Už je to více než týden, co platí GDPR. Podle některých novinových článků už měl nastat minimálně konec internetu a bez mého souhlasu byste snad ani neměli vědět, že jsem napsal tento článek. Aspoň tak vypadaly maily, které vám zaplavily schránky. Naštěstí je vše trošku jinak a panika se ukázala zbytečná.
„Neznáš někoho dobrého na GDPR?
Znám.
A nemohl bys mi na něj dát kontakt?
Nemohl…“
Ten vtip se k vám asi v posledních týdnech dostal. Vyjadřuje ve zkratce největší omyl o GDPR, který si mohl vsugerovat někdo, kdo Nařízení EU 2016/679 nečetl, ale bohužel jej šířilo i spousta lidí, kteří se snažili přiživit na panice kvůli GDPR. Odpovědné instituce bohužel ukázkově zaspaly, žádnou účinnou osvětovou kampaň nevedly a katastrofické scénáře se na vás valily ze všech stran.
GDPR nijak neřeší, které osobní údaje se zveřejňovat můžou a které ne. Dává práva subjektům údajů (těm, koho se osobní údaje týkají), povinnosti těm, kdo osobní údaje zpracovávají, a především řeší režim a pravidla, aby zpracování osobních údajů bylo zákonné.
Česká debata se smrskla na udivené dotazy, proč v obchodním rejstříku může být i datum narození, zatímco z firemního webu musí zmizet i emailové adresy na zaměstnance. Klíč k zodpovězení této otázky neleží v GDPR. Nařízení GDPR říká, že je možné zpracovávat pouze ty osobní údaje, ke kterým máte zákonný titul.
Tím může být povinnost ze zákona (což se týká obchodního rejstříku – je to problém České republiky, co si schválila, že je v rejstříku, ne GDPR; týká se to i daňových zákonů, zákoníku práce, ISP mají povinnost ukládat údaje pro data retention apod.), může jím být povinnost plnit smlouvu (abyste mohli poslat fakturu, musíte mít identifikační a kontaktní údaje), může jím být oprávněný zájem (kvůli ochraně majetku a bezpečí máte v autech GPS, oprávněný zájem je i poslání newsletteru zákazníkům) a pokud chcete zpracovávat osobní údaje nad rámec těchto důvodů/titulů, potom potřebujete souhlas.
Souhlasy jsou zlo
Věřte mi, že souhlas je ten nejkomplikovanější právní titul pro zpracování osobních údajů. Musíte ho získat zákonným způsobem. To mimo jiné znamená, že nemůžete vázat poskytnutí souhlasu na uzavření smlouvy (= i registraci do služby). Službu totiž musíte poskytovat i bez souhlasu. Protože, jak jsme si řekli výše, zpracování osobních údajů kvůli plnění smlouvy je legálním důvodem pro zpracování. Souhlas je možné odvolat.
Už víte, jak budete zpracovávat osobní údaje, které prostě kvůli plnění ze smlouvy (dohody, registrace) zpracovávat musíte, pokud vám subjekt údajů souhlas odvolá? A na souhlas se vážou i další práva. Na přenos údajů, tzv. právo zapomnění…
A teď mi prosím vysvětlete, proč máte plnou emailovou schránku požadavků na souhlas se zpracováním osobních údajů. Ještě je to pochopitelné u zasílatelů různých newsletterů, kteří žijí svůj vlhký sen o tom, že vás jednou zmonetizují. Ti souhlas skutečně potřebují. Ale už je to nepochopitelné u provozovatelů služeb, kde jste se normálně zaregistrovali, protože chcete nějaké plnění. Chcete něco dostávat. Tehdejší souhlas, pokud byl udělený podle zákon o ochraně osobních údajů (101/2000 Sb.), platí i pod GDPR. Již téměř 18 let, od roku 2000…
Vysvětlení bych měl. Dalo se na tom hodně vydělat. Klient se dal vystrašit, dala se dělat sáhodlouhá analýza, daly se přepsat všechny dokumenty, a to celé se dalo nafakturovat standardní právní sazbou s GDPR přirážkou. Že tomuto tlaku podlehl provozovatel služby či podnikatel, to je jeho věc a jeho náklady.
Ale dostává vás do situace, kdy souhlas akceptujete (a obratem zrušíte a budete se s popcornem bavit, jak situaci vyřeší), nebo ho rovnou odmítnete a budete se soudit o plnění ze smlouvy, které nelze na souhlas vázat. No, upřímně, v telekomunikacích se to dá ještě vyřešit, věrnostní program v nějakém obchodním řetězci oželíte, protože vás v databázi potřebuje a časem zmírní, ale hádat se ve škole/školce, to nechcete a radši odkliknete/podepíšete.
Neznalost zákona neomlouvá
Problematika GDPR ukazuje (omlouvám se za generalizaci) český přístup k právu. Text Nařízení GDPR je známý od roku 2016. Podnikatele a firmy samozřejmě nikdo neinformoval, a přestože každá Vláda a aktivity Sněmovny Parlamentu ČR od roku 1992 znamenají zhoršení podnikatelského prostředí, málokdo z podnikatelů a firem sleduje, co se schvaluje a co se jich bude týkat. A pak křičí pět minut po dvanácté, namísto aby se ozvali včas.
Já osobně se GDPR intenzivně věnuji od léta loňského roku. Vzdělávám se, konzultuji, ptám se firem, kterých by se to mohlo týkat. Pár odpovědných to řeší od loňského podzimu, spousta jich přišla na moje workshopy, ale nejvíc telefonických dotazů na GDPR jsem dostal v květnu. Pár týdnů před účinností GDPR… Je pravda, že většina firem, se kterými jsem v kontaktu, přistoupila k problematice odpovědně, ale ten počet dotazů v květnu mě trošku šokoval. Přátelé, toho se už moc stihnout nedalo. Přesto mi jedna právní kancelář volala s dotazem, jestli bych jejich klientovi nepomohl s GDPR, volala včera dopoledne…
Stojí učitelka před třídou prvňáčků, v ruce drží dort a říká:
„Dnes popřejeme vaší spolužačce k narozeninám. Bohužel vám nemůžu říci, která to je.“
GDPR ve školách a školkách bylo také velkým zdrojem obav a zmatků. Kolovaly fámy o tom, že se nesmí vystavovat podepsané výkresy a vtip před tímto odstavcem někde brali vážně. Jestli nevěříte, tak na Facebooku najdete pár diskusních skupin, kde některé dotazy jsou vskutku bizarní. Fakt je ten, že už od roku 2014, od účinnosti Nového občanského zákoníku (NOZ) se nesmí fotografovat nikdo bez jeho souhlasu. Na tom GDPR nic nezměnilo. Ten souhlas jste zřejmě podepisovali na první třídní schůzce. Zatímco dříve ho ale šlo spojit s dalšími záležitostmi, ke kterým škola potřebovala váš podpis, s GDPR je třeba mít souhlas oddělený a musí být jasné, k čemu souhlas dáváte.
Fotografie a videa z veřejných akcí, ale i těch neveřejných, také může pořadatel (tedy i škola, školka) zveřejňovat třeba na svém webu nebo na nástěnce. Je ale potřeba předem informovat, že se na akci fotky a videa pořizují a že takto budou využity. Platí to ovšem pro akce, kde je účast dobrovolná. Pokud je účast povinná, potom je sice možné fotit a natáčet, ale ke zveřejnění už je potřeba udělat test, zda jde o plnění ze smlouvy (to asi nikdy), zda jde o oprávněný zájem pořadatele a zda je ten silnější než právo lidí a dětí na fotkách (to můžou být fotky vítězů školní soutěže), nebo si zkrátka říct o souhlas. Ten musí být vždy dobrovolný, což lze zajistit dobrovolnou účastí, nebo poskytnutím. Na povinných akcích už je možné poskytnout dobrovolně jen ten souhlas. A povinnost informovat o tom, že se fotky a videa pořizují, platí vždy.
GDPR není žádná pohroma. Dá se zvládnout, ale chce to přečíst si text Nařízení a případně ho probrat s někým, kdo již problematiku řešil. Pokud máte ve firmě pořádek, zvládnete GDPR bez větších nákladů. GDPR nepřináší nějaké zásadně nové povinnosti, ale dává subjektům údajů (= zákazníkům, zaměstnancům) nová práva. Ta musíte umět naplnit. Hodně práce si ušetříte, když si uděláte dobrou analýzu a vyhnete se souhlasům.
A kdybych vám měl dát dvě rady k GDPR, budou to tyto:
- Mějte na webu Prohlášení o zpracování/ochraně osobních údajů. To je totiž vaše automatická povinnost – popsat, jak s osobními údaji zacházíte. Dá se to totiž na dálku velmi dobře zkontrolovat. Kdo z ISP zažil kontrolu obchodních podmínek ze strany ČTÚ, např. jestli je splněna informační povinnost vyplývající ze ZEK a Nařízení EU 2015/2120, tak si to umí velmi dobře představit.
- Sbírejte vtipy o GDPR (a posílejte mi je klidně do sbírky na rostislav.kocman@gmail.com). Většinou je realita přesně opačná, než je ve vtipech. Ale na těch extrémních situacích, které vtipy znázorňují, můžete Nařízení o GDPR dobře pochopit.
A hlavně, neblbněte z toho.
Diskuze k článku