Pátek 29. března 2024, svátek má Taťána
130 let

Lidovky.cz

Nařízení o ochraně osobních údajů dopadlo i na internetové Česko

  14:01
Cílem právní úpravy ochrany osobních údajů General Data Protection Regulation (GDPR), jež začala platit v pátek 25. května v celé Evropské unii, je zvýšit ochranu všech lidí včetně spotřebitelů a zpřísnit pravidla pro nakládání s jejich osobními údaji. Firmy budou moci požadovat pouze údaje, jež potřebují zejména k plnění smlouvy.

Už 25. května začíná platit evropské nařízení o ochraně osobních údajů GDPR. foto: pixabay.com

V pátek 25. května vstoupila v platnost evropská právní úprava ochrany osobních údajů General Data Protection Regulation (GDPR). Cílem je zvýšit ochranu všech jednotlivců včetně spotřebitelů a zpřísnění pravidel pro nakládání s jejich osobními údaji. Osobní údaj je jakákoliv informace, podle které jde přímo, či nepřímo identifikovat konkrétní osobu. GDPR tak přinese větší přehled, jaké údaje o lidech obchodníci či jiné instituce zpracovávají a jak s nimi nakládají.

„Nařízení výslovně stanovuje povinnost společností používat informace v rozsahu nezbytném s ohledem na důvod, pro který jej získávají,“ řekla LN Martina Heřmanová, advokátka Deloitte Legal. Firmy tak od lidí budou moci požadovat pouze údaje, jež potřebují zejména k plnění smlouvy, kterou u nich spotřebitel uzavřel, či na základě takzvaného „oprávněného zájmu“.

To například znamená, že pokud si spotřebitel koupil automobil pouze s letními pneumatikami, může mu prodejce zaslat nabídku zimních pneumatik. Protiprávní by však bylo, kdyby prodejce zasílal reklamní nabídky, které s nákupem vozidla vůbec nesouvisí, třeba s výhodnou cenou ledniček. „Taková reklama je ze strany prodejce zasílána protiprávně a spotřebitel se může dalšímu zasílání bránit,“ dodala Heřmanová.

Množící se e-maily

Na dodržování nařízení dohlíží Úřad pro ochranu osobních údajů. Pokud odhalí jeho porušování, může firmám udělit pokuty. Maximální výše je 20 milionů eur nebo čtyři procenta z ročního obratu společnosti. Odborníci z praxe se však shodují, že do takových astronomických výšin byla sankce vyšroubovaná kvůli společnostem, jako je Facebook a Google. Ty totiž zpracovávají nejvíce osobních údajů, a proto i čelí většímu ohrožení. Menší firmy se takových pokut bát nemusejí.

Většina spotřebitelů příchod účinnosti nařízení zaznamenala množícími se e-maily od obchodníků, kteří na nová pravidla upozorňují. Jedním z účelů nařízení je spotřebitelům podrobně vysvětlit, jak budou údaje využity. Společnosti by měly pracovat jen s informacemi, které potřebují k plnění smlouvy.

Většina spotřebitelů příchod účinnosti nařízení zaznamenala množícími se e-maily od obchodníků, kteří na nová pravidla upozorňují. Jedním z účelů nařízení je spotřebitelům podrobně vysvětlit, jak budou údaje využity. Společnosti by měly pracovat jen s informacemi, které potřebují k plnění smlouvy. „Poskytnutí dalších údajů je pouze dobrovolné. Firmy by rovněž neměly zbytečně požadovat některé více chráněné osobní údaje, jako je například rodné číslo, kopie osobních dokladů či údaje o zdravotním stavu,“ uvedl Ján Kuklinca, advokát Deloitte Legal.

Odepření souhlasu se zpracováním osobního údaje nesmí mít podle pravidel GDPR na spotřebitele žádný vliv. Typicky při nákupu na e-shopu nesmí být jeho dokončení podmíněno odkliknutím položky souhlasného stanoviska o zpracování údajů. „GDPR požaduje, aby souhlasy se zpracováním takových údajů nebyly zahrnuty do podmínek smlouvy a aby byly pro spotřebitele viditelně odděleny se svobodou souhlas udělit či neudělit,“ dodal Kuklinca.

Vlastní legislativa

Nařízení chránící osobní údaje přidělalo vrásky firmám či státním institucím, které musejí povinně využívat služeb pověřence pro ochranu osobních údajů. Ten dohlíží na dodržování pravidel evropského nařízení. Firmy mají povinnost na základě žádosti klienta vydat v elektronické podobě osobní údaje, které o něm nashromáždily.

Každý členský stát Evropské unie si může vlastní legislativou stanovit výjimky či upravit pravidla GDPR. Čeští zákonodárci na adaptačním zákoně ale teprve pracují.

S tím souvisí takzvané „právo být zapomenut“, které dává lidem možnost požadovat vůči správci, aby zlikvidoval jeho osobní údaje a dále je neuchovával. Všechna data budou vymazána, pokud pro jejich zpracování neexistuje právní důvod. Každý členský stát Evropské unie si může vlastní legislativou stanovit výjimky či upravit pravidla GDPR. Čeští zákonodárci na adaptačním zákoně ale teprve pracují.

Kde se s novým nařízením – takzvaným GDPR – mohou setkat „obyčejní“ lidé coby zákazníci, spotřebitelé či rodiče

Povinnost dopadá na všechny firmy i orgány veřejné moci v EU i ty, které kdekoli ve světě zpracovávají osobní údaje osob nacházejících se v EU. Dopady těchto pravidel pocítí i spotřebitelé. Zejména tím, že obchodníci, úřady a další instituce po nich budou požadovat obsáhlejší, podrobnější, ale i přehlednější souhlas se zpracováním osobních údajů. Proto mohou spotřebitelé řešit následující okolnosti.

  • Mailová schránka plná e-mailů o změnách pravidel pro ochranu osobních údajů

Obchodníci a veřejné instituce upravují pravidla ochrany osobních údajů, mění tak znění souhlasů a informace, neboť jim dle GDPR hrozí pokuty, které mohou v nejzávažnějších případech jít až do milionů eur. Změnu pravidel dávají často jen na vědomí, proto není nutné na mail ve většině případů nijak reagovat.

  • Věrnostní karty

Prodejci monitorují i spotřebitelské chování ve svých prodejnách, tedy co a kde lidé nakupují nejvíce. Pokud není udělen souhlas se zpracováním údajů, mohou věrnostní karty deaktivovat, a zákazník tak přijde například o slevové kupony či další výhody.

  • Zadávání věku do aplikací v mobilu

Někteří obchodníci na internetu, typicky třeba ti, kteří provozují aplikace na posílání zpráv, stanovují minimální věkovou hranici pro jejich používání. Pokud chtějí zákazníci dál využívat jejich služby, musí zadat svůj věk.

  • Spotřebitelům žádné povinnosti nevznikají

Naopak, díky GDPR získají větší přehled o informacích, které o nich společnosti vedou. Firmy musí zákazníky informovat o tom, jaké osobní údaje o nic zpracovávají. Při prvním kontaktu a kdykoliv později na žádost.

  • Právo být zapomenut

Pokud spotřebitel odvolá souhlas se zpracováním osobních údajů a neexistuje žádný právní důvod pro jejich zpracování, může využít takzvaného práva na výmaz. Žádost se většinou podává prostřednictvím internetového formuláře.

  • Odepření souhlasu není překážkou uzavření smlouvy

GDPR přísně požaduje, aby souhlasy se zpracováním osobních údajů nebyly zahrnuty do podmínek smlouvy. Pokud není udělen souhlas se zpracováním údajů obchodníkovi zasílajícímu reklamní sdělení, neznamená to žádné omezení poskytovaných služeb. Udělení takového souhlasu je dobrovolné!

  • Souhlas lze odvolat

Pokud chodí reklamní sdělení na základě souhlasu spotřebitele, může jej kdykoliv odvolat. Pokud chodí reklamní sdělení bez souhlasu spotřebitele, může člověk firmu vyzvat k zastavení takového jednání.

  • Školy

Zařízení nemohou bez souhlasu rodičů zveřejňovat fotografie dětí do 16 let. Škola musí mít s rodičem podepsaný souhlas se zpracováním osobních údajů a se způsobem, jak s nimi bude nakládat. Rodiče budou mít větší přístup k informacím, například jak škola zpracovává záběry z bezpečnostních kamer.

  • Nákupy v USA přes internet

GDPR dopadá i na firmy sídlící mimo EU, pokud svoje služby nabízejí v rámci EU. V případě využívání služeb mimo EU mají tyto společnosti osobní údaje chránit a přiznat odpovídající práva jako společnost německá či česká.

  • Sociální sítě

Profil na sociálních sítích si budou moci samostatně založit jen lidé starší 16 let. Pokud mladší děti nezískají souhlas rodičů se zpracováním osobních údajů, může provozovatel jejich účet zrušit.

  • Co je osobní údaj

Jméno, adresa trvalého bydliště, pohlaví, věk, datum narození, rodné číslo, osobní stav, zdravotní znevýhodnění, vzdělání, fotografie, videozáznam, e-mailová adresa, telefonní číslo, IP adresa, číslo občanského průkazu…