Mějte osobní údaje pod kontrolou. Jaká práva vám dává GDPR?
Dne 25. května 2018 vstupuje v účinnost ve všech státech EU nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob, osobních údajů a o volném pohybu těchto údajů neboli tzv. GDPR. Občanům poskytuje lepší ochranu osobních údajů i řadu nových práv. Chcete vědět, jaká jsou?
Právo přesně vědět, k čemu firma údaje bude využívat
Toto právo pro nás není novinkou, nebo přesněji by nemělo být. 1. června 2000 nám ho dal zákon 101/2000 Sb., o ochraně osobních údajů, který byl ve skutečnosti přeměnou jednotné evropské směrnice 95/46/ES, o ochraně osobních údajů. Každý, kdo po vás chce jakékoliv vaše osobní údaje, je povinen vám přesně popsat, pro jaké konkrétní účely je hodlá využít. Dále je pak za žádných okolností nesmí využít pro účely jiné. To platilo i dříve. Teď za to mohou být jen o několik řádů vyšší pokuty.
Nejen v Česku bylo ale v módě předkládat občanům k podpisu několikastránkové nesrozumitelné souhlasy se zpracováním osobních údajů, nové nařízení GDPR má proto na formu souhlasu se zpracováním osobních údajů poměrně jasně stanovené požadavky. Informace o využití vašich údajů musí naplňovat zásadu transparentnosti a musí být „stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizované“, jak říká odst. 58 preambule.
Mám právo na lepší ochranu svých osobních údajů
GDPR také zvyšuje nároky na následné nakládání s osobními údaji uvnitř firmy. Ta musí zajistit jejich maximální bezpečnost. GDPR doporučuje (avšak nenařizuje) využívat například šifrování a pseudonymizaci dat (zavedení nesrozumitelných identifikátorů pro jednotlivé subjekty údajů). Údaje na papíře by zase měly být pod zámkem. Firmy i úřady musí vést také záznamy o činnostech zpracování (viz článek 30), tedy vědět, kde jsou údaje uloženy, kdo přesně, kdy a proč k nim přistupuje atd.
Právo vědět, když firma neochrání moje údaje
Dřív se mohlo občas stát, že firma vaše údaje neuhlídala. Vy jste se to však nedozvěděli. To s nástupem GDPR už nebude možné. Každý, kdo spravuje vaše údaje, má nově povinnost ohlásit každé porušení zabezpečení a únik osobních údajů Úřadu pro ochranu osobních údajů (ÚOOÚ). A to nejpozději do 72 hodin od doby, kdy se o incidentu dozví. Kromě toho však má v řadě případů povinnost informovat o tomto incidentu i přímo vás. Podrobnosti stanoví článek 34.
Právo být zapomenut
Důležitou novinkou je tzv. právo být zapomenut. GDPR vám v článku 17 dává právo být „bez zbytečného odkladu“ vymazán. Ten, kdo spravuje vaše osobní údaje, tak musí učinit, a to nejen v případě, kdy odvoláte svůj souhlas s jejich zpracováním. To mimochodem můžete učinit kdykoliv. Správce má povinnost vaše osobní údaje vymazat i tehdy, nejsou-li už potřeba pro účely, pro které byly shromážděny. Stejně tak je musí vymazat, když vznesete námitku proti jejich zpracovávání (např. když vás někdo bude obtěžovat s nevyžádanou telefonickou nabídkou), ale i v některých dalších případech. O takovémto výmazu má zároveň povinnost vás informovat (viz článek 19). Samozřejmě existují i určité výjimky. Nemůžete se třeba vyhnout soudnímu řízení tím, že soudu zakážete zpracovávat vaše osobní údaje.
Právo vědět, co o mě firma eviduje
Jak už jste možná zaznamenali v médiích, umožňuje vám Facebook nově zjistit, jaké všechny údaje o vás eviduje. Přesný návod na to najdete zde. Tato možnost se na Facebooku objevila proto, že vám GDPR dává ve svém článku 15 právo získat od správce údajů potvrzení, zda osobní údaje, které se vás týkají, jsou, či nejsou zpracovávány. Pokud ano, máte také právo získat přístup ke všem těmto osobním údajům i k celé řadě dalších informací, které o vás má správce údajů k dispozici. A přesně to vám teď dává Facebook v této nové položce v menu.
Právo upravovat údaje, které o mě firma má
Pro někoho může být také důležité právo na opravu nepřesných osobních údajů, které o vás někdo spravuje. Pokud jste například členy nějakého věrnostního klubu a ve svém jméně objevíte překlep nebo chcete třeba změnit adresu či doplnit nějaké další údaje, musí vám to ten, kdo tyto vaše údaje spravuje, ze zákona umožnit.
Právo vyjmout své údaje z automatizovaného zpracování
GDPR se zabývá i moderními technologickými trendy v oblasti zpracování osobních údajů za využití umělé inteligence. Zavádí proto pojem „profilování“, což je označení pro jakoukoli formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě. Profilování se užívá zejména k rozboru nebo odhadu aspektů týkajících se pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se osoba nachází, nebo pohybu. To je něco, co v minulosti dělala nechvalně proslulá společnost Cambridge Analytica s osobními údaji lidí, které získala bez jejich souhlasu z Facebooku. Od 25. 5. 2018 by jí za to hrozila pokuta ve výši 20 milionů eur nebo 4 % z celkového ročního obratu (podle toho, co je vyšší). Občané EU mají díky článku 22 možnost zakázat správcům údajů podobné profilování nad jejich údaji provádět.
Kde se domáhat svých práv
Pokud jste sdělili své osobní údaje nějaké firmě, nebo se k ní dokonce dostaly bez vašeho souhlasu, a tato firma vám některá z výše uvedených práv upírá, máte právo obrátit se na dozorový úřad. Ten pak prostřednictvím dostatečně silných nástrojů ve formě astronomických pokut vaše právo vynutí. Tento dozorový úřad si každý členský stát stanovuje sám, v České republice je to ÚOOÚ. Důležité je, že vaše práva jsou ve všech členských státech EU identická, stejně jako jsou shodná pravidla, kterými se všichni správci osobních údajů musí řídit. Navíc nová pravidla platí nejen pro firmy, ale také pro veřejné instituce a úřady, i když v případě některých úřadů a zejména soudů platí určité výjimky. Všechny jsou ale vždy v GDPR přesně popsané.