Článek
Od pátku začíná v celé EU platit nové Obecné nařízení o osobních údajích známé pod zkratkou GDPR. Jeho hlavním posláním je dát občanům (uživatelům, zákazníkům) větší kontrolu nad jejich osobními údaji. Nad tím, kdo a jak je shromažďuje a zpracovává. Na správce osobních údajů tím pádem klade někde větší nároky než dosud.
Jedná se o velmi složitý a rozsáhlý zákon, který z velké části navazuje na Zákon o ochraně osobních údajů z roku 2000. Zavádí ale zároveň několik změn.
Už před začátkem platnosti se okolo nového nařízení vyrojilo mnoho otázek a také dost fám. Přinášíme vám odpovědi na některé z nich:
Musí být všechny dokumenty s osobními údaji nově pod zámkem nebo dokonce v trezoru?
Novinka to není, citlivé informace se měly chránit už předtím. Zabezpečování určitých dokumentů firmám i veřejným institucím (jako jsou třeba školy) nařizoval už dosud platný zákon o ochraně osobních údajů. GDPR v tomto ohledu nejde dál.
„Neznamená to nějakou revoluci. Kdo plnil starý zákon o ochraně osobních údajů, pro toho se toho moc nemění. Neznamená to rozhodně, že by se nově musely třeba třídnice zavírat pod zámek,“ říká mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták.
Může bytové družstvo nebo sdružení vlastníků jednotek vyvěsit na chodbu seznam s údaji, kolik kdo má doplatit za služby?
Tato praxe byla v konfliktu se zákony - nejen s tím o ochraně osobních údajů - už před GDPR. Zároveň mají ale členové družstva nárok na informace o tom, jak se mu hospodářsky vede. Jak to tedy řešit?
„Zveřejnit tuto informaci na schůzi družstva nebo společenství vlastníků je v pořádku. Jestliže se ale ta informace vystaví ve veřejně přístupné části domu, kde se k ní dostanou i jiní lidé, tak se dostáváme do konfliktu nejen s GDPR nebo zákonem o ochraně osobních údajů, ale i s přestupkovým zákonem. Je to totiž informace, která je způsobilá poškodit dotčené osoby v očích těch, kteří tu informaci uvidí,“ vysvětluje advokát Vratislav Urbášek z advokátní kanceláře Urbášek & Partners.
Může mne zaměstnavatel v práci sledovat kamerou?
Může, ale musí dokázat, že k tomu má zákonný důvod - třeba ochranu majetku nebo zdraví. A zaměstnanec má naopak poměrně široké možnosti kontroly nad svými osobními údaji - v tomto případě nad záběry z kamery.
„Zaměstnavatel je povinen zaměstnance informovat o tom, jakým způsobem data zpracovává. A je povinen ho informovat i o tom, na koho se obrátit, pokud data chce změnit, smazat nebo do nich nahlédnout,“ dodává advokát Urbášek.
Je pravda, že děti nebudou moci na sociální sítě nebo využívat některé internetové služby?
Ne úplně. Ale je pravda, že GDPR vyžaduje do šestnácti let souhlas rodičů. Záleží na provozovatelích, jak se s tím technicky vyrovnají. Tato věková hranice se může ještě změnit takzvaným adaptačním zákonem, který ale čeští poslanci zatím neschválili.
„Firmy budou muset vyvinout určitý mechanismus, jak budou věk a souhlas zákonného zástupce ověřovat. V prostředí internetu se dá samozřejmě předpokládat, že to úplně neprůstřelné nebude,“ říká k tomu Karel Bačkovský z odboru bezpečnostní politiky Ministerstva vnitra.
Obchodní řetězce, e-shopy nebo sociální sítě po mně teď chtějí nové souhlasy. Proč to dělají a co to znamená?
Tohle je opravdu reakce na GDPR. Konkrétně na to, že zákazníci a uživatelé mají být lépe informováni o tom, jak je s jejich údaji zacházeno. Vidět je to na různých věrnostních programech obchodníků, které často sbírají třeba údaje o takzvaném nákupním chování.
A právě tyto složitější manipulace s osobními údaji jim nyní musí zákazníci speciálně odsouhlasit. Nebo nemusí a tím pádem je obchody „sledovat“ nesmějí.
„GDPR klade přísnější požadavky na souhlasy dotčených osob. Dosud byly často tyto souhlasy součástí obchodních podmínek. Nově musí být oddělené a my máme právo se rozhodnout, zda je udělíme, nebo ne,“ uvádí právník ze společnosti Rowan Legal Jan Tomíšek.
Jaké nové nároky klade GDPR na firmy, které spravují velké množství osobních údajů svých zákazníků a uživatelů?
Novinkou je třeba zřízení pozice pověřence pro GDPR. Ten by měl dohlížet na dodržování předpisů a na to, že zákazníci a uživatelé budou moci dostávat o svých údajích příslušné informace.
„GDPR rozšiřuje informace, které firmy musí evidovat o zpracovávání osobních údajů. Musí to být více strukturované a podrobné, musí tam být uvedena doba, po kterou se údaje uchovávají a osoby, jež k nim měly přístup. Další novinkou je přenositelnost dat,“ popisuje pověřenkyně pro GDPR Seznam.cz Lenka Ernestová.
GDPR zavádí obří pokuty - až 20 milionů eur nebo 4 procenta z globálního obratu. Mají se tedy firmy bát, že za běžná provinění nyní dostanou likvidační sankce?
Vysoké pokuty by se měly týkat hlavně obřích nadnárodních firem, a to v případě velkých provinění. Tedy velkých úniků či zneužití osobních údajů. U běžných chyb by astronomické pokuty padat neměly.
„Nejvyšší možná pokuta dosud byla 10 milionů korun, úřad udělil maximálně 4milionovou pokutu. Z toho lze usuzovat, že úřad bude i nadále postupovat velmi střízlivě,“ uvádí pravidlo do kontextu mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták.
Česko ještě neschválilo takzvaný adaptační zákon k GDPR. Co tedy od pátku platí?
Adaptační zákon je od toho, aby stát do určité míry upravil práva a povinnosti, které zavádí GDPR. Podle toho, jak bude schválen, mohou se měnit i některá pravidla GDPR.
„V pátek začíná nařízení GDPR platit automaticky. Dál k němu bude platit zákon o ochraně údajů z roku 2000. Pouze v těch případech, kdy se liší GDPR od zákona 101/2000, tak platí to, co je uvedeno v GDPR,“ vysvětluje advokát Urbášek.