S osobními údaji nakládají lidé na internetu v podstatě denně a pozor by si na ně měli dávat nejen klienti, ale třeba i majitelé e-shopů. Internetové společnosti běžně využívají osobní údaje k cílenému marketingu. Co všechno se rozumí osobními údaji a jaká práva v souvislosti s nimi kdo má?
V květnu 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR), které upravuje všechny podstatné aspekty ochrany osobních údajů. Zásadní změnu v chápání údajů a práv s nimi spojených sice GDPR nepřineslo, avšak přimělo společnost a firmy zpracovávající osobní údaje více si problematiky všímat a důkladněji dbát na zabezpečení osobních dat.
Definice osobního údaje je značně široká, protože jím je každá informace, na základě které lze identifikovat fyzickou osobu (člověka), jež se v terminologii GDPR nazývá subjekt údajů. „Osobním údajem tak je jméno a příjmení, adresa, datum narození i rodné číslo, ale také síťový identifikátor (IP adresa) nebo fotografie, pokud z ní lze určit vyfocenou osobu,“ vyjmenovává Eduarda Hekšová, ředitelka spotřebitelské organizace dTest. A dodává: „Rozhodovací praxe soudů již dříve zařadila mezi osobní údaje také mobilní číslo či e-mailovou adresu, protože umožňují se s jejich držitelem spojit v reálném čase, což je základní cesta, jak se někomu dostat do soukromí.“
Podobně široce je definováno také zpracování osobních údajů. Jedná se o jakoukoliv operaci s osobními údaji – počínaje zaznamenáním, přes uložení, až po jejich zničení. Cílem takto obsáhlých vymezení je chránit osobní údaje občanů Evropské unie v co největší možné míře. K tomu přispívá také to, že se unijním pravidlům musejí přizpůsobit i společnosti, které sice mají sídlo mimo EU, avšak zpracovávají údaje na jejím území. Zpracování provádí správce, případně jej může svěřit zpracovateli.
Osobní údaje musejí být zabezpečeny přiměřeně k rozsahu a rizikovosti zpracování. Pekař na rohu zaměstnávající dva pomocníky toho bude mít k zabezpečení méně než společnost provozující internetovou platební bránu a rizika budou také nesouměřitelná. Podle toho je nutné zvolit přiměřené prostředky ochrany: v prvním případě stačí uzamčená skříň se šanony a zaheslovaný počítač s nainstalovaným antivirem, ve druhém případě se společnost neobejde bez nákladného šifrovacího systému.
Při zpracování má správce také řadu informačních povinností. „Pokud po vás někdo na internetu bude chtít osobní údaje, měl by vám při jejich získávání vždy sdělit svou totožnost a kontaktní údaje. Měl by vám objasnit, proč a na co údaje požaduje, a také na jakém právním základu je bude zpracovávat – nejčastěji na základě smlouvy nebo souhlasu. Dále by vám měl sdělit, jestli údaje bude někomu předávat, jak dlouho je bude mít uloženy a poučit vás o právech, která k nim podle GDPR máte. V neposlední řadě musí správce také bezplatně vyřizovat vaše žádosti ohledně osobních údajů, a to nejpozději do jednoho měsíce,“ vysvětluje Eduarda Hekšová.
GDPR vychází z toho, že se každý jednotlivec svobodně rozhoduje o tom, co s jeho osobními údaji bude. Klienti mají proto právo na přístup k osobním údajům, jež sestává z povinnosti správce sdělit jim na žádost, zda jejich údaje zpracovává. Pokud tomu tak je, musí poskytnout rovněž předepsané informace a kopii zpracovávaných osobních údajů. Dále lze požadovat opravu nepřesných či doplnění neúplných osobních údajů nebo jejich výmaz, pokud již není důvod k jejich zpracování.
Stejně tak existuje právo na přenositelnost údajů. V jeho rámci, jestliže je zpracování údajů založeno na souhlasu nebo na smlouvě a provádí se automatizovaně, je nárok na to, aby správce vydal údaje v běžně používaném a strojově čitelném formátu. Tento soubor pak může klient předat další společnosti, případně požadovat jeho předání původním správcem, je-li to technicky proveditelné. Opatření by mělo pomoci například při přechodech mezi bankami či pojišťovnami, ale také mezi mobilními operátory.
A co sociální sítě? Na sociální sítě uživatelé nahrávají denně velké množství osobních údajů – ať už se jedná o fotografie s životními úspěchy, informace o změně zaměstnání, o stěhování či jednoduše „jen“ jméno, příjmení a datum narození. Rozsáhlé poskytování údajů ale nepřispěje pouze „k lepšímu uživatelskému zážitku“, jak provozovatelé sociálních sítí deklarují. „Osobní údaje jsou v podstatě platidlem, které je směňováno za možnost využívat službu. Sociální sítě a další internetové společnosti – především Facebook a Google – totiž někde své příjmy získat musejí, pokud poskytují své služby zdarma – primárním zdrojem příjmů je jim využívání osobních údajů pro účely cílené a další reklamy,“ popisuje Eduarda Hekšová.
Pokud má uživatel podezření, že správce jeho údaje zpracovává v rozporu s domluveným účelem, dostatečně je nezabezpečil nebo ignoruje požadavky, lze podat stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ). O postupu v řešení stížnosti či přímo o jeho výsledku má úřad povinnost vyrozumět do tří měsíců. Pokud tak neučiní, lze se obrátit na soud. U soudu se rovněž lze domáhat náhrady újmy, kterou správce porušením svých povinností způsobil.