Přínos GDPR pro ochranu osobních dat

06. 01. 2019V loňském roce evropské nařízení GDPR zavedlo celoevropský rámec práv občanů na rozhodování o jejich osobních údajích. V praxi to znamená, že půl miliardy občanů EU má od května 2018 možnost jasně říci, že nechce, aby se kupříkladu šířilo jejich telefonní číslo či si reklamní agentury přeprodávaly údaje o jejich příjmech. Dosud byla obdobná legislativa velmi roztříštěná a bezzubá. V ČR již od roku 2000 platil obdobný zákon (101/2000 Sb., o ochraně osobních údajů), ale jeho vymahatelnost byla v porovnání s GDPR velmi slabá.

Evropské nařízení jednotně definovalo osobní údaje a též zvláště citlivé osobní údaje1. Jednotný výklad v celé EU velmi zjednodušuje život nejen občanům v jejich rolích spotřebitelů a zákazníků, ale i velkým internetovým společnostem, které tak nemusí řešit 28 evropských zákonů, ale jen jeden. Tato jednotná pravidla jsou tak velkými portály opravdu implementována, čímž se značně zlepšuje jejich přístup k osobním údajům jako takovým. Navíc se tímto způsobem rozvinutý evropský princip ochrany osobních údajů může pozvolna rozšiřovat i do dalších zemí.

Jak již bylo řečeno, hlavním přínosem GDPR je právo na rozhodnutí o svých osobních údajích a nakládání s nimi. To znamená, že mohu u správců a zpracovatelů mých osobních údajů namítat účel jejich zpracování, pokud se třeba ukáže, že je provozovatel zneužil pro cílenou reklamu. Případně mohu rovnou žádat o smazání svých údajů v databázích zpracovatelů. Neméně důležité je, že nařízení zcela jasně mluví i o možnosti již udělený souhlas se zpracováním odvolat. Čili pokud jsem dříve souhlasil s nevýhodnými podmínkami, nyní je mohu odmítnout. A ještě lepší je, že pokud to služba ze své podstaty nevyžaduje, tak souhlasem nesmí být služba podmíněna. Například eshop mi nemůže vnucovat marketingové maily a podmiňovat tím nákup.

V praxi to vypadá tak, že webové portály velkých společností (českých i mezinárodních) mají svou specializovanou stránku s informacemi o přístupu k soukromí svých uživatelů a zákazníků. Několik příkladů známých společností a jejich nastavení soukromí:

Dalším úžasným důsledkem je právo na migraci vlastních dat. Máte možnost zažádat si o data, která o vás poskytovatel služby vede. V případě Google či Apple jsou to ohromná množství dat. Český obchod CZC vám dokonce zašle i zahashované heslo2. Toto opatření vám umožní například přechodně zrušit účet a později ho obnovit. Anebo dokonce migrovat k jinému poskytovateli služeb. Dnes to ještě není příliš obvyklé, ale do budoucna nejspíše bude běžné, že si stáhnete například celou vlastní fotogalerii z jednoho webu a na druhý se nahraje včetně popisků a dalších dat neuložených přímo v samotných obrázcích.

GDPR upravuje i takové detaily, že třeba souhlas se zpracováním osobních údajů musí být psán srozumitelně a nesmí být jen přílepkem složitější smlouvy. Zvláštní ohled máme dbát na děti (například provozujeme-li službu zaměřenou na děti).

Ale co když jsem provozovatel?

Velcí provozovatelé měli opravdu hodně času se připravit. Ve věstníku bylo nařízení vyvěšeno 4. 5. 2016. Povinnost (účinnost) jej dodržovat však byla až 25. 5. 2018. Čili byly dva roky na seznámení se s jeho obsahem a přípravu nezbytných opatření. Tato opatření se týkala primárně firem, jejichž byznys je založen na masivním sběru dat. Pro malou webovou službu víceméně postačí možnost odhlášení newsletterů, smazání celého uživatelského účtu a export uživatelských dat.

Trochu děsivá je povinnost mít takzvaného DPO (Data Protection Officer). Ale tato povinnost se týká jen velkých zpracovatelů a veřejné správy. DPO je osoba zodpovědná za správné nakládání s daty v organizaci. Zároveň je jakýmsi styčným důstojníkem pro otázky osobních dat. Například se na něj můžete obrátit, pokud chcete vědět, co o vás daná instituce eviduje.

Za porušení GDPR hrozí velmi odstrašující pokuty. Po vzoru předpisů na ochranu hospodářské soutěže zavedlo několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Jejich maximální výše je 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti (vyšší z obou možností). Avšak pokud jednáme zodpovědně, nemusíme se vůbec obávat. U nás uděluje pokuty Úřad pro ochranu osobních údajů, který se jasně vyjádřil, že chce primárně věci řešit domluvou (předpokládají to i české adaptační zákony) a pokuty v běžných případech budou obdobné jako doposud podle zákona 101/2000.

Nařízení je dostupné online. Existuje též řada příruček a materiálů o GDPR. Například praktické rady pro menší organizace typu zapsaných spolků od Petra Kamínka pro usnadnění problematiky pro laika naleznete zde.

Piráti a GDPR

GDPR jsme se věnovali velmi důsledně, ochrana osobních údajů patří mezi naše stěžejní témata. Stručný přehled našich kroků:

  1. Martin Jiránek prosadil srozumitelné návody pro podnikatele: Piráti prosadili ověření skutečných dopadů zavedení GDPR na podnikatele
  2. Společně se spolky Otevřenými městy a Iuridicum Remedium jsme uspořádali seminář pro samosprávy: https://www.profant.eu/2018/seminar-gdpr.html
  3. Vysvětlili jsme, proč je potřeba ochrana osobních údajů na celoevropské úrovni: https://www.profant.eu/2018/selhani-facebooku.html
  4. Jakub Michálek požadoval předřazení adaptačních zákonů na plénu Sněmovny. Jeho žádost nebyla vyslyšena. Zákony nakonec byly schváleny až 6 měsíců po účinnosti nařízení z důvodů laxnosti vlády.
  5. V průběhu jednání jsme chtěli zrychleně schválit provizorní zákony či alespoň jasné vyjádření ÚOOÚ, že v mezičase do schválení adaptačních zákonů nebude výrazně pokutovat. Tohoto ujištění se nám od ÚOOÚ dostalo: Pokut u GDPR se zatím nebojte, úřad chce zprvu hlavně vysvětlovat
  6. Tomáš Martínek navrhl snížení “internetové plnoletosti” z 15 na 13 let, což je nejnižší hranice přípustná dle nařízení. Náš návrh však zastavila vláda.
  7. Pečlivě jsme zkoumali a jednali o pozměňovacích návrzích: Ze života GDPR: Cesta Sněmovnou
  8. V rámci adaptačních zákonů se mi podařilo odhalit a zastavit omezení práva na informace. V původním vládním návrhu bylo totiž obsaženo silné vykostění infozákona. Piráti zabránili silnému omezení práva na informace
  9. Jakub Michálek prosadil lepší vymahatelnost 106ky: Informační příkaz zastaví nekonečný „ping-pong“, kterým úřady dělají obstrukce při poskytování informací, říká Jakub Michálek

Navzdory velké panice, kterou GDPR v minulém roce vyvolalo, se vskutku jedná o veskrze pozitivní krok. Osobní údaje jsou totiž v dnešní době také obchodní komoditou, je proto zcela na místě občany EU chránit před jejich zneužíváním. Přestože se Pirátům v prováděcí legislativě nepodařilo prosadit všechny naše pozměňovací návrhy, už jen samotné nařízení je velkým úspěchem na poli ochrany soukromí.

  1. Názvoslovím GPDR zvláštní kategorie osobních údajů. Údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, dále genetické údaje, biometrické údaje zpracovávané za účelem jedinečné identifikace osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci osoby. 

  2. Hashování je metoda skrytí hesla před adminy. Vaše heslo není v databázi v čitelné podobě, proto vám mohou poslat jen zahashované.