Zneužívání osobních dat pro marketingové účely by mělo skončit. Již v pátek 25. května vstupuje v platnost nové evropské nařízení, které firmám mimo jiné nařizuje, že nesmějí prodávat údaje o svých zákaznících bez jejich souhlasu.
Nařízením o ochraně osobních údajů GDPR (z anglického General Data Protection Regulation) se budou muset řídit nejen soukromé firmy, ale i školy, nemocnice či státní úřady. Přinášíme deset odpovědí na nejčastější otázky, které v souvislosti s novými předpisy zaznívají.
1) Proč jsou potřeba nová pravidla?
Současné zákony jsou zastaralé a vznikly v době, kdy ještě nebyl tolik rozšířený internet. Digitální prostor tak není příliš regulován, což se projevilo i při nedávné aféře s firmou Cambridge Analytica, která zneužívala data lidí získaná z Facebooku. Používala je na ovlivňování voleb, a to údajně i v Česku.
2) Koho se pravidla týkají?
Obecních a městských úřadů, soukromých firem (jak ve vztahu k zákazníkům, tak vlastním zaměstnancům), neziskových organizací, státních a veřejných institucí, jako jsou školy či nemocnice. A na druhé straně samozřejmě všech lidí jako jejich klientů.
3) Co všechno bude směrnice regulovat?
Firmy, školy a úřady budou muset lidi informovat o tom, jak s jejich údaji nakládají a kdo všechno k nim má přístup. Pod pojem "osobní údaj" se nově zařadí i třeba scan oční sítnice, otisky prstů a jiné biometrické a genetické údaje. Firmy budou také muset zákazníky na jejich žádost vymazat z marketingových databází. Podobně budou muset reagovat třeba i vyhledávače typu Google či Yahoo! - jde o takzvané právo být zapomenut. Množství informací, které jsou o nás dohledatelné přes internet, se tak zmenší.
4) Jaké údaje mohou firmy zpracovávat bez souhlasu?
Data, která lidé uvádějí v kupních, úvěrových a pracovních smlouvách, jako je adresa, rodné číslo, číslo účtu a podobně. Podmínkou ovšem je, že bez souhlasu klientů je podniky mohou shromažďovat pouze pro ty účely, pro které jsou určeny. Nikoli třeba kvůli tomu, aby je prodaly jiné firmě.
5) Jak zjistím, jaká data o mě firma nebo veřejná instituce má?
Stačí se zeptat, ze zákona vás firmy i úřady musejí informovat, co všechno o vás evidují. Například v nemocnici by tak měli lidem sdělit, co všechno je o nich ve zdravotní dokumentaci včetně diagnózy a posudků lékařů. Firmy a instituce také musejí lidem říct, jak dlouho budou jejich data uchovávána a kdo k nim má přístup.
6) Kde si mohu stěžovat, když firma odmítá neoprávněně získaná data smazat?
Svoji stížnost můžete směřovat na Úřad pro ochranu osobních údajů. Kontakty najdete na webové adrese www.uoou.cz. Úřad může firmě nebo jiné instituci dát pokutu až do výše dvaceti milionů eur (půl miliardy korun) nebo čtyř procent z obratu. Její konkrétní výše bude záležet na řadě faktorů, jako je závažnost porušení soukromí, počet poškozených lidí nebo doba, po kterou firma zákon porušovala.
7) Týká se mě nařízení, když budu shromažďovat data nebo fotografie pro své osobní účely?
Ne, pokud zpracováváte data pouze pro svou osobní činnost, nařízení se vás netýká. Z nové směrnice jsou vyňaty i instituce, které pracují ve veřejném zájmu. Například policie.
8) Jsem podnikatel. Jaké údaje mohu uchovávat?
V zásadě jde o informace nezbytné pro komunikaci se zákazníky, například e-mailovou adresu, fakturační adresu nebo číslo účtu. Nesmíte je ovšem poskytnout třetí straně.
9) Kde jako podnikatel získám informace o GDPR?
Asi nejlevnější cestou je využít služeb různých profesních institucí, třeba Svazu průmyslu a dopravy ČR. Ten provozuje dokonce chat, v němž na otázky týkající se nařízení odpovídá. Informace ale lze najít i na stránkách různých ministerstev nebo Úřadu pro ochranu osobních údajů.
10) Musím požádat o souhlas se zasíláním e-mailových nabídek i stávající zákazníky?
Ne, například newsletter jim můžete do e-mailové schránky zasílat i nadále. Musíte jim ale umožnit se odhlásit ze seznamu příjemců, jinak vám hrozí pokuta.
