Osobní údaje už nebudou sloužit jako platidlo za poskytované služby

02.03.2018

Jasná pravidla, která budou platit pro všechny státy EU, nastavuje Obecné nařízení o ochraně osobních údajů nazývané GDPR.

Evropské nařízení známé jako GDPR posiluje právo člověka na ochranu osobních údajů. Od letošního května získají lidé díky nařízení některá nová práva, jako je právo na přenositelnost osobních údajů. V soudních sporech se navíc lidé budou moci domáhat odškodnění za pomoci odborných organizací.

Lidé často rutinně zveřejňují osobní údaje, aniž by si uvědomovali, o jak velký zásah do soukromí se jedná. Ochranu dat příliš neřeší, a když jsou zneužita, většinou nevědí, jak se bránit. Postupy dozorových úřadů se napříč Evropou liší a jednotný není ani systém sankcí.

Jasná pravidla, která budou platit pro všechny státy EU, nastavuje Obecné nařízení o ochraně osobních údajů nazývané GDPR. Legislativa začne být účinná od května. Pro firmy a veřejné instituce zavádí některé nové povinnosti, soukromé osoby zase získají v ochraně dat silnější postavení.

Rizika unikají pozornosti

Zneužívání citlivých údajů souvisí mimo jiné s tím, že si majitelé dat neuvědomují jejich hodnotu. "Lidé musí za den zvládnout ohromný příval informací a situací. Nemají kolikrát čas dělat věci jinak než rutinně. Často si tak ani neuvědomí, že jejich osobní údaje jsou zneužívány třeba jako platidlo," říká Miroslava Matoušová, expertka z Úřadu pro ochranu osobních údajů.

Právo být zapomenut

◼ Lidé budou moci požadovat, aby správce údajů za určitých podmínek zlikvidoval všechny jejich osobní údaje a dále je neuchovával.

◼ V souvislosti s GDPR se jedná o jedno z nejčastěji skloňovaných práv, není však novinkou. Český zákon o ochraně osobních údajů s ním počítá.

◼ Zapsalo se do povědomí v roce 2014. Španělský právník Mario Costeja González se tehdy soudil se společností Google. Chtěl, aby Google z vyhledávače odstranil informace o veřejné aukci, do které musel dát vlastní dům, protože léta neodváděl státu sociální pojištění. González soud vyhrál a Google vytvořil on-line formulář, přes který mohou Evropané o výmaz žádat.

Jako příklad uvádí internetové vyhledávače. Ty na první pohled nabízí své služby zdarma, ale ve skutečnosti to tak není. Vydělávají na informacích, které o uživatelích zaznamenají. "Funguje to stejně jako kdysi výměnné obchody. Uživatel platí svými daty, se kterými ten druhý naloží, jak uzná za vhodné. Poskytovatelé vydělávají na zadavatelích reklamy, ale i na tom, že informace o lidech analyzují a výsledky prodávají," popisuje Matoušová.

Využívání osobních údajů klientů pro vlastní podnikání a obchod je jednou z oblastí, které GDPR omezuje. Zákazníci, jejichž data slouží k obchodování, o tom budou muset být informováni a získají možnost to zastavit námitkou.

Cílem je mít o datech přehled

Nařízení si klade za cíl, aby lidé získali lepší přehled o tom, co se s jejich údaji děje, a věděli, kdo všechno k nim má přístup. Budou tak moci snáze zatrhnout zpracování, které je nějakým způsobem poškozuje nebo narušuje jejich soukromí.

Například zaměstnavatelé často monitorují pohyb svých pracovníků kamerami a tvrdí, že je to kvůli bezpečnosti. Nově budou muset dělat takzvaný balanční test. Ten vysvětlí, k čemu získané informace slouží a zda je zpracování opravdu nutné. "Prostor, který kamery snímají, by zaměstnavatelé měli omezit na nutné minimum, stejně jako dobu, po kterou uchovávají záznam," popisuje Michal Nulíček, specialista z advokátní kanceláře Rowan Legal.

Díky opatření by mělo být méně zpracovávaných údajů. Tím pádem se zmenší i zásah do soukromí. "Na ulici jsou lidé monitorováni v podstatě na každém metru čtverečním. Díky tomu je dnes veškerý jejich pohyb zpětně dohledatelný," popisuje problém Nulíček.

Revoluce v ochraně dat?

S důrazem na informovanost souvisí mnoho práv, která nařízení upravuje. O některých se chybně hovoří jako o "novinkách", přestože jsou už dnes součástí platných zákonů. GDPR pouze zpřesňuje jejich rozsah nebo možnosti využití.

Patří k nim třeba právo na přístup k osobním údajům, na opravu, výmaz nebo právo nebýt předmětem automatizovaného rozhodování. S jeho pomocí se lidé mohou v současnosti bránit, třeba když dostanou výpověď na základě vyhodnocení pracovních výsledků, které provedl počítač, nebo když jim je zamítnuta žádost o úvěr na základě algoritmu.

"Samo o sobě to novinka není. Nařízení ale zavádí novou povinnost pro správce, kteří vás budou muset o všech automatizovaných zpracováních informovat," upřesňuje Nulíček změny. Podstatou nařízení je vytvořit tlak na ty, kteří osobní data zpracovávají a spravují, ale nevěnují jejich ochraně dostatečnou pozornost. Proto nemají své systémy zabezpečené.

Právo být informován

◼ Jde především o to, aby lidé přesně znali účel zpracování svých osobních údajů, rozsah, totožnost toho, kdo údaje spravuje, jeho oprávněné zájmy a všechny příjemce, kteří se k nim dostanou.

◼ Není novinkou, v Česku ho upravuje už zákon o ochraně osobních údajů. Mění se ale požadavky na rozsah informací a důraz na to, aby byly poskytnuty srozumitelnou formou.

◼ GDPR klade velký důraz na informování o předávání osobních údajů třetím stranám a dobu, po kterou se data zpracovávají. Český zákon to upravuje pouze částečně.

Právo vznést námitku

◼ Lidé se s jeho pomocí mohou bránit proti zpracování osobních údajů, které jim může způsobit újmu, například když jsou informace veřejně dostupné na internetu.

◼ Zároveň je to nástroj proti přímému marketingu. Jakmile vlastník osobních údajů vznese námitku, musí být jejich zpracování za účelem přímého marketingu zastaveno.

◼ Hodí se také v případě takzvaného profilování. Jde o situace, kdy je o osudu člověka rozhodnuto na základě automatického zpracování osobních údajů. Příkladem může být zamítnutí žádosti o úvěr přes webovou aplikaci banky.

O tom svědčí i praxe Úřadu pro ochranu osobních údajů, kam lidé loni podali téměř 1700 stížností na neoprávněné zpracování nebo zneužívání osobních údajů. Podle Matoušové jde o standardní číslo. "V naprosté většině případů k problémům dochází z nedbalosti, protože správci něčemu nevěnovali pozornost," uvádí Matoušová. Takové případy se řeší pokutou. Pokud ji viník neuhradí, mohou se lidé obrátit na soud a domáhat se odškodnění.

Od května je v takových sporech budou moci nově zastupovat odborné organizace. Matoušová očekává, že počet soudních sporů poroste. "Lidé nebudou muset konat sami. Budou využívat odbornosti příslušné neziskové organizace, která může postupovat kolektivně za větší skupinu podobně postižených," popisuje nové možnosti. Přestože u nás není ochrana osobních údajů novinkou a GDPR neznamená velké změny, odborníci vidí jeho přínos zejména v tom, že vyvolalo veřejnou debatu. Lidé budou mít na zabezpečení svých dat větší nároky.