Psal se 25. květen 2018 a obyvatelé mnoha z (tehdy) 28 členských států Evropské unie se bezpochyby cítili spokojeni. V kancelářích mnoha firem v EU (a často i mimo ni) však panoval chaos. Ještě před tímto dnem rozesílaly společnosti svým klientům a zákazníkům nespočet e-mailů, ve kterých je žádaly o souhlas se zasíláním newsletterů, o který nikdy předtím nežádali. Zároveň se mnoho podniků, které neměly k dispozici specializované pracovníky, snažilo zjistit, jaké údaje o svých zákaznících vlastně uchovávají a jak je mají v budoucnu organizovat a chránit.
Před 5 lety vstoupilo v platnost Obecné nařízení o ochraně osobních údajů (GDPR), které zásadně změnilo pohled na používání osobních údajů společnostmi z EU i mimo ni, které shromažďují, zpracovávají a uchovávají údaje občanů Evropské unie a Evropského hospodářského prostoru (Island, Norsko a Lichtenštejnsko).
Po pěti letech evropští spotřebitelé očekávají, že když kliknou na tlačítko "Přijmout" na webu nebo "Souhlasit" v obchodních podmínkách (které, přiznejme si, málokdo čte), společnosti budou GDPR dodržovat a regulační orgány budou jeho uplatňování kontrolovat.
Co se s GDPR změnilo?
Před GDPR nikdo nemohl vědět, jaké údaje o zákaznících společnosti uchovávají. Uchovával Facebook jen naše jméno a telefonní číslo nebo e-mail? Uchovával Google záznamy o našich vyhledáváních? Co o nás ví Netflix z obsahu, který sledujeme? A jak tyto společnosti tyto znalosti využívaly?
1. Abychom si mohli odpovědět na tyto otázky, připomeňme, že GDPR se vztahuje na širokou škálu shromažďovaných údajů:
- Základní identifikační údaje – jméno, adresa a číslo občanského průkazu, náboženské přesvědčení, politická příslušnost, rasový nebo etnický původ, sexuální orientace.
- Zdravotní údaje – zdravotní stav, krevní testy, aplikované vakcíny a nákaza COVID-19 apod.
- Komunikace – geolokace, IP adresy, historie procházení webových stránek, výpis telefonních hovorů a textové zprávy.
- Další údaje, jako jsou bankovní údaje, údaje o nakupování a používání aplikací.
2. Společnosti musí respektovat těchto 8 práv občana:
- Právo být informován o zpracování osobních údajů (shromažďování, používání, uchovávání, sdílení). Informace o zpracování musí být podávány jednoduchým a srozumitelným jazykem.
- Právo na přístup k osobním údajům, které o nás společnost zpracovává, k jakému účelu a z jakého zdroje údaje získala.
- Právo na opravu, resp. doplnění v případě, že je některý údaj neúplný nebo nesprávný.
- Právo být zapomenut / právo na výmaz, pokud odvoláme souhlas s uchováváním těchto údajů, pokud údaje již nejsou potřebné nebo pokud byly zpracovány protiprávně.
- Právo na omezení zpracování (jako alternativa k vymazání údajů). Jednoduše můžeme požádat, aby naše údaje nebyly pro některé účely zpracovávány, např. lze udělit souhlas s použitím údajů pro personalizaci obsahu v rámci streamovací platformy, ale ne v marketingových kampaních.
- Právo vznést námitku proti dalšímu zpracování údajů.
- Právo na přenositelnost údajů, kterého můžeme využít v případě, že chceme získat přístup ke svým údajům shromážděným společností a předat je jiné společnosti.
- Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování na základě souboru údajů s charakteristikami, které mohou definovat chování, přesvědčení nebo jiné informace.
3. GDPR má globální dopad
Mohlo by se zdát, že toto nařízení představuje drastickou změnu pouze pro společnosti sídlící v EU, ale jeho dopady sahají mnohem dále. GDPR se vztahuje na všechny podniky, které nabízejí zboží nebo služby v EU nebo které zpracovávají údaje jakéhokoli občana v EU. Ze stejného důvodu mohou být údaje občanů EU exportovány (a používány) pouze do zemí s podobnými předpisy o ochraně osobních údajů.
Vzhledem k tomu, že EU je jednou ze tří největších ekonomik na světě, pohání investice ze všech koutů světa a stanovuje GDPR jako minimální standardní požadavek pro působení v kterémkoli z 27 členských států. Není divu, že po celém světě přijímají regulátoři ochrany osobních údajů národní legislativu ve snaze sjednotit soubor pravidel, která by měly společnosti dodržovat.
Tak je tomu v Kanadě, Argentině, Brazílii, Uruguayi, Japonsku, na Novém Zélandu a také v Jižní Koreji. Kanadský zákon PIPEDA je v platnosti od roku 2001 a v mnohém se podobá evropskému nařízení, pokud jde o stanovení odpovědnosti jako základního legislativního principu, avšak s jedním podstatným rozdílem: Na rozdíl od kanadského zákona se GDPR nevztahuje pouze na komerční subjekty, ale také na vládní subjekty.
V USA je však situace poněkud rozmanitější. Na federální úrovni upravují různé zákony cílené oblasti, například HIPAA pro zdravotnictví, FCRA pro oblast spotřebitelských úvěrů, FERPA v oblasti vzdělávání, GLBA pro půjčky a investiční data, ECPA o monitorování komunikace, COPPA omezující zpracování údajů dětí mladších 13 let, VPPA pro oblast půjčování a prodeje videozáznamů nebo FTC Act, který zajišťuje, aby společnosti dodržovaly svá vlastní pravidla ochrany osobních údajů. Pouze pět států přijalo komplexní zákony o ochraně osobních údajů, které jsou buď platné, nebo brzy vstoupí v platnost: Kalifornie (CCPA a jeho "aktualizace" CPRA), Colorado (ColoPa), Virginie (VCDPA), Connecticut (CTDPA) a Utah (UCPA).
4. Narušení bezpečnosti údajů musí být ohlášeno nejpozději do 72 hodin od zjištění
Jednou z největších novinek, které GDPR zavedlo, byla povinnost firem ohlásit porušení ochrany osobních údajů do pouhých tří dnů od okamžiku, kdy se o něm dozvěděly. Pro srovnání, dosud nejpřísnější lhůta pro ohlášení porušení ochrany osobních údajů v USA byla 30 dní.
Tento požadavek přiměl společnosti k tomu, aby měly proaktivní plány na řešení případů narušení bezpečnosti údajů a odolaly pokušení oddalovat oznámení ve snaze vyhnout se PR krizi. V době, kdy jsou podobné incidenty běžné, potřebují občané vědět, že jejich údaje mohou být ohroženy, aby mohli jednat.
5. Pokud společnosti tato pravidla nedodrží, hrozí jim pokuty
Rozhodně nejde jen o prázdná slova. GDPR se prosazuje a ke květnu 2023 bylo za porušení GDPR uloženo 1 653 pokut v celkové hodnotě téměř 3,99 miliardy eur. A pravděpodobně ty celosvětově největší se dotýkaly velkých technologických firem.
V roce 2021 byla společnosti Amazon uložena pokuta ve výši 746 milionů eur, což je dosud nejvyšší částka za cílenou reklamu bez dostatečného souhlasu. Také společnost Google byla v roce 2021 potrestána pokutou ve výši 90 milionů eur za to, že obyvatelům Francie neposkytla snadnou možnost odmítnout používání souborů cookie. Podobné pokuty ze stejného důvodu dostaly i společnosti Google Ireland a Facebook.
| 22.5.2023 dostala rekordní pokutu 1,2 mld. eur společnost Meta IE. Jedná se o vůbec největší pokutu, která byla udělena za předávání osobních údajů evropských uživatelů Facebooku (služby společnosti Meta) do Spojených států amerických. Zároveň bylo společnosti Meta nařízeno své přenosy dat uvést do souladu s GDPR. |
Pokuty dostaly i další známé společnosti, jako je oděvní značka H&M, British Airways, a dokonce i nizozemská daňová a celní správa, které musely upravit své mechanismy ochrany údajů.
Vy jste ti, kteří mají kontrolu nad svými daty
Toto je jedno z nejčastějších sdělení, které v dnešní době vysílá mnoho společností. Tato prohlášení vám jednak dávají pocit moci, jednak ukazují, že společnosti dodržují pravidla pro ochranu údajů a soukromí.
GDPR bylo jistě prvním důležitým krokem k zajištění bezpečnosti našich dat. Samotná existence tohoto nařízení by nás však neměla odradit od toho se ptát, proč je tento sběr dat potřeba. Proč společnosti potřebují vědět tolik o tom, co děláme, kam chodíme nebo jak se oblékáme? A jaké jsou další možnosti, když s použitím určité části našich údajů nesouhlasíme? Můžeme najít alternativní služby?
Navíc, pokud tolika službám a aplikacím nevadí, že nám výměnou za naše údaje poskytují přístup zdarma, jaká je potom skutečná hodnota našich údajů – přesahuje příjmy, které by jinak společnost získala z předplatného?
To je jistě debata, kterou budeme muset všichni vést spíše dříve než později.
