Představte si, že každé kliknutí, každý e-mail, každá registrace na webu po vás zanechává digitální otisk. A teď si představte, že někdo může s těmito údaji libovolně obchodovat nebo je zneužít. Právě proto vzniklo GDPR – revoluční nařízení, které od roku 2018 změnilo pravidla hry nejen pro firmy, ale i pro nás, obyčejné uživatele internetu. Jak se od svého zavedení proměnilo a jak ovlivňuje každodenní život podnikatelů?
Víceméně každý z nás zanechává v digitálním světě nějakou stopu téměř neustále – když si objednáváme zboží online, když se přihlašujeme k odběru newsletteru nebo když zveřejníme fotku na sociální síti. Každá taková aktivita se nějakým způsobem dotýká osobních údajů. A právě proto vznikla pravidla, která mají zajistit, že se naše data nedostanou do nepovolaných rukou. Tím nejvýznamnějším z nich GDPR, tedy obecné nařízení o ochraně osobních údajů.
GDPR zkratka pochází z anglického názvu General Data Protection Regulation, česky ji proto překládáme jako obecné nařízení o ochraně osobních údajů. Nařízení GDPR platí ve všech členských státech Evropské unie a jako takové má přednost před národními zákony. V České republice jej doplňuje zákon č. 110/2019 Sb., o zpracování osobních údajů, často označovaný jako zákon o GDPR nebo zákon na ochranu osobních údajů.
Právní rámec pro ochranu osobních údajů existoval už před GDPR. V Česku jsme se řídili zákonem o ochraně osobních údajů. Tento zákon vycházel ze směrnice 95/46/ES, která začala platit už v roce 1995. Ovšem problém byl v tom, že každý stát v Evropské unii si tuto směrnici vykládal trochu jinak. A výsledkem potom bylo roztříštěné právní prostředí, kdy se firmy v každé zemi musely řídit jinými pravidly. To bylo potřeba s rostoucí globalizací a rozpínajícím se digitálním světem upravit.
Už od 90. let začal technologický boom. Směrnice z 90. let nedokázala adekvátně reagovat na fenomény, jako jsou sociální sítě, e-shopy, cloudová uložiště nebo mobilní aplikace. V lidech začala narůstat obava z toho, jak snadno může někdo zneužít jejich osobní data a že nemají kontrolu nad tím, co se s jejich informacemi děje. Tudíž bylo nejen nutné, ale i žádoucí začít data lépe chránit.
Využijte naši službu GDPR audit a zjistěte, zda jsou všechny procesy ve vaší firmě nastavené tak, aby splňovaly zákon. Při hloubkovém auditu se můžou ukázat místa, na nichž je potřeba zapracovat. Učiňte tak dřív, než doplatíte na svou neznalost.
Hlavními cíli, kterých GDPR mělo dosáhnout, je:
Evropská komise připravila návrh pro GDPR už v roce 2012. Ovšem po několika letech vyjednávání bylo nakonec GDPR nařízení schváleno až v roce 2016, a to s dvouletým přechodným obdobím. Od 25. května 2018 již platí přímo ve všech členských státech Evropské unie bez nutnosti přijetí vnitrostátního zákona – tím se liší od dřívější směrnice.
Zavedení obecného nařízení o ochraně osobních údajů způsobilo už před rokem 2018 velkou vlnu nejistoty. Firmy, instituce i úřady se připravovaly narychlo, mnohdy s obavami z obřích pokut. V té době vzniklo mnoho mýtů (například že bez souhlasu nesmíte ani uložit e-mail do adresáře) a například na školy se valily stovky dotazů od rodičů.
Postupem času se však celá situace uklidnila. Větší firmy začaly systematicky zavádět a nastavovat vnitřní procesy. Menší podnikatelé a živnostníci mívají nároky, které musí splnit, podstatně nižší, ovšem i oni se museli naučit, jak například informovat klienty o tom, jak s jejich daty zacházejí.
Pozitivním přínosem bylo, že klienti začali mít vyšší důvěru v to, jak s jejich daty firmy nakládají. Zároveň všichni získali lepší přehled o tom, kde a jak se data o jejich osobě uchovávají. Praktické změny se promítly například do více informací o ochraně osobních údajů na webech, přinesly více checkboxů při registracích, které se nově neobejdou bez souhlasů, anebo zvýšily obezřetnost při komunikaci s údaji třetích osob.
Ačkoliv samotné nařízení GDPR neprošlo od roku 2018 dosud nějakou podstatnou novelizací, objevují se výklady, doplnění a dopady rozhodovací praxe soudů i dozorových orgánů. Například soudní dvůr EU upřesnil, že i IP adresa může být osobním údajem. Vzniká nová judikatura, která řeší kamerové systémy a zaznamenávání zvuku. Pravidla v oblasti cookies se zpřísnila a zavedl se standard takzvaných cookies lišt, kde má každý uživatel možnost odmítnout sledování. S boomem umělé inteligence se také stále častěji hovoří o možné aktualizaci GDPR zákona i s ohledem na mezinárodní přenosy dat.
Tip: V posledních letech roste obliba služeb, které nabízejí možnost najít své předky pomocí DNA. I tato oblast úzce souvisí s GDPR. Více se o tom dozvíte v našem článku.
Abyste lépe porozuměli tomu, jak zákon o GDPR funguje, shrneme vám několik základních pojmů, které tvoří gró celého GDPR.
GDPR potom staví na sedmi základních zásadách:
1. Zákonnost, korektnost a transparentnost
2. Účelové omezení
3. Minimalizace údajů
4. Přesnost
5. Omezení uložení
6. Integrita a důvěrnost
7. Odpovědnost správce
To znamená, že pokud například někdo provozuje fitness centrum, pak nemůže po svých zákaznících požadovat rodní číslo. Pro provoz služby to totiž není nezbytné. Fitness centrum se musí spokojit se jménem, e-mailem a případně telefonním číslem.
GDPR zákon přinesl jednotlivcům celou řadu práv, které chrání jejich zájmy. Mezi ty nejdůležitější patří:
Správci údajů mají povinnost tato uvedená práva dodržovat. Zároveň musí vést záznamy o zpracování, informovat subjekty údajů nebo hlásit závažné incidenty. V České republice dohlíží na dodržování GDPR Úřad pro ochranu osobních údajů (ÚOOÚ), na který se může subjekt údajů obrátit se stížností.
Tip: Máte v domě na chodbách nainstalované kamery, abyste věděli, co se kde děje, a mohli předcházet případným rizikům? Dost možná porušujete zákon. Přečtěte si, kdy jsou kamery na chodbách problém.
I když se GDPR nařízení může zdát složité, v praxi jde o to, aby firmy nezpracovávaly víc údajů, než kolik je nezbytně nutné, aby měly data, s nimiž pracují, pod kontrolou a aby při tomto zpracovávání respektovaly práva lidí.
Například každý malý e-shop by měl mít souhlas se zpracováním údajů při objednávce, jasně napsané zásady zpracování údajů, zajištěné bezpečné ukládání dat a také by měl svým zákazníkům nabídnout možnost odhlásit se z newsletteru.
Nařízení GDPR tak představuje jakýsi milník v oblasti našeho digitálního soukromí. I když se při jeho zavádění zvedla obrovská vlna obav, dnes se stalo naprosto přirozenou součástí právní kultury napříč Evropskou unií. Přineslo větší ochranu osobních údajů každého jednotlivce, ve firmách zavedlo větší odpovědnost, a především zvýšilo informovanost lidí o tom, co se s jejich daty děje.
Od svého zavedení v roce 2018 představuje GDPR zásadní právní rámec pro ochranu osobních údajů v celé EU. Změnilo způsob, jakým firmy i instituce nakládají s daty, a posílilo práva jednotlivců – od práva na přístup k údajům až po „právo být zapomenut“. I když si zavedení nařízení vyžádalo počáteční úsilí a vyvolalo řadu otázek, dnes se stalo přirozenou součástí každodenní praxe. Přispělo ke sjednocení pravidel, vyšší důvěře veřejnosti a větší odpovědnosti firem při zpracování dat. V digitální době, kdy každá interakce může zanechat datovou stopu, tak GDPR sehrává klíčovou roli v ochraně našeho soukromí.
Vyřešte libovolný právní problém s týmem Dostupného advokáta! Do 24 hodin vám navrhneme řešení vaší situace a spočítáme, kolik vás to bude stát. Cena za vypracování návrhu je 390 Kč. Když si u nás navržené služby objednáte, máte vypracování návrhu zdarma.
Ondřej je ten člověk, v jehož hlavě uzrál nápad poskytovat advokátní služby online. Právním službám se věnuje již déle než 10 let a rád klientům pomáhá, když si nevědí rady s právními problémy.
Osobně i online. Stačí si vybrat vhodnou službu, nebo zvolit nezávislou konzultaci když si nejste jistí.
