GDPR je tady! Byrokratický Ďábel nebo Anděl strážný?
Přenositelnost osobních dat je od 25. května 2018 novým právem občanů. Nejenom v Česku, ale v celé Evropské unii. Vyplývá to, vedle dalšího, z nové unijní regulace, která právě ve zmíněný den nabyla účinnosti, čili se stala závaznou. Tato norma je označována zkratkou GDPR. Znamená General Data Protection Regulation; česky: Obecné nařízení na ochranu osobních údajů. Obsah této evropské legislativy byl schválen a zveřejněn už v roce 2016. Od té doby je také platná. Není to tedy žádný blesk z čistého nebe. Podstatou přenositelnosti dat je, že každá osoba má nárok za určitých podmínek získat od správce dat (firmy, která s jeho daty nakládá) své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. A to včetně práva předat tyto údaje jinému správci, aniž by tomu původní správce bránil. To by mělo být pro klienty-spotřebitele praktické třeba při změně pojišťovny či jiného dodavatele služeb.
Zkratka GDPR je docela obávaná, neboť dle nařízení, které označuje, může pokuta pro firmy, které data klientů (případně zaměstnanců, členů, příznivců…) dostatečně nezabezpečují nebo s nimi protizákonně zachází, vyšplhat až na půl miliardy korun českých. Respektive na 4 % obratu.
Hrozba této pro menší a střední podniky likvidační sankce je ale podle ochránců soukromí namířena především na velké nadnárodní korporace typu mobilní či energetický operátor, banka, pojišťovna, obchodní řetězec, provozovatel globální sociální sítě… Přesto abnormální strach ze zmíněné megapokuty přiživovala řada konzultačních společností prodávajících zaručený návod, jak se s krutou GDPR jednou provždycky vypořádat. Přitom Úřad pro ochranu osobních údajů (ÚOOÚ) dal jasně najevo, že v české kotlině dál počítá s pokutami do 10 milionů Kč – což samozřejmě také není žádný pakatel. Nejvyšší uložené penále zatím dosáhlo 4 miliónů Kč.
Obecně se dá říci, že GDPR posiluje práva občanů a zároveň rozšiřuje povinnosti firem ohledně kontroly a ochrany osobních dat. Ovšem nejde o žádnou revoluci, spíš o evoluci, neb v Česku platí zákon o ochraně osobních údajů již téměř 20 let. A platí dál – jestliže se ale nyní v některých pasážích neshoduje s GDPR, tak má prioritu GDPR. Ostatně, český zákon by měl být časem zrušen, respektive nahrazen. A to tehdy, až čeští zákonodárci dotvoří a schválí takzvaný adaptační zákon k GDPR. Ten může upravit a „změkčit“ některé dílčí aspekty operování s personálními údaji - například v médiích, vědě či umění. V tomto směru ale čeští ministři a poslanci zaspali, obdobně jako jejich kolegové v dalších 7 z celkem 28 států EU. O to víc jsou ale dnes někteří čeští politici upřímně pobouřeni tím byrokratickým Bruselem, který zase něco „nabrousil“ proti naší vůli. Jako kdyby se zahradník rozčiloval, že má zpustlou zahradu.
Třeba Slováci doprovodný zákon do národní legislativy s řadou prospěšných výjimek už před půlrokem zapracovali. V každém případě je ale evropské nařízení GDPR v Česku v plné síle účinné - bez ohledu na existenci či neexistenci jeho českého legislativního doplňku. Právě proto, že jde o nařízení a ne o směrnici.
Je ale faktem, že GDPR načrtlo poměrně dost nevyřešených otazníků. Experti třeba tvrdí, že si chce posvítit jen na zpracování osobních dat, ne na jejich použití v jakékoliv situaci. Jak se prý mylně domnívají ti, kdo ochranu osobních údajů ztotožňují s ochranou osobnosti podle občanského zákoníku. No jo, ale co zahrnuje sousloví zpracování dat? Dle příručky Evropské komise k GDPR zveřejněné na stránkách ÚOOÚ je zpracování personálních dat - a teď cituji – „… jakákoli operace, která je prováděna s osobními údaji pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení…“. Konec citátu. Přečtěte si to třeba 10x, stejně z toho zcela moudří nebudete. Prostě čím delší definice, tím větší podezření, že její autoři chtějí svou neschopnost jasně se vyjádřit utopit v moři slov. A to byla originální citace ještě o něco zkrácena.
Ono je to ale vlastně jedno. Legislativu stejně nakonec vykládají až soudy. Konkrétně jejich rozhodnutí a rozsudky. Takže si budeme muset odhadem pár měsíců počkat. Pojďme se ale podívat na to, co je ohledně dopadu GDPR jasné pro spotřebitele už nyní. Kdo chce zpracovávat data klientů, musí mít od nich aktivní a dobrovolný souhlas. Jasně odlišitelný od ostatních smluvních závazků, ne tedy schovaný někde na 16. straně obchodních podmínek. Souhlas také nesmí být nutným předpokladem pro poskytnutí služby či výrobku. Udělení souhlasu se zpracováním osobních údajů je možnost, nikoli povinnost.
Mezi další práva občanů vedle již na začátku zmíněné přenositelnosti personálních dat patří právo přístupu ke svým osobním údajům, právo na opravu, právo na výmaz, právo na omezení zpracování nebo právo vznést námitku. Veškeré úkony naplňující tyto nároky by přitom měly být provedeny správcem dat bezplatně. A to pokud nebudou žádosti zákazníků zjevně nepřiměřené či opakované.
Obecně třeba právo být zapomenut, což je rozšířené právo na výmaz, můžete uplatnit u firmy, která schraňuje vaše osobní data, aniž je ještě potřebuje. A nedrží je na základě určitého zákona (většinou úřady) či nějaké uzavřené smlouvy, třeba o založení bankovního účtu. Na výmaz samozřejmě máte nárok, když svůj jednou daný souhlas se zpracováním dat odvoláte. Nemluvě o případu, kdy firma získala vaše data protiprávně.
Problémem ale je, že dneska nikdo přesně neví, kdo všechno jeho personálními daty disponuje – či ještě hůře, kdo všechno je někde na netu nabízí! Existuje ale monitorovací služba, která pomáhá mít osobní data pod kontrolou. Jmenuje se NetAgent. Otestujte si ho.
Na portálu kolikmam.cz jsou dostupné informace o fyzických osobách a fyzických osobách podnikajících. Registrovaní uživatelé zde získají přístup k výpisům z registrů a dalším nabízeným službám.
