Upálili Mistra Jana. Kvůli GDPR vám ale neřeknu, kterého

, 5. června 2018

I love GDPR

Už je to více než týden, co platí GDPR. Podle některých novinových článků už měl nastat minimálně konec internetu a bez mého souhlasu byste snad ani neměli vědět, že jsem napsal tento článek. Aspoň tak vypadaly maily, které vám zaplavily schránky. Naštěstí je vše trošku jinak a panika se ukázala zbytečná.

„Neznáš někoho dobrého na GDPR?

Znám.

A nemohl bys mi na něj dát kontakt?

Nemohl…“

Ten vtip se k vám asi v posledních týdnech dostal. Vyjadřuje ve zkratce největší omyl o GDPR, který si mohl vsugerovat někdo, kdo Nařízení EU 2016/679 nečetl, ale bohužel jej šířilo i spousta lidí, kteří se snažili přiživit na panice kvůli GDPR. Odpovědné instituce bohužel ukázkově zaspaly, žádnou účinnou osvětovou kampaň nevedly a katastrofické scénáře se na vás valily ze všech stran.

GDPR nijak neřeší, které osobní údaje se zveřejňovat můžou a které ne. Dává práva subjektům údajů (těm, koho se osobní údaje týkají), povinnosti těm, kdo osobní údaje zpracovávají, a především řeší režim a pravidla, aby zpracování osobních údajů bylo zákonné.

Česká debata se smrskla na udivené dotazy, proč v obchodním rejstříku může být i datum narození, zatímco z firemního webu musí zmizet i emailové adresy na zaměstnance. Klíč k zodpovězení této otázky neleží v GDPR. Nařízení GDPR říká, že je možné zpracovávat pouze ty osobní údaje, ke kterým máte zákonný titul.

Parta podle GDPR

Parte podle GDPR

Tím může být povinnost ze zákona (což se týká obchodního rejstříku – je to problém České republiky, co si schválila, že je v rejstříku, ne GDPR; týká se to i daňových zákonů, zákoníku práce, ISP mají povinnost ukládat údaje pro data retention apod.), může jím být povinnost plnit smlouvu (abyste mohli poslat fakturu, musíte mít identifikační a kontaktní údaje), může jím být oprávněný zájem (kvůli ochraně majetku a bezpečí máte v autech GPS, oprávněný zájem je i poslání newsletteru zákazníkům) a pokud chcete zpracovávat osobní údaje nad rámec těchto důvodů/titulů, potom potřebujete souhlas.

Synu či dcero, uděl souhlas

Synu či dcero, uděl souhlas

Souhlasy jsou zlo

Věřte mi, že souhlas je ten nejkomplikovanější právní titul pro zpracování osobních údajů. Musíte ho získat zákonným způsobem. To mimo jiné znamená, že nemůžete vázat poskytnutí souhlasu na uzavření smlouvy (= i registraci do služby). Službu totiž musíte poskytovat i bez souhlasu. Protože, jak jsme si řekli výše, zpracování osobních údajů kvůli plnění smlouvy je legálním důvodem pro zpracování. Souhlas je možné odvolat.

Než napíšu svoje jméno, chci vědět, za jakým účelem ho zpracujete!

Než napíšu svoje jméno, chci vědět, za jakým účelem ho zpracujete!

Už víte, jak budete zpracovávat osobní údaje, které prostě kvůli plnění ze smlouvy (dohody, registrace) zpracovávat musíte, pokud vám subjekt údajů souhlas odvolá? A na souhlas se vážou i další práva. Na přenos údajů, tzv. právo zapomnění…

A teď mi prosím vysvětlete, proč máte plnou emailovou schránku požadavků na souhlas se zpracováním osobních údajů. Ještě je to pochopitelné u zasílatelů různých newsletterů, kteří žijí svůj vlhký sen o tom, že vás jednou zmonetizují. Ti souhlas skutečně potřebují. Ale už je to nepochopitelné u provozovatelů služeb, kde jste se normálně zaregistrovali, protože chcete nějaké plnění. Chcete něco dostávat. Tehdejší souhlas, pokud byl udělený podle zákon o ochraně osobních údajů (101/2000 Sb.), platí i pod GDPR. Již téměř 18 let, od roku 2000…

Znáte ze svého mailboxu :)

Znáte ze svého mailboxu 🙂

Vysvětlení bych měl. Dalo se na tom hodně vydělat. Klient se dal vystrašit, dala se dělat sáhodlouhá analýza, daly se přepsat všechny dokumenty, a to celé se dalo nafakturovat standardní právní sazbou s GDPR přirážkou. Že tomuto tlaku podlehl provozovatel služby či podnikatel, to je jeho věc a jeho náklady.

Ale dostává vás do situace, kdy souhlas akceptujete (a obratem zrušíte a budete se s popcornem bavit, jak situaci vyřeší), nebo ho rovnou odmítnete a budete se soudit o plnění ze smlouvy, které nelze na souhlas vázat. No, upřímně, v telekomunikacích se to dá ještě vyřešit, věrnostní program v nějakém obchodním řetězci oželíte, protože vás v databázi potřebuje a časem zmírní, ale hádat se ve škole/školce, to nechcete a radši odkliknete/podepíšete.

Jak být v souladu s GDPR ve čtyřech krocích!

Jak být v souladu s GDPR ve čtyřech krocích!

Neznalost zákona neomlouvá

Problematika GDPR ukazuje (omlouvám se za generalizaci) český přístup k právu. Text Nařízení GDPR je známý od roku 2016. Podnikatele a firmy samozřejmě nikdo neinformoval, a přestože každá Vláda a aktivity Sněmovny Parlamentu ČR od roku 1992 znamenají zhoršení podnikatelského prostředí, málokdo z podnikatelů a firem sleduje, co se schvaluje a co se jich bude týkat. A pak křičí pět minut po dvanácté, namísto aby se ozvali včas.

Já osobně se GDPR intenzivně věnuji od léta loňského roku. Vzdělávám se, konzultuji, ptám se firem, kterých by se to mohlo týkat. Pár odpovědných to řeší od loňského podzimu, spousta jich přišla na moje workshopy, ale nejvíc telefonických dotazů na GDPR jsem dostal v květnu. Pár týdnů před účinností GDPR… Je pravda, že většina firem, se kterými jsem v kontaktu, přistoupila k problematice odpovědně, ale ten počet dotazů v květnu mě trošku šokoval. Přátelé, toho se už moc stihnout nedalo. Přesto mi jedna právní kancelář volala s dotazem, jestli bych jejich klientovi nepomohl s GDPR, volala včera dopoledne…

Stojí učitelka před třídou prvňáčků, v ruce drží dort a říká:

„Dnes popřejeme vaší spolužačce k narozeninám. Bohužel vám nemůžu říci, která to je.“

GDPR ve školách a školkách bylo také velkým zdrojem obav a zmatků. Kolovaly fámy o tom, že se nesmí vystavovat podepsané výkresy a vtip před tímto odstavcem někde brali vážně. Jestli nevěříte, tak na Facebooku najdete pár diskusních skupin, kde některé dotazy jsou vskutku bizarní. Fakt je ten, že už od roku 2014, od účinnosti Nového občanského zákoníku (NOZ) se nesmí fotografovat nikdo bez jeho souhlasu. Na tom GDPR nic nezměnilo. Ten souhlas jste zřejmě podepisovali na první třídní schůzce. Zatímco dříve ho ale šlo spojit s dalšími záležitostmi, ke kterým škola potřebovala váš podpis, s GDPR je třeba mít souhlas oddělený a musí být jasné, k čemu souhlas dáváte.

Fotografie a videa z veřejných akcí, ale i těch neveřejných, také může pořadatel (tedy i škola, školka) zveřejňovat třeba na svém webu nebo na nástěnce. Je ale potřeba předem informovat, že se na akci fotky a videa pořizují a že takto budou využity. Platí to ovšem pro akce, kde je účast dobrovolná. Pokud je účast povinná, potom je sice možné fotit a natáčet, ale ke zveřejnění už je potřeba udělat test, zda jde o plnění ze smlouvy (to asi nikdy), zda jde o oprávněný zájem pořadatele a zda je ten silnější než právo lidí a dětí na fotkách (to můžou být fotky vítězů školní soutěže), nebo si zkrátka říct o souhlas. Ten musí být vždy dobrovolný, což lze zajistit dobrovolnou účastí, nebo poskytnutím. Na povinných akcích už je možné poskytnout dobrovolně jen ten souhlas. A povinnost informovat o tom, že se fotky a videa pořizují, platí vždy.

GDPR není žádná pohroma. Dá se zvládnout, ale chce to přečíst si text Nařízení a případně ho probrat s někým, kdo již problematiku řešil. Pokud máte ve firmě pořádek, zvládnete GDPR bez větších nákladů. GDPR nepřináší nějaké zásadně nové povinnosti, ale dává subjektům údajů (= zákazníkům, zaměstnancům) nová práva. Ta musíte umět naplnit. Hodně práce si ušetříte, když si uděláte dobrou analýzu a vyhnete se souhlasům.

A teď si představte, že vám souhlas odvolá :)

A teď si představte, že vám souhlas odvolá 🙂

A kdybych vám měl dát dvě rady k GDPR, budou to tyto:

  • Mějte na webu Prohlášení o zpracování/ochraně osobních údajů. To je totiž vaše automatická povinnost – popsat, jak s osobními údaji zacházíte. Dá se to totiž na dálku velmi dobře zkontrolovat. Kdo z ISP zažil kontrolu obchodních podmínek ze strany ČTÚ, např. jestli je splněna informační povinnost vyplývající ze ZEKNařízení EU 2015/2120, tak si to umí velmi dobře představit.
  • Sbírejte vtipy o GDPR (a posílejte mi je klidně do sbírky na rostislav.kocman@gmail.com). Většinou je realita přesně opačná, než je ve vtipech. Ale na těch extrémních situacích, které vtipy znázorňují, můžete Nařízení o GDPR dobře pochopit.
To chce klid...

To chce klid…

A hlavně, neblbněte z toho.

Štítky: .

Diskuze k článku

Diskuze ke článku je uzavřena.

Kategorie Internet, Názor.

Štítky: .

Diskuze: Komentáře nejsou povolené u textu s názvem Upálili Mistra Jana. Kvůli GDPR vám ale neřeknu, kterého

Navštivte také

Speedmeter Internetu pro všechny

Katalog Wifi sítí

Reklama:

Bleskovky

Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

, 21.9. Komentáře nejsou povolené u textu s názvem Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

Aprílový prehľad udalostí zo života slovenských operátorov

, 28.4. Komentáře nejsou povolené u textu s názvem Aprílový prehľad udalostí zo života slovenských operátorov

Inovativní řešení plánování optických sítí FTTH

, 22.10. Komentáře nejsou povolené u textu s názvem Inovativní řešení plánování optických sítí FTTH

Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

, 28.2. Komentáře nejsou povolené u textu s názvem Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

, 6.2. Komentáře nejsou povolené u textu s názvem Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

IT dovednosti teenagerů – mají se starší bát mladé generace?

, 14.1. Komentáře nejsou povolené u textu s názvem IT dovednosti teenagerů – mají se starší bát mladé generace?

MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

, 19.11. Komentáře nejsou povolené u textu s názvem MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

UPC hlásí výrazný růst tržeb i připojených domácností

, 12.11. Komentáře nejsou povolené u textu s názvem UPC hlásí výrazný růst tržeb i připojených domácností

Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

, 8.10. Komentáře nejsou povolené u textu s názvem Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

, 4.10. Komentáře nejsou povolené u textu s názvem Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

Více bleskovek →

Články

Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

, 11.12. Komentáře nejsou povolené u textu s názvem Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

Mobilné služby počas dovolenky

, 10.7. Komentáře nejsou povolené u textu s názvem Mobilné služby počas dovolenky

Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

, 17.5. Komentáře nejsou povolené u textu s názvem Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

, 29.3. Komentáře nejsou povolené u textu s názvem Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?

, 1.3. Komentáře nejsou povolené u textu s názvem Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?

Nová pravidla kybernetické bezpečnosti

, 20.2. Komentáře nejsou povolené u textu s názvem Nová pravidla kybernetické bezpečnosti