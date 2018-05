Na 25. květen je stanoveno nabití účinnosti nového evropského nařízení ochraně osobních údajů (GDPR). Dokument posledních několik měsíců straší úřady, živnostníky i velké podniky. Jaké změny GDPR přináší? Nařízení, která vstupuje v platnost v pátek, nahrazuje dosavadní právní úpravy ochrany osobních údajů v evropských státech.Jeho cílem je, aby standard ochrany byl ve všech státech napříč Evropskou unií stejný. Staré úpravy navíc mnohdy vznikly ještě před masovým rozšířením internetu a nezohledňují moderní trendy, kupříkladu biometrické údaje jako otisk prstu či sken sítnice. Co jsou osobní údaje? Podle Úřadu na ochranu osobních údajů (ÚOOÚ) je osobním údajem "každá informace o identifikované nebo identifikovatelné fyzické osobě. Tedy například jméno a příjmení, adresa a to včetně e-mailové, číslo občanského průkazu nebo lékařské záznamy. Předpis počítá i s moderními osobními údaji jako lokačními údaji o poloze, adresou IP, fotografií nebo soubory cookie. Zvláštní ochrana je pak věnována tzv. citlivým osobním údajům, jejichž zpracování je až na určité výjimky zakázáno. Jedná se například o rasový a etnický původ, politické názory, členství v odborech, politické vyznání, biometrické údaje či sexuální orientaci. Mezi výjimky, kdy firma může takové údaje zpracovávat, patří situace, když je sami zveřejníte nebo k tomu poskytnete svůj výslovný souhlas. Proto třeba sociální síť facebook v posledních dnech žádala uživatele o nový souhlas se zpracováním citlivých údajů a zvlášť je upozorňovala, pokud zveřejnili některý z údajů, které spadají do této kategorie. Jaká mám práva? Se zpracováním osobních údajů musíte souhlasit. Souhlas přitom není možné přibalit někam mezi obchodní podmínky, uživatel musí jasně vědět, že dává souhlas se zpracováním osobních údajů a za jakým účelem je společnost sbírá. Lidé mají právo žádat po společnostech informace, zda o nich má nějaké osobní údaje, včetně práva, požádat o jejich kopii. Společnost by jim pak měla "v přiměřené době" odpovědět a bezplatně jim kopii osobních údajů poskytnout. Pokud narazíte na to, že některé vaše osobní údaje jsou nesprávné nebo nepřesné, můžete společnost požádat, aby je opravila. Ta to musí udělat bez zbytečného odkladu. Stejně tak bez zbytečného odkladu a dalšího poplatku musí reagovat na vaší námitku, kterou vznesete proti zpracování osobních údajů, pokud jsou zpracovávány třeba za účelem přímého marketingu.

Lidé mají také právo žádat odstranění osobních údajů, tzv. právo být zapomenut. Pokud již není potřeba, aby společnost držela vaše osobní údaje nebo pokud byly použity nezákonně, můžete požádat o jejich odstranění z databáze, případně o dočasné omezení zpracování.

Kde je to technicky možné, můžete žádat o přenos osobních údajů, například pokud se rozhodnete přejít ke konkurenční společnosti. Můžete také žádat, aby rozhodnutí, která se vás významně dotýkají, prováděly jen fyzické osoby a ne počítače. Kupříkladu aby o půjčce od banky nerozhodoval algoritmus, ale aby pro vás úrokovou sazbu navrhl bankéř.

Co hrozí za porušení zásad?

Pokud vinou nedodržení právních předpisů zpracovatelem vašich osobních údajů utrpíte škodu, a to včetně nehmotné, musíte se odškodného domáhat prostřednictvím soudů. Firmám ale za porušení zásad hrozí astronomické pokuty a to až do výše 4 % ročního obratu nebo 20 milionů eur (přes půl miliardy korun).

Pokud hrozí porušením zásad ohrožení práv a svobod fyzických osob, jsou zpracovatelé osobních údajů povinni na to ty, jejichž osobní údaje zpracovávali, nejpozději 72 hodin od okamžiku, kdy to zjistili, upozornit.





Nové povinnosti pro firmy a úřady

Povinnost informovat do 72 hodin o úniku dat není jedinou novinkou, která na firmy po vstupu GDPR v platnost čeká. Monitorovat soulad zpracování osobních údajů s nařízením mají u některých subjektů pověřenci pro ochranu osobních údajů. Toho musí mít například státní instituce nebo ty společnosti, které při své činnosti provádějí rozsáhlé a systematické monitorování občanů. Pod to nespadají jen kamerové záznamy, ale třeba i různé věrnostní programy.

Okolo GDPR hlavně v České republice navíc zůstává několik otazníků. Ty vyplývají z toho, že poslanci nestihli schválit adaptační zákon. GDPR tak bude platit ve své nejpřísnější podobě, což řadě profesí komplikuje práci.