Největší mýty o GDPR. Kvůli špatné přípravě je nová ochrana dat zahalena nejasnostmi

Nová pravidla EU o ochraně osobních údajů (GDPR), která mají pomoci hájit práva občanů proti zneužívání jejich osobních dat, nabyla v pátek účinnosti. V Česku platí ve své základní podobě, protože stát nestihl připravit prováděcí předpis. Navíc se ani příliš nevěnoval informační kampani, takže mezi lidmi i firmami kolují nepřesné a nejasné informace, případně rovnou různé mýty. 

Šéfka úřadu pro ochranu dat v EU Jelinekova
Zdroj: Reuters Autor: Yves Herman

Velkou pozornost vyvolaly už informace o riziku vysokých pokut. Za méně závažná porušení hrozí pokuta až 250 milionů korun. Pokud je prohřešek velký, opakovaný nebo zasáhne hodně lidí, činí sankce až 500 milionů korun. Bude však trestání opravdu tak přísné?

Uplatňování GDPR má v Česku kontrolovat Úřad pro ochranu osobních údajů. Jeho předsedkyně Ivana Janů uvedla, že úřad to s pokutami nijak nepřehání a postupuje už od svého počátku edukativně. Kontroly budou i nadále probíhat podle ročního plánu a také podle stížností, které úřad dostane. U nich se rozhoduje podle jejich závažnosti, které vybere ke kontrole. Stížností úřadu, který existuje od roku 2000, bývá ročně kolem čtyř tisíc.

Video Studio 6
video

Předsedkyně ÚOOÚ Janů o GDPR

Úřad na svých stránkách uvádí, že horní hranice pokut je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Právníci z toho odvozují, že by pokuty neměly být likvidační.

„Úřad pro ochranu osobních údajů postupuje buď podle kontrolního plánu, nebo na základě podnětu či stížnosti, což je nebezpečnější část. Spíš se obáváme, že se mohou stát dvě věci – jednak že úřad může být zavalen někdy i účelovými podněty, a zároveň že to může být prostředkem konkurenčního boje,“ poznamenala v 90' ČT24 advokátka Veronika Křížová.

Janů také v pátek uvedla, že „Brusel ještě dnes kompletuje a vytváří bruselský orgán, který je stěžejní pro jednotnou evropskou ochranu osobních údajů“. Šéfkou evropského úřadu pro ochranu dat je Rakušanka Andrea Jelineková. V minulosti vedla i obdobný rakouský úřad. 

Nově už souhlas se zpracováním osobních údajů nesmí být součástí obchodních podmínek. Kvůli novým pravidlům by tak měla být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků.

GDPR rovněž zavádí právo „být zapomenut“, tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo zjištěná data prodávat.

Video Nejdůležitější fakta o GDPR
video

Nejdůležitější fakta o GDPR

Zdroj: Redakce sociálních sítí

S blížícím se startem GPDR v Česku postupně přibývaly i rady od státních úřadů pro své podřízené organizace, jak mají postupovat. 

S radami přišlo například ministerstvo průmyslu a obchodu, které vydalo Příručku pro přípravu malých a středních firem na GDPR. Úřad pro ochranu osobních údajů pak připravil Základní příručku o GDPR a Desatero pro živnostníky a malé podniky. Zastoupení Evropské unie v ČR pak připravilo stránku s odkazy na GDPR v různých oborech. 

Video Události
video

Události ČT: Začala platit nová pravidla Evropské unie zvaná GDPR

Telemarketing to bude mít těžší

Dopady GDPR budou obor od oboru různé, jedním z těch, na které nařízení dopadne tvrdým způsobem, bude telemarketing. Lidé dostanou nástroj pro snadnější odmítání nevyžádaných hovorů, takže se čeká konec některých call center, ale i zdražení služeb telemarketingových společností. 

Díky novým pravidlům pro ochranu osobních údajů budou call centra moci volat pouze lidem, od kterých mají souhlas. Obtížnější pro ně bude také získávání nových kontaktů. Vysoké sankce jim budou hrozit za to, když budou volat opakovaně lidem, kteří si to nepřejí.

„Telemarketing to bude mít po účinnosti GDPR o poznání těžší se zpracováním osobních údajů, kterým je de facto i samotné telefonní číslo,“ informoval Českou televizi Martin Cach ze Spolku pro ochranu osobních údajů. Call centra na to musela zareagovat změnou svých předpisů. „Finalizujeme veškeré smluvní dokumenty s našimi klienty, tak aby problematika GDPR odpovídala současně známému nařízení bez hluboké znalosti prováděcích předpisů, které obecně postrádáme,“ uvedl ředitel call centra Formica Group Jan Budinský s tím, že například upravují způsob, kterým jejich operátoři budou oslovovat zákazníky.

Nejvýrazněji se podle Cacha nová pravidla dotknou těch společností, které se věnují tzv. aktivnímu telemarketingu, kdy firmy přímo oslovují zákazníky s nabídkou produktů nebo služeb. „Předpokládáme, že cca 25-30 procent hovorů bude ihned ukončeno a v případě nezískaného GDPR souhlasu pro nabídku z roviny správce a zpracovatele pro další kontakt ztraceno,“ domnívá se Budinský.

V té souvislosti dodal, že GDPR bude mít pravděpodobně také negativní dopad na cenu služeb komerčních call center. To proto, že získávání nových kontaktů bude pro tyto společnosti obtížnější a časově náročnější než dřív.

Ilustrační foto
Zdroj: ČTK
Autor: Martin Štěrba

Pozor na fotky z tábora

Přísnější pravidla pro ochranu osobních údajů budou platit i pro dětské tábory. Práce přibude především organizátorům. „Pořadatelé táborů, bez ohledu na to, zda se jedná o podnikající či neziskové subjekty, tak budou muset aktualizovat a v některých (horších) případech možná raději tzv. z gruntu nově navrhnout podmínky, za kterých s rodiči dětí vstupují do smluvního vztahu, jehož předmětem je zajištění účasti dítěte na táboře,“ uvedl Cach.

Rodiče, kteří chtějí své dítě poslat na letní tábor, budou muset dát organizátorům souhlas ke zpracování osobních údajů. „Bude třeba, aby jejich organizátoři získali souhlasy od rodičů dětí ke zpracování jejich osobních údajů, kterými musí disponovat za účelem provozování takového tábora. V řadě případů se může jednat i o údaje z kategorie tzv. citlivých údajů, například zdravotnické údaje, které je nutné adekvátně chránit a zabránit jejich zneužití,“ vysvětlila ČT právnička Eva Škorničková s tím, že pořadatelé táborů budou muset být transparentnější a víc informovat rodiče o tom, jak budou data jejich dětí používat.

Nejvýrazněji se GDPR dotkne zveřejňování fotografií. „Pro takové zpracování už si budou muset pořadatelé táborů zpravidla opatřit separátní souhlas, jehož neudělení by však nemělo nikterak negativně ovlivnit podmínky účasti dítěte na táboře, natož aby byla jeho udělením samotná účast dítěte na táboře podmíněna,“ informoval Cach. 

Notáři za bezpečnostní hradbou

Notáři si pořizovali bezpečnostní zámky či šifrování e-mailů. Jejich rukama totiž projde velké množství osobních údajů o manželech, kteří zužují své společné jmění manželů, o vlastnících společností, zemřelých nebo jejich dědicích. Všechna tato data budou nově podléhat přísnější ochraně.

„Na všechny skříně ve své kanceláři jsem nechala nainstalovat bezpečnostní zámky. To mě stálo asi deset tisíc korun. Pak jsem musela zakoupilt šifrovací flash disky a IT odborník mi nastavil šifrování e-mailů. Připravila jsem si také vyčerpávající poučení klientů, které jim budu dávat podepisovat před převzetím každého případu,“ popsala pražská notářka Šárka Tlášková. Dosavadní výdaje na zavedení standardů GDPR ji podle jejích slov přišly na necelých třicet tisíc korun.

Video 90’ ČT24 - Nová ochrana osobních dat v praxi
video

Páteční 90' ČT24 na téma GDPR

Kdo bude pověřencem

Na dodržování nového nařízení dohlédne ve všech institucích takzvaný pověřenec. Zatímco v jihomoravské Olešnici se například dohodli, že postačí, když bude společný pro víc obcí v regionu, Fakultní nemocnice Brno musela kvůli své velikosti přijmout jednoho zaměstnance navíc.

Pověřencem se ve většině institucí stane některý z dosavadních zaměstnanců. Například radnice Brna-středu se ale obrátila na externí právní firmu. Zavedení GDPR si na radnici vyžádá investici devadesát tisíc korun, u příspěvkových organizací to téměř půl milionu. „Problémy jsme zatím nezaznamenali, je to ale administrativní zátěž navíc,“ řekla mluvčí radnice Kateřina Dobešová.

Někteří správci a zpracovatelé musí povinně jmenovat pověřence. Je to případ všech orgánů veřejné moci a veřejných subjektů a dalších organizací, které – jako hlavní činnost – systematicky a rozsáhle monitorují jednotlivce nebo rozsáhle zpracovávají zvláštní kategorie údajů.