Den s GDPR
V některých případech chtějí firmy od zákazníka stvrdit víc, než je třeba čistě pro jistotu. A to z obav z pokut, které mohou dosahovat až 20 milionů eur. Tak třeba pokud chce firma souhlas kvůli zasílání newsletterů, je zbytečné, aby kvůli tomu své zákazníky hnala podepsat souhlas osobně na pobočku.
Na druhou stranu u citlivých údajů to smysl mít může. „Komunikace přes e-mail stojí na jisté míře důvěry, že je na druhé straně opravdu osoba, od níž chci souhlas získat. Kontrola, která přijde do firmy, může chtít u citlivých údajů vědět, jak firma ověřovala totožnost,“říká Pivoda. Souhlas přes e-mail tak nemusí stačit například on-line lékárně, která má k dispozici informace, ze kterých se dá vyvodit diagnóza zákazníka.
Když MF DNES oslovovala společnosti z různých oblastí, byla to mimochodem právě Česká lékárnická komora, která byla o něco opatrnější než ostatní. Ta zároveň předpokládá, že by mohly některé věrnostní programy v lékárnách úplně skončit.
„Jedná se o věrnostní programy, v rámci kterých dochází ve větším rozsahu ke sběru údajů zvláštní kategorie, mimo jiné o zdravotním stavu. Dochází k jejich sdílení s dalšími poskytovateli, větším počtem lékáren nebo se zahraničím,“odpověděla mluvčí komory Michaela Bažantová na otázku, které věrnostní programy by mohly mít problém.
I když úplně samy v tom lékárny nejsou. Už před pár týdny společnost Seznam ohlásila, že zruší službu spoluzaci.cz. „Vyhodnotili, že kdyby měli vyhovět GDPR, museli by službu natolik osekat, že by se jim nevyplatila,“soudí Pivoda.
Další problém jsou mýty, kterých se kolem GDPR za poslední měsíce vytvořilo nepřeberné množství. Stejně jako vlna žádostí o souhlas se zpracováním osobních údajů by však tato vlna měla po 25. květnu rychle opadnout. „Fascinuje mě, že u zákona, který vznikl kvůli potřebě chránit osobní data v digitálním světě, se nejvíc diskutuje o nástěnkách ve školách,“říká k tomu Eva Škorničková, expertka na GDPR.
Zdravotní sestřičky se tak nemusí bát, že by nemohly pacienty v čekárně vyvolat jménem, o čemž se také spekulovalo. „Za to, že sestra v čekárně zavolá, že je pan Novák na řadě, ji nikdo sankcionovat nebude, i když z hlediska našeho úřadu by samozřejmě bylo lepší, kdyby ordinace měla anonymizovaný systém, jaký používají například na poštách,“říká Tomáš Paták, mluvčí Úřadu na ochranu osobních údajů, který bude mít dodržování GDPR na starosti.
Právo vědět
Možná největším přínosem GDPR pro ty, kteří své osobní údaje svěřují ostatním, je právo vědět. Když o to požádají, bude jim firma či instituce muset sdělit, co všechno o nich ví a co s informacemi dělá.
Jak to udělat, o tom by měla organizace jasně informovat. Někde bude třeba zaslat dotaz, jinde ani to. Například dárci Konta Bariéry dostanou identifikační číslo, přes které se budou moci přihlásit přímo do jejich databáze informací o dárcích. „Budou se do databáze moci podívat, sami v nich změnit údaje, například zasílací adresu, a samozřejmě požádat o výmaz,“říká Gabriela Švagrová, která má v této nadaci problematiku GDPR na starost.
Lepší představa o tom, co o lidech instituce a firmy vědí, jim dá lepší představu o tom, co chtějí z jejich paměti vymazat. Právo být zapomenut sice měli už podle současné legislativy, nebylo však příliš využíváno. S GDPR se dostalo do centra pozornosti.
„Je ale často špatně vykládáno jako absolutní. Právo na výmaz člověk získá až v okamžiku, kdy společnost už nebude mít žádný zákonný důvod jeho údaje uchovávat. Tak například zaměstnavatel nemůže po skončení pracovní smlouvy všechny osobní údaje vymazat, protože musí ze zákona některé dokumenty archivovat. Firmy si některé informace uchovávají kvůli případným reklamacím a tak podobně. Měly by to ale být jen nezbytné údaje,“říká Eva Škorničková.
Jaké jsou možnosti, pokud má klient podezření, že firma s údaji nezachází podle práva? Jako první krok doporučuje Tomáš Paták obrátit se na takzvaného pověřence, to je člověk, kterého firmy a úřady musí nově dohledem nad zacházením s osobními údaji pověřit. V případě, že to problém nevyřeší, je další instancí stížnost Úřadu pro ochranu osobních údajů nebo policii.