Lepší kontrolu nad tím, co se děje s osobními daty, která o sobě lidé sdělují obchodníkům, bankám, státním úřadům, ale také třeba lékařům, by mělo přinést nové evropské nařízení o ochraně osobních údajů. Ekonom připravil přehled, jak se nařízení projeví v některých typických životních situacích. Předpis, pro nějž se v odborných kruzích vžilo označení GDPR, začne platit za rok v květnu.

Ztraceno ve všeobecných podmínkách

jarvis_59789a29498e42ee7f150a68.jpeg
Ilustrace: Shutterstock

Žádosti o souhlas se zpracováním osobních údajů dostanou podle GDPR jasný a srozumitelný formát. Nebudou smět být psány odborným právním jazykem, ale hlavně se už nebudou smět "skrývat" v hloubi všeobecných obchodních podmínek, což bylo doposud obvyklé. Lidé je tak běžně akceptovali, aniž by věděli, že automaticky udělují souhlas k využití svých údajů třeba i pro marketingové účely, nebo že informace o nich může firma, jíž je poskytli, volně předávat dál. Pro platné udělení souhlasu se zpracováním dat v souladu s nařízením nebude stačit ani pouhé tlačítko "Souhlasím" umístěné na webu. "Musí být podpořeno doplňujícími údaji, na základě kterých se dotyčný rozhodne, zda bude, či nebude souhlasit se zpracováním svých osobních údajů," vysvětluje Tomáš Paták z Úřadu pro ochranu osobních údajů. Lidé by se tak měli dozvědět, proč a jak jsou osobní údaje zpracovávány a co může člověk dělat, když s tím nesouhlasí.

Kolik je Vám let?

jarvis_59789a29498e42ee7f150a6c.jpeg
Ilustrace: Shutterstock

Víc než kdy dřív se budou podle nových pravidel lidé na internetu setkávat s dotazy na svůj věk. Nařízení totiž vyžaduje, aby za děti mladší 16 let udělovali souhlas se zpracováním osobních údajů rodiče. Správce dat, tedy například provozovatel e-shopu, sociální sítě nebo jakéhokoliv jiného webu, který bude po 25. květnu 2018 shromažďovat osobní údaje o uživatelích, tak bude muset zjišťovat, zda jeho uživatelé do této kategorie nespadají.

E-mailová komunikace s lékařem

jarvis_59789a29498e42ee7f150a70.jpeg
Ilustrace: Shutterstock

Lékaři by neměli pacientům posílat zdravotní dokumentaci e-mailem. "Většina běžných uživatelů má svoji schránku u poskytovatelů free mailů, jako je například volny.cz a google.com, kde není možné zajistit, aby se k informacím nedostala nepovolaná osoba," varuje bezpečnostní konzultant společnosti Anect Zbyněk Malý. To však neznamená, že by jakákoliv komunikace lékaře s pacientem přes běžný e-mail byla zcela vyloučena. Objednat se k lékaři elektronicky bude i nadále možné. Pokud ale lékaři budou v e-mailové komunikaci upřesňovat okolnosti zdravotního stavu pacienta, měli by e-maily raději šifrovat. Například je mohou uložit do souboru ve formátu RAR, který si pacient otevře jen pomocí předem domluveného hesla.

Kamery v obchodě

jarvis_59789a29498e42ee7f150a74.jpeg
Ilustrace: Shutterstock

Obchodníci, kteří si budou chtít nainstalovat do svých prodejen kamery, aby se tak chránili před zloději, se již nebudou muset povinně registrovat u Úřadu pro ochranu osobních údajů. Musí si ale dát pozor, aby monitorování co nejméně narušovalo soukromí druhých. "Obchodník například nemůže nastavit kameru tak, aby snímala vchodové dveře a zároveň polovinu ulice," vysvětluje partner advokátní kanceláře Rowan Legal Michal Nulíček. Nové nařízení ovšem neznamená, že by vlastníci kamer museli žádat souhlas se snímáním od každého, kdo přijde do jejich obchodu. Stejně jako doposud postačí informační tabulka, že objekt je monitorován kamerovým systémem.

Vizitky

jarvis_59789a29498e42ee7f150a78.jpeg
Ilustrace: Shutterstock

"Právo na ochranu osobních údajů je sice základním právem, nesmí ale zapříčinit, aby kvůli němu přestala fungovat společnost, abychom si přestali vyměňovat osobní údaje," říká Jiří Žůrek z Úřadu pro ochranu osobních údajů. Vizitky s kontakty si tedy budeme moci i po účinnosti nařízení o ochraně dat vyměňovat stejně jako doposud. "V případě firemního sběru je akt předání vizitky chápán jako souhlas s užíváním, tedy zpracováním těchto informací za účelem navázání nějaké komunikace," vysvětluje Malý. Avšak údaje z vizitek, stejně jako kontaktní údaje, které lidé uvádějí třeba na firemním webu, nebudou smět být bez speciálního souhlasu dotyčného člověka použity k marketingovým účelům.

Smažte můj profil

jarvis_59789a29498e42ee7f150a7c.jpeg
Ilustrace: Shutterstock

Nařízení o ochraně dat dává lidem právo kdykoliv požádat správce dat o to, aby údaje o nich smazal. Po nákupu v e-shopu a doručení zboží tedy může zákazník požadovat, aby obchodník ze své databáze odstranil údaje, které mu zákazník poskytl v souvislosti s objednávkou, tedy zejména doručovací adresu, e-mail nebo telefonní číslo. A protahovat by se nemělo už ani smazání profilu ze sociálních sítí. Žádost o výmaz osobních údajů budou muset správci dat vyřídit do 30 dnů od chvíle, kdy ji uživatel podá.

Konec principu "Take it or leave it"

jarvis_59789a2a498e42ee7f150a80.jpeg
Ilustrace: Shutterstock

Souhlas se zpracováním osobních údajů musí být svobodný a nesmí být ničím podmiňován, žádá nařízení. Provozovatelé webových stránek či poskytovatelé služeb tak již nebudou moci odepřít přístup ke své službě nebo na svůj web jen proto, že jim uživatel nedá souhlas se zpracováním osobních údajů pro sekundární účel, jako je například marketingová komunikace. "Nově si bude moci uživatel vybrat, jestli k těmto sekundárním účelům, které nejsou pro provoz služby nezbytné, svůj souhlas dá, nebo ne. Pokud tedy člověk nechce, aby byly jeho údaje využívány pro komerční účely, bude se tomu moci vyhnout," říká Nulíček.

Hlášení úniků

jarvis_59789a2a498e42ee7f150a84.jpeg
Ilustrace: Shutterstock

Jakýkoliv únik osobních údajů budou muset správci a zpracovatelé dat oznámit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy ho odhalili. Už by se tak nemělo stát, že se o masivním úniku klientských dat dozvíme až s odstupem několika let, jako se to stalo například v kauze společnosti Yahoo!, které v roce 2013 hackeři ukradli údaje asi miliardy uživatelů. Pokud by hrozilo, že kvůli úniku dojde třeba k vyzrazení obchodního tajemství, musel by správce dat informovat o jejich ztrátě i nebezpečí jejich zneužití všechny klienty, o jejichž údaje přišel.

Rodné číslo podnikatele na účtenkách EET

jarvis_59789a2a498e42ee7f150a88.jpeg
Ilustrace: Shutterstock

Ani evropské nařízení není všemocné. I potom, co začne platit, zůstane na účtenkách elektronické evidence tržeb rodné číslo podnikatelů z řad fyzických osob. To je u nich součástí daňového identifikačního čísla a jeho vytištění na účtence stanovuje speciální zákon, což je z pohledu nařízení omluvenka ze zásahu do soukromí.

Nařízení ulehčí i přitíží. Kamery už nebude nutné oznamovat státu, naopak únik dat se bude muset hlásit.

Související