Obecné nařízení o ochraně osobních údajů, známé pod anglickou zkratkou GDPR (General Data Protection Regulation), je téma, které se od svého zavedení 25. května 2018 skloňuje v médiích i v byznysu. I když se často mluví primárně o povinnostech firem a institucí, v jádru je GDPR především o posílení práv každého jednotlivce v digitálním věku.
Cílem tohoto nařízení je sjednotit pravidla pro zpracování osobních údajů napříč Evropskou unií a vrátit občanům kontrolu nad jejich daty. Pro běžného uživatele to znamená sadu silných práv, která může uplatnit vůči jakékoli organizaci, která jeho data zpracovává.
1. Co je GDPR v kostce?
GDPR je nařízení Evropského parlamentu a Rady (EU) 2016/679, které stanovuje pravidla pro zpracování osobních údajů fyzických osob. Jeho dopad se vztahuje na:
- Všechny organizace (firmy, úřady, neziskovky atd.) se sídlem v EU.
- Všechny organizace mimo EU, které nabízejí zboží nebo služby občanům EU, nebo sledují jejich chování (např. e-shopy z Číny, americké sociální sítě).
Je to tedy celosvětově jeden z nejkomplexnějších souborů pravidel na ochranu dat. Nahradilo starší legislativu (v ČR zákon č. 101/2000 Sb.) a zavedlo jednotný rámec, takže pravidla platí stejná v Praze, Paříži i Lisabonu.
Co jsou to „Osobní údaje“?
Osobní údaj je jakákoli informace týkající se identifikované nebo identifikovatelné fyzické osoby (tzv. subjektu údajů).
Mezi osobní údaje patří například:
- Jméno a příjmení
- Adresa, telefonní číslo, e-mailová adresa
- Rodné číslo, číslo OP/pasu
- Lokační údaje
- IP adresa, cookies, online identifikátory
- Fotografie a videozáznamy
Zvláštní kategorie osobních údajů (citlivé údaje): Tyto údaje podléhají ještě přísnější ochraně a patří sem informace odhalující:
- Rasový nebo etnický původ
- Politické názory
- Náboženské nebo filozofické přesvědčení
- Členství v odborech
- Zdravotní stav, sexuální život nebo orientace
- Genetické a biometrické údaje
2. Jak se GDPR dotýká vás, běžného uživatele?
GDPR vám dává do rukou sadu práv, která výrazně posilují vaši kontrolu nad tím, kdo, jak a proč vaše osobní údaje zpracovává. Zde jsou ta nejdůležitější:
A. Právo na transparentnost a informace (čl. 13 a 14 GDPR)
Než jakákoli organizace začne vaše data zpracovávat, musí vás srozumitelně a jednoduše informovat. To je důvod, proč všude vídáte dlouhé „Zásady ochrany osobních údajů“.
Co byste se měli dozvědět:
- Kdo data zpracovává (Správce dat a jeho kontaktní údaje).
- Proč data zpracovává (účel – např. uzavření smlouvy, marketing, doručení zboží).
- Na jakém základě je zpracovává (právní základ – např. váš souhlas, plnění smlouvy, oprávněný zájem).
- Jak dlouho budou data uložena.
- Komu budou data předána (např. přepravní služba, banka).
- Jaká máte práva.
B. Právo na přístup (čl. 15 GDPR)
Máte právo se kdykoli zeptat, zda o vás daná organizace zpracovává osobní údaje, a pokud ano, získat kopii těchto údajů a další informace o jejich zpracování.
- Příklad: Můžete požádat banku, e-shop nebo sociální síť o zaslání všech dat, které o vás shromažďují. První kopie by měla být zdarma.
C. Právo na opravu (čl. 16 GDPR)
Pokud zjistíte, že o vás firma eviduje nepřesné, neúplné nebo zastaralé údaje, máte právo požadovat jejich opravu nebo doplnění bez zbytečného odkladu.
D. Právo na výmaz (Právo být zapomenut) (čl. 17 GDPR)
Toto je jedno z nejsilnějších práv. Můžete požadovat, aby organizace vaše osobní údaje vymazala, pokud:
- Údaje již nejsou potřebné pro původní účel.
- Odvoláte svůj souhlas (a nebyl jiný právní základ pro zpracování).
- Vznesete námitku proti zpracování (viz níže).
- Údaje byly zpracovány protiprávně.
- Příklad: Zrušíte účet u e-shopu a můžete požadovat, aby smazal všechny vaše údaje.
E. Právo na přenositelnost údajů (čl. 20 GDPR)
Máte právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu (např. CSV, XML, JSON) a předat je jinému správci, nebo požadovat, aby je správce předal přímo.
- Příklad: Teoreticky můžete požádat poskytovatele streamovací služby, aby vaše data o oblíbených žánrech a historii sledování předal vašemu novému poskytovateli. Toto právo platí pouze, pokud je zpracování založeno na souhlasu nebo smlouvě a provádí se automatizovaně.
F. Právo vznést námitku (čl. 21 GDPR)
Můžete kdykoli vznést námitku proti zpracování vašich údajů pro účely přímého marketingu (např. reklamní e-maily). V takovém případě musí organizace zpracování pro tento účel okamžitě ukončit.
Námitku můžete vznést i proti zpracování založenému na oprávněném zájmu (např. profilování, sledování chování), a pokud organizace neprokáže závažné oprávněné důvody, které převažují nad vašimi právy, musí zpracování zastavit.
G. Právo na omezení zpracování (čl. 18 GDPR)
Pokud například zpochybňujete přesnost svých údajů nebo to, že jsou zpracovávány protiprávně, můžete požadovat, aby organizace data smazala, ale „pouze“ je uzamkla a dále nezpracovávala, dokud se situace nevyřeší.
3. Co to pro vás prakticky znamená v každodenním životě?
GDPR mění váš každodenní digitální život několika způsoby, i když to možná ne vždy vnímáte:
- Všude vyskakující lišty s cookies: Každý web v EU (a ty, které cílí na EU) musí jasně žádat o váš souhlas k používání cookies, které nejsou nezbytně nutné pro funkčnost webu. Máte právo povolit jen ty nezbytné.
- Přesnější kontrola nad souhlasem: Souhlas musí být aktivní a informovaný. Firma už nemůže dát automaticky zaškrtnuté políčko typu „Souhlasím se zasíláním obchodních sdělení“. Musíte ho aktivně zaškrtnout.
- Více informací v e-mailech a formulářích: Při registraci nebo nákupu by vám měla být k dispozici krátká a srozumitelná informace o tom, co se s vašimi údaji bude dít a kam směřovat.
- Snazší odhlášení z marketingu: Každý marketingový e-mail musí mít jasný a funkční odkaz pro odhlášení. Pokud vznesete námitku, firma vás musí přestat obtěžovat.
- Zodpovědnost firem: Firmy musí mít zavedená přísná technická a organizační opatření k ochraně vašich dat (šifrování, hesla, omezený přístup). V případě úniku dat (např. hacknutí e-shopu) musí vás i úřad informovat.
Co dělat, když máte podezření na porušení?
Pokud máte pocit, že firma či úřad porušuje vaše práva podle GDPR nebo s vašimi údaji nakládá neoprávněně, máte právo:
- Vznést námitku/žádost přímo u správce dat (firmy/organizace). Ta má povinnost vaši žádost vyřídit bez zbytečného odkladu, nejpozději do jednoho měsíce.
- Podat stížnost k dozorovému úřadu. V České republice je to Úřad pro ochranu osobních údajů (ÚOOÚ). ÚOOÚ je nezávislý orgán, který má pravomoc udělovat pokuty a řešit stížnosti.
GDPR je především o moci volby
GDPR není jen byrokratické břemeno pro firmy, ale především listina práv pro občany. V digitálním světě, kde se s osobními daty obchoduje a kde jsou data cennější než ropa, je GDPR nástrojem, který vám dává zpět kontrolu a umožňuje vám aktivně rozhodovat o tom, jaké informace o sobě sdílíte a komu.
Vždy, když vyplňujete formulář, stahujete aplikaci nebo se registrujete k odběru newsletteru, pamatujte: Vaše osobní údaje patří vám. A díky GDPR máte právní nástroje k tomu, abyste je chránili.