Lepší kontrolu nad tím, co se děje s osobními daty, která o sobě lidé sdělují obchodníkům, bankám, státním úřadům, ale také třeba lékařům, by mělo přinést nové evropské nařízení o ochraně osobních údajů. Ekonom připravil přehled, jak se nařízení projeví v některých typických životních situacích. Předpis, pro nějž se v odborných kruzích vžilo označení GDPR, začne platit za rok v květnu.
Ztraceno ve všeobecných podmínkách

Žádosti o souhlas se zpracováním osobních údajů dostanou podle GDPR jasný a srozumitelný formát. Nebudou smět být psány odborným právním jazykem, ale hlavně se už nebudou smět "skrývat" v hloubi všeobecných obchodních podmínek, což bylo doposud obvyklé. Lidé je tak běžně akceptovali, aniž by věděli, že automaticky udělují souhlas k využití svých údajů třeba i pro marketingové účely, nebo že informace o nich může firma, jíž je poskytli, volně předávat dál. Pro platné udělení souhlasu se zpracováním dat v souladu s nařízením nebude stačit ani pouhé tlačítko "Souhlasím" umístěné na webu. "Musí být podpořeno doplňujícími údaji, na základě kterých se dotyčný rozhodne, zda bude, či nebude souhlasit se zpracováním svých osobních údajů," vysvětluje Tomáš Paták z Úřadu pro ochranu osobních údajů. Lidé by se tak měli dozvědět, proč a jak jsou osobní údaje zpracovávány a co může člověk dělat, když s tím nesouhlasí.
Kolik je Vám let?

Víc než kdy dřív se budou podle nových pravidel lidé na internetu setkávat s dotazy na svůj věk. Nařízení totiž vyžaduje, aby za děti mladší 16 let udělovali souhlas se zpracováním osobních údajů rodiče. Správce dat, tedy například provozovatel e-shopu, sociální sítě nebo jakéhokoliv jiného webu, který bude po 25. květnu 2018 shromažďovat osobní údaje o uživatelích, tak bude muset zjišťovat, zda jeho uživatelé do této kategorie nespadají.
E-mailová komunikace s lékařem

Lékaři by neměli pacientům posílat zdravotní dokumentaci e-mailem. "Většina běžných uživatelů má svoji schránku u poskytovatelů free mailů, jako je například volny.cz a google.com, kde není možné zajistit, aby se k informacím nedostala nepovolaná osoba," varuje bezpečnostní konzultant společnosti Anect Zbyněk Malý. To však neznamená, že by jakákoliv komunikace lékaře s pacientem přes běžný e-mail byla zcela vyloučena. Objednat se k lékaři elektronicky bude i nadále možné. Pokud ale lékaři budou v e-mailové komunikaci upřesňovat okolnosti zdravotního stavu pacienta, měli by e-maily raději šifrovat. Například je mohou uložit do souboru ve formátu RAR, který si pacient otevře jen pomocí předem domluveného hesla.
Kamery v obchodě

Obchodníci, kteří si budou chtít nainstalovat do svých prodejen kamery, aby se tak chránili před zloději, se již nebudou muset povinně registrovat u Úřadu pro ochranu osobních údajů. Musí si ale dát pozor, aby monitorování co nejméně narušovalo soukromí druhých. "Obchodník například nemůže nastavit kameru tak, aby snímala vchodové dveře a zároveň polovinu ulice," vysvětluje partner advokátní kanceláře Rowan Legal Michal Nulíček. Nové nařízení ovšem neznamená, že by vlastníci kamer museli žádat souhlas se snímáním od každého, kdo přijde do jejich obchodu. Stejně jako doposud postačí informační tabulka, že objekt je monitorován kamerovým systémem.
Vizitky

"Právo na ochranu osobních údajů je sice základním právem, nesmí ale zapříčinit, aby kvůli němu přestala fungovat společnost, abychom si přestali vyměňovat osobní údaje," říká Jiří Žůrek z Úřadu pro ochranu osobních údajů. Vizitky s kontakty si tedy budeme moci i po účinnosti nařízení o ochraně dat vyměňovat stejně jako doposud. "V případě firemního sběru je akt předání vizitky chápán jako souhlas s užíváním, tedy zpracováním těchto informací za účelem navázání nějaké komunikace," vysvětluje Malý. Avšak údaje z vizitek, stejně jako kontaktní údaje, které lidé uvádějí třeba na firemním webu, nebudou smět být bez speciálního souhlasu dotyčného člověka použity k marketingovým účelům.
Smažte můj profil

Nařízení o ochraně dat dává lidem právo kdykoliv požádat správce dat o to, aby údaje o nich smazal. Po nákupu v e-shopu a doručení zboží tedy může zákazník požadovat, aby obchodník ze své databáze odstranil údaje, které mu zákazník poskytl v souvislosti s objednávkou, tedy zejména doručovací adresu, e-mail nebo telefonní číslo. A protahovat by se nemělo už ani smazání profilu ze sociálních sítí. Žádost o výmaz osobních údajů budou muset správci dat vyřídit do 30 dnů od chvíle, kdy ji uživatel podá.
Konec principu "Take it or leave it"

Souhlas se zpracováním osobních údajů musí být svobodný a nesmí být ničím podmiňován, žádá nařízení. Provozovatelé webových stránek či poskytovatelé služeb tak již nebudou moci odepřít přístup ke své službě nebo na svůj web jen proto, že jim uživatel nedá souhlas se zpracováním osobních údajů pro sekundární účel, jako je například marketingová komunikace. "Nově si bude moci uživatel vybrat, jestli k těmto sekundárním účelům, které nejsou pro provoz služby nezbytné, svůj souhlas dá, nebo ne. Pokud tedy člověk nechce, aby byly jeho údaje využívány pro komerční účely, bude se tomu moci vyhnout," říká Nulíček.
Hlášení úniků

Jakýkoliv únik osobních údajů budou muset správci a zpracovatelé dat oznámit Úřadu pro ochranu osobních údajů do 72 hodin od chvíle, kdy ho odhalili. Už by se tak nemělo stát, že se o masivním úniku klientských dat dozvíme až s odstupem několika let, jako se to stalo například v kauze společnosti Yahoo!, které v roce 2013 hackeři ukradli údaje asi miliardy uživatelů. Pokud by hrozilo, že kvůli úniku dojde třeba k vyzrazení obchodního tajemství, musel by správce dat informovat o jejich ztrátě i nebezpečí jejich zneužití všechny klienty, o jejichž údaje přišel.
Chcete číst dál?
Ještě na vás čeká 10 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později
Zaujal vás článek? Pošlete odkaz svým přátelům!
Tento článek je zamčený. Na tomto místě můžete odemykat zamčené články přátelům, když si pořídíte předplatné.