GDPR je pojem, na nějž v poslední době narážíme v podstatě na každém kroku. Píší o něm nejrůznější média, emailové schránky nám zahlcují informační zprávy a politici zaujímají stanoviska. Je pro všeobecné pozdvižení důvod? A ovlivní GDPR reálně naše fungování v online světě? Na to se pokusí odpovědět tento článek.
Na úvod si však řekněme, co GPDR vlastně je. Zkratka znamená General Data Protection Regulation, což se do češtiny překládá jako Obecné nařízení o ochraně osobních údajů. Jde o nařízení přijaté Evropskou unií v dubnu roku 2016 a v účinnost vstupuje 25. května tohoto roku, tedy zítra. Vzhledem k právní povaze nařízení dnem účinnosti všechna pravidla začínají platit na celém území EU a jsou ihned vymahatelná. Nečeká se tak na implementace národních zákonodárných celků, k tomu se ale dostaneme podrobněji za chvíli. GDPR se samozřejmě týká i provozovatelů webů a tedy i nás, nicméně my už jsme na GDPR připraveni.
Co jsou to vlastně osobní údaje?
Osobní údaje či data jsou podle znění GDPR jakékoliv informace identifikující nebo použitelné k identifikaci žijících osob. „Kolekce“ samostatně anonymních dat, která ale vcelku identifikaci umožňuje, je také považována za osobní údaj.
Revoluce, nebo spíše evoluce?
GDPR je často prezentováno jako zcela přelomová legislativa, ať už v negativním či pozitivním slova smyslu. Ve skutečnosti však již ve většině zemí právní předpisy na ochranu osobních údajů existovaly a změny tak formálně nejsou až tak zásadní. Revoluční jsou tak zejména doslova „brutální“ pokuty za porušení, které pravděpodobně zajistí výrazně vyšší míru respektování příslušných zákonů, než tomu bylo doposud.
V České republice byla doposud problematika ochrany osobních údajů řešena Směrnicí Evropského parlamentu a Rady 95/46/ES a zákonem č. 101/2000 Sb. Práva a povinnosti vyplývající z těchto předpisů budou nyní nahrazeny zněním nařízení.
K určité změně dochází i v oblasti dohledu nad dodržováním této legislativy. Hlavním regulačním orgánem nadále zůstává český Úřad pro ochranu osobních údajů. Získá však některé nové pravomoci vycházející z GDPR a formálně bude podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). U EDPB nyní bude možné rozporovat rozhodnutí národního regulátora, v našem případě ÚOOÚ.
Koho se týká?
Na tuto otázku je možné odpovědět velmi jednoduše: každého. Nařízení má chránit všechny zákazníky nacházející se na území EU a respektovat ho musí všechny instituce i firmy operující v EU. Týká se tak i firem sídlících například v USA, které nabízejí své služby v EU.
Z faktického hlediska bude dopad pravděpodobně ještě širší, neboť některé firmy plánují použít evropská pravidla na všech trzích. Například Facebook zasažený skandálem se zneužitím osobních dat společností Cambridge Analytica již naznačil, že GDPR aplikuje i v USA.
GDPR platí samozřejmě nejen pro firmy, ale i pro úřady a další státní instituce, jako jsou například školy. To může být někdy značně problematické. Pokud nějaké dítě (resp. jeho rodiče) neudělí škole souhlas se zpracováním osobních údajů, může to narušit fungování celé třídy. Při modelové situaci zveřejnění výsledků školní soutěže na nástěnce musí škola nějak vyřešit údaje žáka nesouhlasícího se zveřejněním.
Může ho třeba vynechat, což ale poněkud naruší celkové pořadí. Jeho jméno také může být anonymizováno do podoby nějakého kódu, ale pokud půjde třeba jen o jednoho žáka, je stejně zcela zjevné, kdo to je. Což také asi nemusí v případě sporu projít. Jak bylo řečeno na začátku, i anonymní údaje použitelné v souvislosti s dalšími k identifikaci lze považovat za osobní data.
Problém by neměl být s fotografováním veřejných akcí a reportáží. Pokud se dá na fotografii použít zpravodajská licence nebo „oprávněný zájem“, mělo by ji být možné zveřejnit bez souhlasu. Fotografie by však neměla obsahovat detailní záběr na jedince, pokud nejde o veřejnou akci, kde se to dá předpokládat. Například fotografie hráče při fotbalovém zápase je v pořádku. Otázkou však je, jestli je v pořádku i fotka hráče z vnitropodnikového zápasu při teambuildingu. Tyto sporné situace vyřeší zřejmě až praxe.
Získáme kontrolu nad osobními daty v cloudu?
Na internetu se GDPR v praxi nejvíce dotkne asi sociálních sítí a obdobných služeb, které shromažďují velké množství dat. Tyto weby budou muset nově přistupovat k vašim datům dle přísných pravidel.
Srozumitelný jazyk
Každá společnost stojící o vaše data bude muset „lidsky srozumitelným“ jazykem popsat, jaká data a k jakým účelům požaduje. Nesmí chybět ani jasná deklarace toho, kdo k vašim datům bude mít přístup. Teoreticky by tak měla skončit praxe nesrozumitelných právních podmínek, které nikdo nečte.
Pokud se účel zpracování dat či jiné okolnosti změní, budete muset souhlas obnovit, jinak bude neplatný. Jestliže se třeba změní fungování nějaké sociální sítě, nemůže její provozovatel automaticky předpokládat, že váš předchozí souhlas autorizuje i použití za nových podmínek. Souhlas by navíc nemělo být možné udělovat na dobu neurčitou, resp. nekonečnou. Horní hranice ale stanovena není a s pojetím nezbytně dlouhé doby lze snadno manipulovat.
Právo vypovědět souhlas
Ke každému zpracování dat musíte dát souhlas, což však neznamená, že není cesty zpět. Svůj souhlas byste měli mít možnost na požádání kdykoliv stáhnout. Každá společnost musí na váš požadavek reagovat bez zbytečných odkladů, nejdéle však do 30 dnů.
Pokud služba odmítne váš požadavek související s osobními daty splnit, musí poskytnout konkrétní vysvětlení svého rozhodnutí. Její rozhodnutí navíc samozřejmě můžete napadnout u ÚOOÚ, resp. EDPB.
Máte právo být zapomenuti
„Právo na zapomnění“ už do jisté míry v EU existovalo, GDPR na něj však klade větší důraz. Jakákoliv společnost by měla na vaši žádost smazat veškerá vaše osobní data, která uchovává.
Problém však je, že odstranění dat nesmí narušit svobodu projevu či svobodný přístup k informacím. V praxi tedy asi nebude vždy jednoduché rozhodnout, jaké právo má navrch. Pokud jste totiž byť jen minimálně veřejně známá osoba, dá se už mluvit o tom, že by odstranění dat mohlo vést k omezení přístupu k informacím. Toto samozřejmě cílí zejména na to, aby po sobě nemohli politici a další osobnosti „zahlazovat“ kontroverzí výroky. Ovšem zneužití se přímo nabízí, a to jak v případě smazání, tak jeho odmítnutí.
Přenositelnost dat
K osobním datům vám musí společnosti nejen umožnit přistupovat, ale měly by respektovat i princip přenositelnosti. To by mělo teoreticky znamenat, že když se rozhodnete přejít z jedné sociální sítě na druhou, měl by existovat nástroj pro snadnou migraci dat.
Opět však není jisté, nakolik toto bude reálně naplňováno. Konkurující si společnosti asi totiž zrovna nebudou prahnout po spolupráci umožňující přechod zákazníků. Problematické by bylo i technické zajištění. Služby by se musely dohodnout na nějakém standardizovaném formátu dat, aby je bylo možné snadno importovat.
Data smí být využívána jen k účelu, k němuž byla poskytnuta
Společnosti nesmí využívat vaše osobní údaje k jinému účelu, než k jakému jste s jejich poskytnutím souhlasili. Jestliže jste tedy například poskytli emailovou adresu kvůli objednávce zboží v e-shopu, neměla by být použita pro zasílání reklamních sdělení po vyřízení objednávky.
Zde je však zcela evidentní, že to půjde obejít. Zaškrtávacím políčkem zkrátka udělíte souhlas najednou i k zasílání obchodních sdělení. A pokud se rozhodnete souhlas neudělit, přijdete o možnost si zboží objednat.
Obavy o efektivitu GDPR jsou také jedním z argumentů proti jeho zavedení. V praxi totiž může například Facebook podmínit používání své sítě udělením souhlasu v podstatě k čemukoliv. A většina lidí souhlas prostě potvrdí, ať bude obsahovat cokoliv. Omezená funkcionalita či dokonce úplná ztráta přístupu k oblíbené sociální síti totiž bude bohužel pro spoustu lidí větším strašákem, než zneužití osobních dat.
O úniku dat se dozvíme do tří dnů
V případě, že soukromé společnosti či nějaké instituci uniknou jakákoliv osobní data, vše musí být bezpodmínečně oznámeno. Stanovena je lhůta 72 hodin, během nichž by měla postižená instituce zabránit dalším únikům a následně varovat své uživatele.
Už by se tak nemělo stávat, že některé weby zatají úniky dat, či je oznámí až s velkým zpožděním. V případě zjištění pozdního oznámení totiž hrozí obří pokuty.
Likvidační pokuty za neuposlechnutí
Každý zákon musí mít nějakou sankci, jinak není dost dobře možné ho vynucovat. Finanční postihy stanovené za prohřešky spojené s nedodržováním zásad GDPR jsou však extrémně vysoké.
Na jednu stranu lze argumentovat tím, že jen astronomické pokuty mohou donutit nadnárodní korporace opravdu se přizpůsobit. Na druhou stranu však třeba říct, že možné postihy jsou tak přísné, že se často mohou stát likvidačními.
V závislosti na okolnostech a závažnosti prohřešku lze ukládat pokuty do výše až 20 milionů euro (515 milionů Kč) nebo 4% celkových výnosů společnosti. Pro určení pokuty se přitom použije ta hranice, která představuje vyšší hodnotu. Pro firmy jako Google či Facebook 4% výnosů znamenají miliardové částky, 20 milionů euro zase dokáže spolehlivě „položit“ většinu menších firem. Výška pokuty samozřejmě nemusí být vždy takto vysoká, jedná se jen o strop. EU ovšem dlouhodobě nevykazuje moc vstřícnosti vůči firmám jako Google, takže lze očekávat, že v případě závažnějšího porušení přijde tvrdý postih.
Dvojí metr pro státní správu?
Nařízení GDPR má vyšší právní sílu než národní legislativa, ale umožňuje členským státům přijímat určité výjimky. Toho mají v plánu využít i čeští zákonodárci, avšak z poněkud nejasných důvodů nebyla patřičná legislativa doposud přijata. Přitom už od roku 2016 je jasné, že takový zákon bude nutné připravit. Nyní je tak už zcela evidentní, že navrhované výjimky platit od začátku GDPR rozhodně nebudou.
Současný vládní návrh počítá s tím, že by se zrušila povinnost zřizovat „pověřence pro ochranu osobních údajů“ u některých menších státních institucí. Uskupení STAN pak zase prosazuje zmírnění sankcí pro obce, popřípadě jejich úplné zrušení. Obdobně smýšlí i KDU-ČSL. Lidovci by totiž zase nejradši zcela zrušili pokuty pro školy, úřady a neziskové organizace. Tyto instituce prý nemají dostatečné lidské ani finanční zdroje pro zajištění dodržování všech požadavků GDPR. ODS pak prosazuje odstupňování sankcí dle velikosti podniku, odložení zavedení pokut a zřízení informačního systému.
25. května začne platit tzv. nařízení GDPR. MŠMT pro školy s předstihem připravilo semináře ve všech krajích, metodiku a stručný návod, jak změny zakomponovat do vnitřních pravidel a chodu školy. Více informací a odpovědi na nejčastější otázky: https://t.co/ytXgtZLMmw #GDPR pic.twitter.com/rYuXAZdhL3
— MŠMT (@msmtcr) May 23, 2018
Dá se očekávat, že minimálně některé z těchto návrhů budou schváleny a po několika měsících účinnosti GDPR v základní formě zavedou výjimky. To však může spustit vlnu stížností a případně i soudních sporů.
Soukromý sektor se totiž vcelku pochopitelně asi nebude chtít smířit s tím, že ho bude stát pokutovat za nedodržování zásad, na něž si sám zavedl výjimku. Zejména malé firmy pak mohou přesvědčivě argumentovat tím, že jejich situace je velmi srovnatelná s menšími obcemi a také nemají dostatečné personální možnosti pro zajištění všech požadavků.
Výsledky ukáže až čas
Jaký je tedy závěr našeho článku? Je GDPR cenný nástroj pro ochranu osobních údajů, nebo zbytečný výmysl unijních politiků? Objektivní hodnocení budeme moci s čistým svědomím vyřknout až po nějaké době účinnosti.
GDPR určitě přináší běžným uživatelům zvýšenou úroveň ochrany osobních dat, alespoň tedy v teoretické rovině. Z hlediska uživatele nejsou na místě ani obavy z nadbytečné administrativy, občas prostě zaškrtneme nějaký souhlas, či podepíšeme o papír navíc. To určitě za lepší standard soukromí (nejen) v online světě stojí.
Z pohledu menších firem, škol, samosprávy a podobných institucí nicméně může GDPR znamenat spoustu problémů. Na tom mají nemalou zásluhu i čeští politici (zejména minulé vlády), kteří nebyli schopni včas připravit výjimky. Ty by totiž mohly zmírnit negativní dopady na subjekty, jichž se primárně GDPR ani týkat nemělo. Minimálně do doby přijetí těchto výjimek tak budou muset tyto instituce svědomitě dodržovat všechny nové povinnosti. Jinak se totiž mohou vystavit likvidačním pokutám. Sousední Slovensko či Rakousko již obdobné výjimky přijalo.
Na závěr přikládáme jako úsměvný bonus v posledních dnech často sdílené „parte podle GDPR“. Prázdná plocha poukazuje na to, že zpravidla obsažené údaje jako jméno, příbuzenské vazby, fotografie a podobně teoreticky podle GDPR spadají do kategorie chráněných osobních údajů. To je sice pravda, nicméně v textu nařízení se lze jasně dočíst, že se nevztahuje na údaje zesnulých osob. Dopad na obsah smutečního oznámení může být tedy jen takový, že by se na něm nesměla zobrazovat jména a příbuzenské vztahy pozůstalých, pokud k tomu nedají souhlas.
My jsme na GDPR připraveni. Uživatelé, kteří se u nás registrují, nám se svým souhlasem poskytují pouze svůj e-mail a případně uživatelské jméno. Tyto a ani žádné jiné při registraci vyplněné údaje nepoužíváme k marketingovým ani jiným účelům a v případě potřeby je kdykoliv možné je z naší šifrované databáze odstranit. SMARTmania.cz také nikdy nezasílala žádné newslettery. O tom, jak na našem webu přistupujeme k ochraně dat a zpracování cookies se více dozvíte na této stránce.