V květnu 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR), které upravuje všechny podstatné aspekty ochrany osobních údajů. Zásadní změnu v chápání údajů a práv s nimi spojených sice GDPR nepřineslo, avšak přimělo společnost a firmy zpracovávající osobní údaje více si problematiky všímat a důkladněji dbát na zabezpečení osobních dat.
Definice osobního údaje je značně široká, protože jím je každá informace, na základě které lze identifikovat fyzickou osobu (člověka), jež se v terminologii GDPR nazývá subjekt údajů. „Osobním údajem tak je jméno a příjmení, adresa, datum narození i rodné číslo, ale také síťový identifikátor (IP adresa) nebo fotografie, pokud z ní lze určit vyfocenou osobu,“ vyjmenovává Eduarda Hekšová, ředitelka spotřebitelské organizace dTest. A dodává: „Rozhodovací praxe soudů již dříve zařadila mezi osobní údaje také mobilní číslo či e-mailovou adresu, protože umožňují se s jejich držitelem spojit v reálném čase, což je základní cesta, jak se někomu dostat do soukromí.“
Podobně široce je definováno také zpracování osobních údajů. Jedná se o jakoukoliv operaci s osobními údaji – počínaje zaznamenáním, přes uložení, až po jejich zničení. Cílem takto obsáhlých vymezení je chránit osobní údaje občanů Evropské unie v co největší možné míře. K tomu přispívá také to, že se unijním pravidlům musejí přizpůsobit i společnosti, které sice mají sídlo mimo EU, avšak zpracovávají údaje na jejím území. Zpracování provádí správce, případně jej může svěřit zpracovateli.
Osobní údaje musejí být zabezpečeny přiměřeně k rozsahu a rizikovosti zpracování. Pekař na rohu zaměstnávající dva pomocníky toho bude mít k zabezpečení méně než společnost provozující internetovou platební bránu a rizika budou také nesouměřitelná. Podle toho je nutné zvolit přiměřené prostředky ochrany: v prvním případě stačí uzamčená skříň se šanony a zaheslovaný počítač s nainstalovaným antivirem, ve druhém případě se společnost neobejde bez nákladného šifrovacího systému.
Při zpracování má správce také řadu informačních povinností. „Pokud po vás někdo na internetu bude chtít osobní údaje, měl by vám při jejich získávání vždy sdělit svou totožnost a kontaktní údaje. Měl by vám objasnit, proč a na co údaje požaduje, a také na jakém právním základu je bude zpracovávat – nejčastěji na základě smlouvy nebo souhlasu. Dále by vám měl sdělit, jestli údaje bude někomu předávat, jak dlouho je bude mít uloženy a poučit vás o právech, která k nim podle GDPR máte. V neposlední řadě musí správce také bezplatně vyřizovat vaše žádosti ohledně osobních údajů, a to nejpozději do jednoho měsíce,“ vysvětluje Eduarda Hekšová.
GDPR vychází z toho, že se každý jednotlivec svobodně rozhoduje o tom, co s jeho osobními údaji bude. Máte proto právo na přístup k osobním údajům, jež sestává z povinnosti správce sdělit vám na žádost, zda vaše údaje zpracovává. Pokud tomu tak je, musí vám poskytnout rovněž předepsané informace a kopii zpracovávaných osobních údajů. Dále můžete požadovat opravu nepřesných či doplnění neúplných osobních údajů nebo jejich výmaz, pokud již není důvod k jejich zpracování.
Stejně tak máte právo na přenositelnost údajů. V jeho rámci, jestliže je zpracování údajů založeno na souhlasu nebo na smlouvě a provádí se automatizovaně, máte nárok na to, aby vám správce vydal vaše údaje v běžně používaném a strojově čitelném formátu. Tento soubor pak můžete předat další společnosti, případně požadovat jeho předání původním správcem, je-li to technicky proveditelné. Opatření by vám mělo pomoci například při přechodech mezi bankami či pojišťovnami, ale také mezi mobilními operátory.
A co sociální sítě? Na sociální sítě uživatelé nahrávají denně velké množství osobních údajů – ať už se jedná o fotografie s životními úspěchy, informace o změně zaměstnání, o stěhování či jednoduše „jen“ jméno, příjmení a datum narození. Rozsáhlé poskytování údajů ale nepřispěje pouze „k lepšímu uživatelskému zážitku“, jak provozovatelé sociálních sítí deklarují. „Osobní údaje jsou v podstatě platidlem, které je směňováno za možnost využívat službu. Sociální sítě a další internetové společnosti – především Facebook a Google – totiž někde své příjmy získat musejí, pokud poskytují své služby zdarma – primárním zdrojem příjmů je jim využívání osobních údajů pro účely cílené a další reklamy,“ popisuje Eduarda Hekšová.
Pokud máte podezření, že správce vaše údaje zpracovává v rozporu s domluveným účelem, dostatečně je nezabezpečil nebo ignoruje vaše požadavky, můžete podat stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ). O postupu v řešení stížnosti či přímo o jeho výsledku má úřad povinnost vás vyrozumět do tří měsíců. Pokud tak neučiní, můžete se obrátit na soud. U soudu se rovněž můžete domáhat náhrady újmy, kterou vám správce porušením svých povinností způsobil.
dTest, o.p.s. je největší českou spotřebitelskou organizací, která v ČR působí již od roku 1992. Je vydavatelem spotřebitelského časopisu dTest, na jehož stránkách jsou publikovány výsledky nezávislých a objektivních testů produktů, varování před nebezpečnými a zdravotně závadnými výrobky, informace o spotřebitelských právech a rady, jak tato práva účinně uplatňovat. dTest je součástí mezinárodní organizace International Consumer Research and Testing (ICRT) a evropské spotřebitelské organizace BEUC.
Poradenská linka časopisu dTest – 299 149 009 – je v provozu každý pracovní den od 9 do 17 hodin a spotřebitelé na ní mohou konzultovat s právními poradci časopisu dTest nejrůznější spotřebitelské problémy, a to za cenu běžného tarifu volání. Od spuštění v roce 2010 této možnosti využily již desetitisíce spotřebitelů a poradenská linka časopisu dTest se tak stala první a nejvyhledávanější cestou k řešení potíží, se kterými se zákazníci na trhu setkávají.
Psali jsme:
Jste politik? Zveřejněte bez redakčních úprav vše, co chcete. Zaregistrujte se ZDE.
Jste čtenář a chcete komunikovat se svými zastupiteli? Zaregistrujte se ZDE.
autor: Tisková zpráva
