Nezdá se to, ale je tomu již čtvrt roku, co se celá Evropská unie včetně České republiky horečně připravovala na začátek účinnosti Obecného nařízení o ochraně osobních údajů (známé jako GDPR). První půle letošního roku byla plná obav, temných předpovědí a negativních názorů na tuto problematiku.

S odstupem času lze konstatovat, že po 25. květnu 2018 k žádné tragédii nedošlo. Země se točí dál, politici stále pletichaří a obyčejný lid se s novými pravidly srovnal. Na druhou stranu, nic není ideální. Co zajímavého se tedy u nás za poslední 3 měsíce v oblasti GDPR událo?

Adaptační zákon o zpracování osobních údajů je stále jen ve fázi návrhu.

Vláda předložila návrh zákona poslanecké sněmovně koncem března. Již tehdy bylo zřejmé, že se zákon nestihne projednat do stanoveného květnového termínu. Ani v srpnu na tom nejsme o moc lépe. Návrh zákona neprošel ani druhým čtením, neboť projednávání bylo na schůzi přerušeno a poslanci se krátce na to rozutekli na dovolenou. Návrh zákona se tedy opět na řadu dostane nejdříve v září.

Že nebyl zákon dosud přijat, nás v podstatě může nechat chladnými, protože podstata regulace ochrany osobních údajů je v Obecném nařízení. Navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští a nahradí dosavadní zákon o ochraně osobních údajů.

Jak to tak bývá, většina členských zemí EU své adaptační zákony stihly připravit. Kromě Česka mají zpoždění při přijímání národních norem Belgie, Bulharsko, Kypr, Řecko, Maďarsko, Litva a Slovinsko.

Úřad pro ochranu osobních údajů se nadále považuje za dozorový orgán, i když adaptační zákon nebyl dosud přijat.

Stále častěji se ozývají hlasy, že v ČR panuje jakési bezvládí, jelikož nový zákon o zpracování osobních údajů nebyl dosud přijat a tím nebyl stanoven dozorový úřad nad ochranou osobních údajů. V podobném duchu se vyjádřilo i MPSV ve své tiskové zprávě.

Proti těmto úvahám se však Úřad pro ochranu osobních údajů (ÚOOÚ) důrazně ohradil a trvá na tom, že dozorový úřad v ČR existuje a bude existovat i nadále. Je jím ÚOOÚ, který stejně jako všechny ostatní správní úřady v ČR nemá právní subjektivitu. Je pouhým souborem kompetencí, tudíž je lhostejné, který zákon jej zřizuje, zda zákon o ochraně osobních údajů nebo zákon o zpracování osobních údajů. Podstatná je jeho působnost. Nicméně sama předsedkyně ÚOOÚ Ivana Janů nedávno uvedla, že sankce úředníci nebudou dávat do doby, než bude adaptační zákon účinný.

Navzdory očekávání se se stížnostmi pytel neroztrhl.

ÚOOÚ aktuálně prověřuje několik případů úniků dat, které se týkají většího počtu osob, a spolupracuje s dalšími evropskými dozorovými úřady na řešení některých z nich. Úřad na svých stránkách rovněž uvádí, že od 25. května do druhé poloviny července obdržel téměř 650 stížností v souvislosti s Obecným nařízením o ochraně osobních údajů, což je zhruba trojnásobný nárůst ve srovnání se stejným obdobím loňského roku.

Dle sdělení Andrei Jelinek, předsedkyně nedávno zřízené Evropské rady pro ochranu údajů, byly na mezinárodní úrovni zaregistrovány stížnosti proti velkým institucím. Rakouský právník Max Schrems, dlouhodobý kritik toho, jak Facebook a Google nakládají s daty, podal žalobu právě na zmíněný Facebook,  na jeho dvě společnosti Instagram a WhatsApp a jednu na Android, který patří Googlu. Společnosti Facebook i Google tak hrozí pokuta více než 3,5 miliard eur (každé).

GDPR mělo mimo jiné zamezit nevyžádaným obchodním sdělením a zprávám. To se zatím úplně nedaří.

S nástupem GDPR neustaly telefonáty s nabídkami zboží a služeb. Jak uvedl mluvčí ÚOOÚ Tomáš Paták část ze stížností na porušení nových pravidel tvoří oblast telemarketingu či praktiky při vyžadování souhlasu se zpracováním osobních údajů.

E-mailové schránky nejednoho z nás byly doslova zahlceny žádostmi o poskytnutí souhlasu ať už ze strany firem nebo i veřejných institucí. Bohužel zde došlo k nepochopení právního titulu souhlasu. V řadě běžných situací totiž souhlas vůbec potřeba není. Mnohdy se lze opřít o jiný právní titul například smluvní vztah se subjektem údajů, plnění právních povinností správce nebo oprávněný zájem správce a v těchto případech dokonce souhlas nesmí být vyžadován. Stále se nepodařilo vyvrátit mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy se zpracováním osobních údajů vyřešeny.

Zpravodajský server U.S. News and World Report ve svém článku o GDPR uvádí, že přestože mnozí odborníci tvrdí, že může trvat několik let, dokud nebudou schopni posoudit účinnost GDPR, většina věří, že se nakonec podaří vrátit soukromí zpět jejich vlastníkům.

Kostky byly vrženy a první nárazovou vlnu máme za sebou. Teď bude záležet na přístupu občanů, podnikatelů, úřadů i institucí. 

O GDPR toho bylo napsáno mnoho. Přesto nebo právě proto existuje spousta nepravd či nepřesností, které bychom rádi uvedli na pravou míru.

	GDPR představuje revoluci v ochraně osobních údajů.
	GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech České republiky zakotvena.
	Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění.

 

	Nemáme prováděcí předpis, GDPR se v ČR odsouvá.
	Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v České republice.
	Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl přijat adaptační zákon o zpracování osobních údajů.

 

	Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy.
	Toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje.
	Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

 

	Chyby vás přijdou na 500 mil. Kč!
	Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační.
	Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter.

 

	Každá organizace má mít pověřence.
	Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti.
	Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit.

 

	Potřebujeme certifikát, že jsme v souladu s GDPR.
	Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně.
	S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje.

 

	Osobní údaj je jméno, adresa a rodné číslo.
	Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě.
	Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě.

 

	Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme.
	Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí.
	O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů.

 

	Osobní údaje musí být šifrovány.
	Nařízení GDPR neukládá povinnost použít nějaké specifické opatření.
	Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje.

 

	Musí se hlásit každý ztracený papír.
	Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné.
	Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat.

 

	Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů.
	Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů…
	…a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů.

 

	Všechny naše výstupy musí být anonymní.
	U GDPR platí, nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob.
	Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo

 

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet. 😉

GDPR se pro nás stává noční můrou ve chvíli, kdy si vybavíme, jak širokou a letitou databází fotografií zachycující osoby disponujeme. Máme hromady fotek z interních akcí pro zaměstnance, firemních akcí pro zákazníky či partnery, z veletrhů, kulturních akcí a jiných příležitostí, které je potřeba řádně zdokumentovat. A co by to bylo za zdokumentování, kdybychom nezveřejnili, co se u nás děje? Snímky umisťujeme na web, facebook, rozesíláme e-mailem, sdílíme, některé se dokonce dostanou i do tisku, visí na pracovištích na nástěnkách, zdobí všelijaké letáčky, občasníky či jiné dokumenty. Profilové foto zaměstnanců najdeme na identifikačních kartičkách, v informačních systémech, v e-mailovém klientovi… Je tu však jedno ALE !

GDPR – napsáno a řečeno k tomuto tématu toho bylo opravdu hodě. Bohužel mnohdy jsou to informace nepřesné a zavádějící, a tak se z GDPR stal démon, kterého se všichni bojí a hledají problémy tam, kde žádné nejsou.

Fotografie osoby je osobním údajem, tudíž se na výše uvedené činnosti (zpracování, které s fotkami děláme), GDPR vztahuje a vyvolává vrásky na čele a řadu otázek.

Můžeme fotografie beztrestně použít nebo potřebujeme souhlas?

Nebo snad máme fotky raději vymazat?

A pro jak staré snímky to vlastně platí? Jen pro nové nebo i ty letité?

Tyto a další otázky nám naši zákazníci velmi často pokládají, tak jsme se rozhodli, že to jednou pro vždy rozsekneme…

Jak se GDPR týká mně, jakožto fyzické osoby? Můžu dát fotku na facebook?

S fotografiemi, které zachycují jen vás osobně, můžete nakládat dle libosti. Pokud fotíte někoho jiného, mějte na paměti, že ho podle občanského zákoníku nesmíte fotografovat bez jeho výslovného souhlasu. Takovým souhlasem je i to, že vám před objektivem ochotně zapózuje. Pokud fotografii zveřejníte (a pozor pořád se bavíme o takové fotografii, která dotyčného nekompromituje, nezpůsobuje mu újmu či neohrožuje jeho práva a svobody) a on se proti tomu ohradí a žádá smazání, jste povinni jeho žádosti vyhovět. V tomto případě platí, že než se obrátí na oficiální místa, měl by nejdříve požádat o odstranění fotografie vás. Nicméně GDPR se vás jako soukromé osoby netýká, dokud nezačnete fotografie používat pro své obchodní aktivity.

Máme fotky zaměstnanců na webu, v informačním systému, na ID kartičkách, ale najdou se i na náborových letáčcích a samozřejmě na facebooku. Co s tím?

GDPR stanoví právní tituly, na základě kterých lze osobní údaje zpracovávat (v tomto případě používat fotografie zaměstnanců). Jedním z nich je oprávněný zájem, což je případ fotky na identifikační kartě zaměstnance. Ovšem je potřeba použití posoudit v širším kontextu – zda je fotka na kartě opravdu nezbytná – počet zaměstnanců, velikost areálu, počet budov atd. V opodstatněných případech se foto může bez souhlasu použít i u kontaktů na webových stránkách (například u manažerské či obchodní pozice).

Pro použití fotek na firemním intranetu webu, facebooku, propagačních materiálech, ale i interním tisku (třeba fotky z vánočního večírku ve firemním bulletinu), budete potřebovat výslovný souhlas zaměstnance. GDPR stanoví jak má takový souhlas vypadat a co je důležité, subjekt údajů (tedy zaměstnanec) musí mít možnost odmítnout nebo kdykoliv souhlas odvolat. Na vás tedy potom je vést agendu udělených souhlasů, ale i těch neudělených či odvolaných a fotografie, ke kterým platný souhlas nemáte, odstranit a zajistit, aby nebyly použity. (Další z možností je dotyčného na fotce anonymizovat.)

A to se týká jak starých fotografií? Jen těch, které jsme pořídili od 25. května 2018?

Nařízení GDPR se vztahuje na veškeré osobní údaje, které zpracováváte. Tedy i na fotografie, které máte uloženy ať už v elektronické nebo papírové podobě bez ohledu na datum jejich vzniku.

Pořádáme školení pro naše partnery, fotky budou zveřejněny na webu. Potřebujeme souhlas?

U fotografií z hromadných akcí platí, že pokud se jedná o skupinovou fotografii, zachycující více osob a tyto osoby nejsou dále nijak identifikovány (např. pod fotkou nejsou napsána jejich jména), souhlas nepotřebujeme. Není však od věci uvést na prezenční listinu, na cedulku v místnosti jakož i na začátku akce zmínit, že bude probíhat focení a pro jaký účel (zveřejnění na facebooku, webu atd.) s možností vyjádření nesouhlasu fotografovi.

A jak je to s fotografiemi našich dětí z akcí školy?

Jedná-li se o skupinové fotografie bez dodatečných údajů, které by mohly jednotlivce identifikovat (například označení třídy, ročníku atd.), lze je zveřejnit bez souhlasu. Fotky jednotlivců nebo s detailními informacemi lze zveřejnit pouze na základě uděleného souhlasu (do 15-ti let věku dítěte uděluje souhlas zákonný zástupce). Vždy samozřejmě existuje varianta fotit zezadu nebo tak, že nejsme schopni osobu na snímku identifikovat, ale… není takového snímku škoda?

Fotíme stupně vítězů. Smíme zveřejnit?

Na stupních vítězů stojí obvykle velmi malá skupinka lidí. A ještě častější je, že jsou tyto fotografie doprovázeny textem, z kterého je zřejmé, kdo je oslavovaným vítězem, proto je vhodné získat souhlas se zpracováním osobních údajů.

U sportovních aktivit jako takových se obecně předpokládá, že budou pořizovány a zveřejňovány fotografie. Neuvádí-li se další, detailnější osobní údaje, lze fotografii zveřejnit bez souhlasu.

A co různé kulturní a společenské akce?

Na takových akcích bývá mnoho lidí, což je poznat i na fotkách, kde jsou zachyceny větší skupinky osob. Tito lidé se obvykle navzájem ani neznají. Je nesmysl od každého vyžadovat souhlas. Bohatě postačí účastníky účinně informovat, že akce bude fotografována a jakým způsobem bude dále se snímky zacházeno (například v programu, u vstupu, při koupi vstupenek). Pokud si někdo nepřeje být zvěčněn, ať se domluví s fotografem nebo si nestoupá do záběru.

Máme zrušit obecní zpravodaj? Vždyť bez fotek by byl o ničem…

Rozhodně nerušte! Fotografie použité ve zpravodaji jsou pod novinářskou licencí. Souhlasy na snímky z hodů, sportovních zápasů, fotky řečníka na veřejné akci nebo i pana starosty předávajícího cenu vítězi závodu, potřebovat nebudete. Pokud však fotíte individuální fotky (vyjma výše uvedených případů), například předškoláka u zápisu, pana starostu v kanceláři, nebo máte v plánu uvést jména osob (třeba zrovna v případě toho vítěze), souhlas si vyžádejte a uschovejte. Pozor, v případě dětí uděluje souhlas zákonný zástupce (do 15-ti let věku dítěte).

Podobná situace je u obecních novin, kde dochází k předávání dat mezi školou a obcí a to je nutné podmínit souhlasem dítěte/rodiče vždy. Obecní zpravodaj může informovat o obecních událostech, zveřejňovat fotky z obce, ale nemůže k tomuto účelu přebírat informace ze svých organizací, pokud takto nebylo dohodnuto v případném souhlasu.

Pokud jste dočetli až sem a s hrůzou jste zjistili, že máte někde zveřejněny nebo použity fotografie osob, ke kterým potřebujete souhlas se zpracováním osobních údajů a třeba už ani nevíte, jak se dotyčný či dotyčná jmenuje, natož jak souhlas získat, existuje jenom jedna cesta… smazat.

Na závěr je vhodné zmínit, že jakmile pomine důvod zpracování osobních údajů (zaměstnanec odejde, subjekt údajů odvolá souhlas, vyprší doba, po kterou byl souhlas udělen atd.), je vhodné osobní údaje (a netýká se to jen fotek) skartovat, vymazat, a to i ze záloh a záložních úložišť.