Právě dnes uběhly dva měsíce od chvíle, kdy vstoupilo v platnost evropské nařízení o ochraně osobních údajů, známé jako GDPR. Mnohé instituce se na změnu připravily včas a potíže nepociťují. „Praxe v uplatňování GDPR ukazuje, že situace není nijak dramatická. Drtivá většina firem vyřešila situaci elegantně, že veškeré souhlasy jsou vyžádány najednou při placení. Bojkot, anebo nečekané situace ze strany zákazníků jsme nezaznamenali,“ říká ředitel internetového obchodu Shoptet Miroslav Uďan.
Ve výhodě byly při změně bankovní instituce, které se musí řídit dalšími zákony a bezpečnostními standardy včetně institutu bankovního tajemství. „Banky a spořitelny tak byly na startu GDPR výrazně dál než třeba e-shopy,“ uvádí Pavel Kotáb z Raiffeisen stavební spořitelny.
Téměř každý dostával v uplynulých týdnech řadu mailů, ve kterých různé společnosti žádají souhlas se zpracováním osobních údajů. Přístupy ale byly různé. „To, že známe vaše údaje, vyplývá z podstaty naší práce. A právě pro naši práci, ale hlavně v rámci naší vzájemné spolupráce, tyto údaje využíváme. Není třeba se obávat, že bychom je využili jakkoli jinak. Nemusíte nám ani posílat žádné potvrzení, že jste tuto zprávu četli. Jen jsme vám chtěli dát vědět, že i u nás je vše v pořádku,“ píše se třeba v mailu společnosti Kindred Group.
Advokát mezinárodní advokátní kanceláře PwC Legal Milan Fric uznává, že se v praxi setkal s firmami, které sbíraly množství osobních údajů, třebaže je ke své praxi nepotřebovali. Často s argumentem, že je mohou potřebovat v budoucnu. „Takový přístup je chybný. GDPR je totiž založeno i na principu minimalizace, tedy zpracování pouze těch osobních údajů, které pro danou činnost potřebuji. Každý správce by měl vědět, za jakým účelem osobní údaje potřebuje, a využívat je pouze k tomuto účelu,“ říká Fric.
Co je GDPR a jak to vypadá se zákonem o zpracování osobních údajů?
|
Ten také připouští, že některé společnosti shromažďují osobní údaje protiprávně zcela úmyslně, například za účelem následného prodeje firmám, které se zabývají přímým marketingem. „Takovou nezákonnou činnost by měly odradit sankce, které GDPR zavádí,“ dodává Fric.
Podle advokáta je dobré se zamyslet nad tím, zda osobní údaje, které společnosti poskytuji za nějakým účelem, jsou pro tento účel opravdu potřebné. „Typicky je třeba být velice obezřetný za situace, pokud po nás určitý soukromý subjekt bude vyžadovat rodné číslo za účelem uzavření smlouvy, které je primárně určeno jako identifikátor pro orgány veřejné moci a v soukromých vztazích není k uzavření smlouvy vůbec třeba,“ podotýká Fric.
Své zkušenosti s GDPR mají i někteří čtenáři deníku Metro. „Museli jsme kvůli tomu získat svolení rodičů dětí v našem kroužku,“ napsala do diskuse na Facebooku Míla Francouzová. Petr Krátký zmiňuje v dopise: „Byl jsem v květnu u nového lékaře a vyplnil tam několik papírů. V červnu na kontrole chtěli opět vyplnit to samé.“
Zajímavý postoj zaujal před týdnem místopředseda Senátu Jaroslav Kubera. Jako předsedající nejmenoval omluvenou senátorku, protože si nebyl jistý, zda podepsala souhlas se zpracováním osobních údajů. Označil ji číslem. „Proti takovým nesmyslům bychom měli bojovat,“ řekl Kubera ke GDPR.