Obecné nařízení o ochraně osobních údajů (GDPR) upravuje pravidla pro sběr osobních dat, jejich zpracování, výměnu a uchování ve všech státech Evropské unie. V účinnost vejde zhruba za měsíc. Do té doby se musí GDPR přizpůsobit každý, kdo v souvislosti s nabídkou zboží nebo služeb zpracovává osobní údaje klientů a zákazníků – banky, mobilní operátoři, provozovatelé e-shopů a další.
Ačkoli se v souvislosti s GDPR mluví o revoluci v ochraně osobních údajů, podle expertů firmy řadu opatření dodržují už dnes.
Jednou ze zásadních novinek je především vyšší pokuta, pokud společnost příslušná nařízení nedodrží. Dnes může Úřad pro ochranu osobních údajů udělit sankci maximálně deset milionů korun. GDPR zavádí podstatně vyšší strop: 20 milionů eur (zhruba půl miliardy korun) nebo čtyři procenta z obratu dané firmy. V závislosti na tom, která z částek je vyšší.
Deset číslic, s jejichž pomocí vás identifikují na úřadech nebo ve zdravotní pojišťovně. Jenže, co když ho zná ještě někdo další? Může vaším jménem napáchat nějakou škodu?
Přestože nejde o revoluci, přinese GDPR spotřebitelům několik pozitivních změn. Správci údajů (banky, operátoři a další) by měli například pečlivěji zvážit, jakou sumu údajů budou po svých klientech požadovat. Podle nařízení má jít vždycky jenom o data nezbytná k poskytnutí dané služby. Pro doručení objednávky z internetového obchodu tak stačí jméno a příjmení, adresa, kontaktní a platební údaje. Další údaje jako datum narození už e-shop znát nepotřebuje.
Pokud jde o údaje nezbytné pro plnění smlouvy nebo doručení zásilky, lze je zpracovávat i bez výslovného souhlasu klienta. Jiná pravidla ovšem platí při zpracování osobních údajů k marketingovým účelům: zasílání nejrůznějších obchodních nabídek nebo telemarketing. Firmy sice musí mít váš souhlas už teď, často ho ovšem schovávají do obchodních podmínek, registračních formulářů nebo smluv. Řada spotřebitelů proto netuší, že souhlas k marketingovému využití svých údajů, včetně jejich předání třetím stranám, poskytla.
Na konci května se pravidla změní. K marketingu půjde osobní data použít jedině s vaším výslovným a aktivním souhlasem. Jinak řečeno: souhlas nebude možné schovat do obchodních podmínek nebo smlouvy, ale naopak bude nutné ho od nich výrazně oddělit. Zároveň nesmí být poskytnutím souhlasu podmíněné další kroky – dokončení nákupu, uzavření smlouvy nebo poskytování služeb.
Přesto se některé firmy stále snaží vzbudit dojem, že bez souhlasu to nepůjde. „Naše samoobsluha používá Vaše osobní údaje, pro její plnou funkčnost je zapotřebí aktualizovat souhlas s jejich zpracováním pro obchodní účely,“ píše se například v internetové aplikaci operátora O2.
„Praxe, kdy řada poskytovatelů služeb v posledních týdnech žádá poskytnutí souhlasu se vším možným i nemožným a snaží se zákazníkovi vsugerovat, že bez uvedení souhlasu mu nebude možné poskytovat služby, jednoznačně není v pořádku. Žádost o vyjádření souhlasu musí být předložena srozumitelným způsobem, který je snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Pokud je žádost zavádějící, neměla by být dle GDPR vlastně vůbec závazná,“ vysvětluje Lukáš Zelený, vedoucí právního oddělení dTestu.
Osobní údaje: jméno, pohlaví, věk, datum narození, osobní stav, IP adresa nebo fotografický záznam, včetně organizačních údajů jako e-mail, adresa, telefonní číslo nebo identifikační údaje vydané státem.
Citlivé údaje: rasový a etnický původ, politické názory, náboženské nebo filozofické vyznání, členství v odborech, zdravotní stav, sexuální orientace, osobní údaje dětí, genetické a biometrické údaje.
Řadu práv ale zákon spotřebitelům přiznává už dnes, GDPR je jenom přesněji vymezuje. Jde například o právo na přístup – jakákoli firma by vám měla sdělit, jaké údaje o vás zpracovává, za jakým účelem a komu dalšímu je poskytuje. Pokud spotřebitel údaje dané firmě neposkytl sám, má zároveň právo vědět, z jakého zdroje je firma získala.
Pokud si myslíte, že společnost zpracovává data, která nejsou k poskytování dané služby potřeba, můžete proti jejich zpracování vznést námitku. S tím souvisí také právo na výmaz (být zapomenut). Jestliže správce údajů data nepotřebuje dál využívat, nebo nemá ze zákona povinnost je uchovávat (platí například při poskytování finančních služeb), měl by je z databáze vymazat. To samé platí v případě, kdy spotřebitel svůj souhlas se zpracováním osobních údajů odvolá.
Novinkou je pak právo na přenositelnost. Od správce údajů půjde za určitých podmínek získat vlastní osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci. „GDPR je nařízením Evropské unie, je proto přímo aplikovatelné v celé Unii. Režim ochrany osobních údajů je tak ve všech členských státech totožný, což umožnilo zavedení mechanismu pro přeshraniční spolupráci mezi dozorovými orgány. Výrazně rozšířena je v tomto smyslu i možnost postihnout za porušení pravidel ochrany údajů nadnárodně působící společnosti zpracovávající osobní údaje například Facebook či Google,“ dodává Zelený.
Investujte do indexu S&P 500!
Zabezpečte svou budoucnost. Investujte do akcií globálních firem jako Apple či Coca-Cola díky fondu EFEKTIKA! S předpokládaným výnosem přes 7 % ročně.
Sdílejte článek, než ho smažem
