Firmy lépe ochrání data. Kdo to zaplatí, se neví
GDPR se blíží. Lidé dostanou jasné informace, co se děje s jejich citlivými údaji
Za čtyři měsíce se začnou české firmy a instituce řídit novými pravidly ochrany osobních dat. Nařízení, známé pod anglickou zkratkou GDPR, má přinést lidem větší jistotu, že se s jejich citlivými údaji bude nakládat „v rukavičkách“.
Nová pravidla se dotknou každého, kdo pracuje s osobními údaji Evropanů. Budou se jimi řídit nejen velké korporace, všechny municipality, ale také prakticky všichni malí živnostníci.
I oni pracují s citlivými údaji, ať už jde o data zaměstnanců, či klientů. Dodržování pravidel si chce Unie vynutit hrozbou vysokých pokut.
MF DNES zjišťovala, co se od 25. května, kdy nařízení začne platit, změní pro spotřebitele. Kde klient firmy či úřadu pocítí největší změny? Jedna z nejviditelnějších změn pro fyzické osoby se týká souhlasu se zpracováním osobních údajů. Jeho podoba má být stručnější a srozumitelnější. Nebude smět být přibalován k jiným dokumentům, jako jsou třeba obchodní podmínky.
Navíc mlčení neznamená souhlas. Udělení souhlasu bude podmíněno nějakou aktivitou – například zaškrtnutím patřičného políčka. Lidé také budou muset mít možnost svůj souhlas se zpracováním kdykoliv odvolat. „A to musí být umožněno stejně snadným způsobem jako jeho poskytnutí,“říká právník spotřebitelské organizace dTest Lukáš Zelený.
Lidé by se také měli rychleji než dnes dozvědět, že jejich data unikla z nějaké databáze. Nařízení počítá s tím, že firmy či úřady budou muset do 72 hodin nahlásit narušení bezpečnosti osobních údajů. Pokuty, které udělil Úřad pro ochranu osobních údajů 2012
milionu korun jE cElková výšE pokut, ktErou úřaD uDělil za poslEDních pět lEt.
5,2 2013 2,8 2014
6,2 8,4 2015 2016 PramEn: ÚOOÚ
Získám jako spotřebitel nějaká nová práva? Obecně budou mít občané-spotřebitelé více práv než dosud. „Správce bude mít povinnost informovat subjekty, jaké osobní údaje a v jakém rozsahu se o nich zpracovávají,“říká Filip Michalec z advokátní kanceláře Dentons. Jejich kopii v elektronické podobě si budou moci bezplatně vyžádat.
Lidé dostanou právo „být zapomenuti“. „K výmazu osobních úda- jů musí správce přistoupit v okamžiku, kdy již nejsou potřebné pro vymezený účel, subjekt údajů odvolá souhlas, nebo byly zpracovány protiprávně,“vysvětluje Zelený.
Vzniknou občanům kvůli GDPR nové povinnosti? Povinnosti vznikají jen těm, kdo osobní data zpracovávají a potřebují ke své činnosti. „Pokud by občan zpracovával osobní údaje ve větším rozsahu, mohl by být považován za správce osobních údajů a musel by plnit povinnosti podle GDPR,“říká Michalec. To by mohlo nastat třeba ve chvíli, kdy by shromažďoval a ukládal osobní údaje do databází či rozesílal marketingová sdělení.
Jaké údaje po mně bude moci úřad nebo firma žádat? Nyní se stává, že firmy – a ještě častěji státní instituce – požadují od lidí informace zbytečně navíc. Skenují si občanku či vyžadují rodné číslo v situacích, kdy to není nutné. „Nařízení tlačí na to, aby si správce udělal v datech pořádek,“říká Oldřich Kužílek, odborný lektor 1. VOX a poradce pro otevřenost veřejné správy.
Lidé by podle něj měli být méně obtěžováni, většina „souhlasů“je dnes zbytečných. „Po správci se požaduje, aby si uvědomil, zda s osobními údaji nakládá oprávněně, na základě jakého zákonného podkladu s nimi nakládá, a zda si je neukládá na zbytečně dlouhou dobu,“říká Kužílek.
Bude mě nový zákon stát něco navíc? Lidem žádné přímé náklady v souvislosti s GDPR nevzniknou. Firmy či úřady však budou muset vynaložit peníze na lepší zabezpečení či na pověřence, který bude mít správu dat na starosti. Je možné, že náklady promítnou do konečných cen pro spotřebitele.