Nejen na Čechy se valí nová smršť s mnoha důsledky pro firmy i lidi samotné - nové evropské nařízení o ochraně osobních údajů.
Nejen na Čechy se valí nová smršť s mnoha důsledky pro firmy i lidi samotné - nové evropské nařízení o ochraně osobních údajů.
autor: archiv

V bankách, internetových obchodech a někdy už i v zaměstnání se v posledních měsících lidé setkávají s žádostí o udělení nového souhlasu se zpracováním osobních údajů. A to je jen začátek. Další žádosti o aktualizaci − třeba od lékaře nebo z mateřské školy, kam rodiče posílají své děti − by měly brzy následovat. Začátkem příštího roku pak chce začít oslovovat s novými žádostmi o souhlas s poskytnutím citlivých dat své uživatele i největší tuzemský poskytovatel on-line služeb Seznam.cz.

Důvodem "smršti", která se valí nejen na Čechy, je nové evropské nařízení o ochraně osobních údajů. To totiž předepsalo pro souhlasy se zpracováním osobních dat nová pravidla. A ačkoliv vstoupí v účinnost až na konci května 2018, firmy i instituce začínají už nyní žádat klienty o udělení souhlasů podle nových pravidel. Kdyby si je totiž včas nezajistily, musely by osobní údaje klientů ze svých databází při vstupu novinek v účinnost smazat.

Pomůže vizualizace

Hlavní novinkou, kterou nařízení označované zkratkou GDPR přináší, je důraz na informovanost osoby poskytující svá osobní data ke zpracování. To v praxi znamená, že by lidé ještě před poskytnutím svých údajů měli vědět, jak s jejich daty firma či instituce, která si je žádá, naloží. K jakému účelu je použije a zda je bude předávat dál.

Nařízení klade důraz také na to, aby byly žádosti o souhlas se zpracováním osobních údajů srozumitelné a jasné. Nově by se tak již souhlas neměl ukrývat v hloubi všeobecných obchodních podmínek, které lidé často ani nečtou, a pokud už v nich souhlas přece jen objeví, nemají šanci jeho udělení odmítnout. Nařízení dále požaduje, aby byly texty souhlasů psány uživatelsky přívětivým, a nikoliv právnickým jazykem. "Srozumitelnost může zvyšovat například využití různých metod psaní textu, jako je otázka−odpověď, my−vy, vaše právo − naše povinnost," radí v nedávno vydaném průvodci ke GDPR advokátní kancelář Rowan Legal. Společnosti ale při formulování svých žádostí mohou sáhnout také po vizualizacích a grafikách.

Svoboda volby spoutaná zákonem

Nařízení také výslovně zakazuje, aby organizace podmiňovala poskytnutí svých služeb tím, že jí zákazník dá své osobní údaje i pro účely, které nejsou nezbytné pro plnění smlouvy, tedy například pro zasílání reklamních nabídek. Neplatný bude souhlas také ve chvíli, kdy mezi osobou, která jej udělila, a správcem dat existuje jasná nerovnováha. Jak se uvádí v odůvodnění nařízení, půjde typicky o situace, kdy je správce dat orgánem veřejné moci. A právníci dovozují další situace, kdy bude žádost o souhlas na hraně legality. Advokátní kancelář Rowan Legal ve své knize nabádá k opatrnosti zejména zaměstnavatele. Ti by měli na souhlas podobně jako státní instituce spoléhat co nejméně, aby se vyhnuli podezření, že si ho na zaměstnancích vynutili.

To ale neznamená, že by podniky a státní orgány automaticky přicházely o možnost s daty pracovat. "Vždy je třeba se nejprve ptát, zda povinnost zpracovávat osobní data vyplývá ze zákona," upozorňuje partnerka advokátní kanceláře Schaffer & Partner Legal Šárka Gregorová. Policie tak například nadále nebude muset žádat podezřelého o souhlas s odebráním otisků prstů. Podniky budou moci bez obav od přijímaných zaměstnanců získávat údaje nutné k uzavření pracovní smlouvy, mezi které patří zejména jméno, příjmení a datum narození zaměstnance, protože jim to umožňuje zákoník práce. Rodné číslo jim pak bude muset pracovník povinně poskytnout pro účely sociálního a zdravotního pojištění.

Není to ale jen zákon, který ospravedlňuje zpracování osobních údajů bez souhlasu dané osoby. Další důležitou okolností, o niž se mohou správci dat opřít, je tzv. životně důležitý zájem. Na ten se budou moci odvolat například nemocnice, když budou potřebovat využít osobní údaje pacienta, jehož stav je natolik vážný, že kvůli němu nemocný není schopen souhlas poskytnout.

Když zpracování osobních údajů nepodmiňuje zákon ani životně důležitý zájem, přichází na řadu souhlas.

Ke zpracování osobních údajů zákazníků ze zákona ale dochází také například v internetových obchodech. Jde o údaje, jako je jméno a doručovací adresa, které prodejce nezbytně potřebuje k tomu, aby mohl objednané zboží spotřebiteli vůbec poslat. "Veškeré osobní údaje, které jsou nezbytné pro uzavření a plnění smlouvy, tak mohou být provozovatelem e-shopu uchovávány po dobu trvání předmětného účelu, tedy i po dobu trvání záruční lhůty," vysvětluje Gregorová. Souhlas ale bude obchodník potřebovat ve chvíli, kdy bude chtít osobní údaje použít k jinému účelu, než je plnění smlouvy. Typicky půjde zejména o zasílání marketingových nabídek.

Motivovat, netrestat

K udělení souhlasu budou moci firmy zákazníky motivovat. Tak například výměnou za data k marketingovým účelům jim mohou dát slevové kupony na své zboží a služby. Podnikatelé by si ale měli dát pozor, aby motivace nesklouzla k penalizaci těch klientů, kteří souhlas neposkytnou.

"Za zneužití v tomto smyslu by jistě byla považována situace, kdy by se například domluvilo několik korporací na bezdůvodném zdražení svých produktů a 'slevu', tedy vlastně pokles cen na původní úroveň, by poskytovaly zákazníkům jen výměnou za udělení souhlasu se zpracováním osobních údajů pro marketingové účely," varuje Vojtěch Marcín z Úřadu pro ochranu osobních údajů, který v Česku na dodržování pravidel plynoucích z evropského nařízení dohlíží.

Jak se zeptat

Když už firmy souhlas získají, měly by být schopné jeho existenci kdykoliv zpětně prokázat. V úvahu připadá podpis spotřebitele na papírovém dokumentu, zaškrtnutí políčka na webových stránkách internetového prodejce nebo zaslání souhlasu prostřednictvím e-mailu. Souhlas je možné získat i ústně, například během nahrávaného telefonického hovoru.

"Vždy by měla být zvolena taková forma získávání souhlasu, která bude co nejvíce odpovídat potřebám správce, jeho technickým možnostem a podobně," radí Gregorová a zároveň připomíná, že stejně snadné jako poskytnutí souhlasu musí být i jeho odvolání. "Nejefektivnější je v současné době elektronická forma získání a udělení souhlasu," míní advokát společnosti Kodap legal Miroslav Kohout.

Pomocí elektronických formulářů plánuje sbírat souhlasy třeba Seznam.cz. "Budou se sbírat přímo prostřednictvím služeb, pro které budou potřeba," popisuje specialistka na ochranu osobních údajů v Seznam.cz Lenka Ernestová. Naopak banky zatím sázejí spíš na sběr podpisů ve svých kamenných pobočkách. Aktualizovaný souhlas tak už několik měsíců předkládají klientům pracovníci Komerční banky nebo České spořitelny.

Konkrétně spořitelna, která je téměř s pěti miliony klientů největší bankou na českém trhu, sbírá souhlasy podle nových pravidel od poloviny července. "Množství získaných souhlasů mírně převyšuje původní očekávání a již dosahuje řádu nižších statisíců," říká mluvčí banky Jiří Štábl a dodává: "V nejbližších dnech bude spuštěn sběr souhlasů i přes další kanály včetně elektronického bankovnictví, čímž by mělo dojít k výraznému zvýšení rychlosti sběru."

Zaostřeno na děti

Jeden z nejtěžších úkolů pak čeká na firmy, které zpracovávají citlivá data dětí. Nařízení a návrh zákona, který jej v českých podmínkách doprovází, totiž předepisují, aby souhlasy se zpracováním osobních údajů dětí dávali rodiče. Vyhnout se tomu mohou jen v případě, že účel, pro nějž jsou data poskytnuta, je natolik jednoduchý, že ho vzhledem ke své rozumové vyspělosti dokáže pochopit i dítě.

Tak například typickou situací, kdy budou muset rodiče schválit zpracování údajů dítěte, je nákup zboží v internetovém obchodě. "Souhlas pak naopak nemusí být třeba v případě účasti dítěte v internetové soutěži o věcné ceny," uvádí příklad Kohout z Kodap legal.


Seriál HN k ochraně dat GPDR

■ 18. 10. – GPDR a marketing

■ 25. 10. – GPDR a fintech

■ 1. 11. – Únik dat

Zároveň však přiznává, že přesně definovat hranici, kdy si jít pro souhlas za zákonným zástupcem a kdy to nebude třeba, není ani pro právníky lehké. Navíc děti obvykle nemají k dispozici žádný doklad, z nějž by podnikatelé mohli vyčíst jejich věk. V praxi tak bude docházet spíš k tomu, že tam, kde služba na děti přímo necílí, provozovatel v obchodních podmínkách její využití dětmi zcela vyloučí. U internetových aplikací se pak bude uživatelům zřejmě častěji zobrazovat prohlášení o věku již dnes známé z webů výrobců a prodejců alkoholu. Spoléhat se tak bude hlavně na to, že uživatel nebude o svém věku lhát.