajů. Vyhovět podle nařízení musí bez zbytečného odkladu.
- 7) Ve své živnosti mám několik databází zákazníků, existuje jednoduchý návod, co smazat, a co ne?
- Na tuto otázku jednoduchá odpověď neexistuje. Nařízení dává pouze obecný návod a je na každé společnosti či živnostníkovi, aby si udělal analýzu osobních údajů, které o svých zákaznících, ale také třeba zaměstnancích, má a z jakého titulu je sbírá. Titulem opravňujícím ke sběru dat může být plnění smlouvy, plnění zákonné povinnosti, oprávněný zájem nebo také souhlas se zpracováním osobních údajů. Je na vás, abyste posoudili, zda takové oprávnění máte. Pokud ne, musíte osobní údaje smazat.
- 8) Mohu se povinnosti provádět vstupní analýzy k GDPR vyhnout tím, že všechny zákazníky, zaměstnance a lidi, s nimiž přicházím do kontaktu, požádám o souhlas se zpracováním osobních údajů?
- Nikoliv. Naopak kvůli sbírání souhlasů v případech, že je nepotřebujete, protože vás ke zpracování opravňuje jiný titul – například povinnost plynoucí ze smlouvy – můžete od Úřadu pro ochranu osobních údajů dokonce dostat pokutu. Takové chování totiž úřad považuje za klamavé. Může v lidech vzbuzovat mylný dojem, že souhlas mohou později odvolat a správce bude muset na základě toho jejich údaje vymazat.
- 9) Kdo firmám a živnostníkům poradí s otázkami kolem nových pravidel ochrany osobních údajů?
- V nabídkách poradenství se předhánějí advokátní kanceláře a nejrůznější konzultantské společnosti. Levnější je ale obvykle hledat pomoc u profesních organizací, jako je třeba Svaz průmyslu a dopravy nebo Hospodářská komora. Některé – například Česká stomatologická komora – zveřejnily také metodiky a návody, jak se na GDPR připravit. Základní otázky kolem nařízení zodpoví také ChatBot vytvořený ve spolupráci Svazu průmyslu a dopravy, ministerstva vnitra a společnosti IBM. Pokyny a výkladová stanoviska k novému nařízení jsou k dispozici také na webu Úřadu pro ochranu osobních údajů.
- 10) Týká se GPDR i úřadů či občanských spolků? Budou se data mazat i tam?
- Evropské nařízení o ochraně osobních údajů se týká všech, kdo pracují s osobními údaji. Státní instituce, neziskové organizace, ale také bytová družstva nebo společenství vlastníků v tom nejsou výjimkou. To ale neznamená, že by musely osobní údaje hned mazat. Zvlášť státní instituce až na výjimky totiž sbírají osobní údaje ze zákona. Totéž platí také o osobních údajích vlastníků bytů nebo nájemníků, které sbírají společenství vlastníků jednotek.
- 11) Český zákon o zpracování osobních údajů, který reaguje na GDPR, teprve projednává sněmovna. Znamená to, že se Češi budou muset začít řídit novými pravidly až poté, co politici zákon schválí?
- Ne. Nařízení je přímo účinné ve všech zemích Evropské unie. Bez ohledu na stav projednávání národních adaptačních zákonů začala ve všech členských zemích Unie nová pravidla platit 25. května. Členské státy si ve svých předpisech pouze mohou upravit ty oblasti, kde to Brusel výslovně umožnil. Nastavit si tak mohou například věk, do nějž budou muset zpracování osobních údajů dětí odsouhlasit rodiče. Oscilovat může mezi 13 a 16 lety. Český návrh zákona také snižuje pokuty, které hrozí za porušení nových pravidel orgánům veřejné moci, a nově upravuje i fungování Úřadu pro ochranu osobních údajů.
Nové evropské nařízení na ochranu osobních údajů ji má změnit. Firmy a instituce totiž podle něj budou muset podrobně informovat své klienty, co s jejich osobními údaji učiní. Pokud budou chtít použít data zákazníků třeba pro marketingové účely nebo je předávat dál, budou k tomu od nich navíc muset mít výslovný souhlas. To sice platilo i podle dosavadních českých pravidel, nově ale musí být souhlas jasně odlišený od ostatního obsahu.
„Neměl by být například součástí smlouvy nebo všeobecných obchodních podmínek,“ vysvětluje partnerka advokátní kanceláře Taylor Wessing Karin Pomaizlová. Právě tam se přitom v minulosti hlavně u e-shopů nebo bank často schovával, což vedlo k tomu, že jej lidé dávali bezmyšlenkovitě.
Možnost odvolat souhlas
Pokud lidé souhlas udělí, musí mít také možnost jej kdykoliv odvolat, a to stejně snadnou cestou, jako bylo jeho poskytnutí. V takovém případě musí firma data bezodkladně smazat ze všech svých databází. „Jednoznačně pozitivní je i zákaz podmiňovat dodání zboží či poskytnutí služby udělením souhlasu se zpracováním osobních údajů, což se dnes často děje, například v e-shopech,“ dodává Pomaizlová.
Žádat o souhlas se zpracováním osobních údajů by raději neměly firmy své zaměstnance, ačkoliv jejich data potřebují. Mohly by totiž vzniknout pochybnosti o tom, zda byl souhlas vůbec svobodný, anebo jej pracovník podepsal jen proto, že se bál o místo. I na to ale nařízení pamatuje. Souhlas totiž firmy a instituce nepotřebují v případě, že je ke zpracování dat zavazuje zákon. Typicky půjde třeba o situaci, kdy zaměstnavatel potřebuje rodné číslo zaměstnance, aby za něj mohl státu zaplatit sociální a zdravotní pojištění.
Konec vydírání: vaše data budou chodit všude s vámi
Naprostou novinkou, kterou GDPR zavádí, je také právo na přenositelnost osobních údajů. To má podle plánů Evropské komise zvýšit konkurenci zejména mezi poskytovateli internetových služeb. Mělo by zabránit situacím, kdy uživatel zůstává u používání jedné služby jen proto, že kdyby přešel ke konkurenci, přišel by o vlastní obsah, který si při používání služby vytvořil. Takovým obsahem může být třeba kalendář nebo adresář kontaktů vytvořený v e-mailové schránce.
Přenos údajů bude ve většině případů zdarma. „Výjimkou bude situace, kdy může správce údajů doložit, že žádosti jsou zjevně nedůvodné nebo nepřiměřené – zejména proto, že se opakují,“ upřesňuje konzultantka a expertka na nové nařízení Eva Škorničková.
Jiná pravidla obsažená v evropském nařízení, ale tak úplně nová nejsou. Tak například žádat výmaz neaktuálních údajů mohli lidé i podle starých pravidel. Jak ale ukázal případ Španěla Maria Costeji Gonzáleze, který se u Googlu v letech 2010 až 2014 domáhal smazání starého odkazu na článek o dražbě svého majetku, museli kvůli tomu k soudu. GDPR pravidla upřesňuje – údaje, které už neslouží k účelu, k němuž je lidé poskytli, se budou muset mazat automaticky.
Nová pravidla budou od 25. května platit v celé Evropské unii. Dodržovat je ale budou muset i firmy a instituce ze zámoří, pokud budou chtít pracovat s daty občanů unie.
Příprava na novinky není pro správce a zpracovatele dat jednoduché. Nařízení sice mluví o právech a povinnostech, už ale jasně neříká, jak konkrétně je potřeba data zabezpečit. Každá firma, úřad, neziskovka, škola nebo třeba i nemocnice si tak musí sama vyhodnotit, jaká opatření musí k ochraně dat přijmout.
GDPR je hrozba, soudí řada organizací
„Dopad GDPR je dlouhodobý a přináší změny v interních procesech, zamyšlení se nad tím, když k nám někdo přijde na recepci nebo třeba pošle životopis, tak tím už začíná životní cyklus dat, na který by ta firma měla být připravena,“ říká Škorničková. Nové nařízení tak pro firmy a instituce znamená hlavně příležitost udělat si pořádek v datech, s nimiž pracují.
V některých případech nová pravidla také uleví od administrativních povinností. Tak například, když si bude chtít obchodník v prodejně umístit kamery, nebude se už kvůli tomu po květnovém termínu muset registrovat na Úřadu pro ochranu osobních údajů.
Přesto řada organizací považuje nové evropské nařízení za hrozbu. Jak ukázal průzkum, který si nechala udělat společnost NetApp pouhých šest týdnů před účinností novinek, 67 procent šéfů amerických a evropských firem, si myslí, že nedokáží splnit požadavky plynoucí z nového nařízení včas. Každá třetí společnost se pak obává, že GDPR může ohrozit její existenci.
Největší obavy z nařízení panují mezi firmami z on-line prostředí. „Právo na výmaz a právo na přenositelnost údajů znamenají pro digitální byznys jednoznačně růst nákladů. Přenositelnost osobních údajů mezi správci v některých případech nebude možná z důvodu odlišného technologického řešení,“ upozorňuje na hlavní problémy spojené s novinkami výkonná ředitelka Sdružení pro internetový rozvoj Kateřina Hrubešová.
Obavy v očích firem vyvolává ale také výše sankcí, které nově hrozí za porušení pravidel. Zatímco v Česku se doposud nejvyšší pokuty udělené za únik osobních údajů pohybovaly v řádu jednotek milionů korun, nově budou moci vyšplhat až na 20 milionů eur, tedy zhruba na půl miliardy korun, u firem až na 4 % z celosvětového obratu.
V českých podmínkách mají ale experti pro „paniku“ provázející GDPR i jiné vysvětlení. „S GDPR všichni začali ochranu osobních údajů řešit a často zjistili, že ji 17 let nemají v souladu s platnou právní úpravou,“ míní advokátka bpv Braun Partners Gabriela Jiráková. Že mají Češi v ochraně dat rezervy, ostatně potvrzuje i Úřad pro ochranu osobních údajů. „Obecně západní státy EU jsou značně napřed,“ říká mluvčí úřadu Tomáš Paták.
I kvůli tomu je teď adaptace na nová pravidla pro české firmy a úřady poměrně drahá. Podle propočtů společnosti Bureau Veritas průměrný podnik počítá náklady v řádu stovek tisíc korun. A podobně jsou na tom i státní instituce. Celkově by Česko mohla příprava na nové nařízení vyjít až na šest miliard.