Se svými osobními údaji nakládáme na internetu v podstatě denně. Internetové společnosti běžně využívají osobní údaje k cílenému marketingu. Díky tomu se Google dostal mezi tři nejvíce ceněné značky na světě. Loňská aféra s britskou konzultantskou společností Cambridge Analytica také ukázala, že osobní údaje zadané samotnými uživateli na sociální sítě mohou být zneužity dokonce k ovlivnění voleb. Co všechno se rozumí osobními údaji a jaká práva v souvislosti s nimi mají fyzické osoby?
V květnu 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR), které upravuje všechny podstatné aspekty ochrany osobních údajů. „Zásadní změnu v chápání údajů a práv s nimi spojených sice GDPR nepřineslo, avšak přimělo společnost a firmy zpracovávající osobní údaje více si problematiky všímat a důkladněji dbát na zabezpečení osobních dat,“ říká Lukáš Zelený, vedoucí právního oddělení spotřebitelské organizace dTest.
Definice osobního údaje je značně široká, protože jím je každá informace, na základě které lze identifikovat fyzickou osobu (člověka), jež se v terminologii GDPR nazývá subjekt údajů. Osobním údajem tak je jméno a příjmení, adresa, datum narození i rodné číslo, ale také síťový identifikátor (IP adresa) nebo fotografie, pokud z ní lze určit vyfocenou osobu. Rozhodovací praxe soudů již dříve zařadila mezi osobní údaje také mobilní číslo či e-mailovou adresu, protože umožňují se s jejich držitelem spojit v reálném čase, což je základní cesta, jak se někomu dostat do soukromí.
Podobně široce je definováno také zpracování osobních údajů. Jedná se o jakoukoliv operaci s osobními údaji – počínaje zaznamenáním, přes uložení, až po jejich zničení. Cílem takto obsáhlých vymezení je chránit osobní údaje občanů Evropské unie v co největší možné míře. K tomu přispívá také to, že se unijním pravidlům musejí přizpůsobit i společnosti, které sice mají sídlo mimo EU, avšak zpracovávají údaje na jejím území. Zpracování provádí správce, případně jej může svěřit zpracovateli.
Osobní údaje musejí být zabezpečeny přiměřeně k rozsahu a rizikovosti zpracování. Pekař na rohu zaměstnávající dva pomocníky toho bude mít k zabezpečení méně než společnost provozující internetovou platební bránu a rizika budou také nesouměřitelná. Podle toho je nutné zvolit přiměřené prostředky ochrany: v prvním případě stačí uzamčená skříň se šanony a zaheslovaný počítač s nainstalovaným antivirem, ve druhém případě se společnost neobejde bez nákladného šifrovacího systému chránícího platební údaje zákazníků.
Při zpracování má správce také řadu informačních povinností. „Pokud po vás někdo na internetu bude chtít osobní údaje, měl by vám při jejich získávání vždy sdělit svou totožnost a kontaktní údaje. Měl by vám objasnit, proč a na co údaje požaduje, a také na jakém právním základu je bude zpracovávat – nejčastěji na základě smlouvy nebo souhlasu. Dále by vám měl sdělit, jestli údaje bude někomu předávat, jak dlouho je bude mít uloženy a poučit vás o právech, která k nim podle GDPR máte. V neposlední řadě musí správce také bezplatně vyřizovat vaše žádosti ohledně osobních údajů, a to nejpozději do jednoho měsíce,“ vysvětluje Lukáš Zelený.
GDPR vychází z toho, že se každý jednotlivec svobodně rozhoduje o tom, co s jeho osobními údaji bude. Lidé proto mají právo na přístup k osobním údajům, jež sestává z povinnosti správce sdělit jim na žádost, zda jejich údaje zpracovává. Pokud tomu tak je, musí jim poskytnout rovněž předepsané informace a kopii zpracovávaných osobních údajů. Dále mohou lidé požadovat opravu nepřesných či doplnění neúplných osobních údajů nebo jejich výmaz, pokud již není důvod k jejich zpracování.
Nově zavedeným právem, které má zjednodušit přechody mezi jednotlivými poskytovateli služeb, je právo na přenositelnost údajů. V jeho rámci, jestliže je zpracování údajů založeno na souhlasu nebo na smlouvě a provádí se automatizovaně, mají lidé nárok na to, aby jim správce vydal jejich údaje v běžně používaném a strojově čitelném formátu. Tento soubor pak mohou předat další společnosti, případně požadovat jeho předání původním správcem, je-li to technicky proveditelné. Opatření by mělo spotřebitelům pomoci například při přechodech mezi bankami či pojišťovnami, ale také mezi mobilními operátory.
A co sociální sítě? Na sociální sítě nahráváme denně velké množství osobních údajů – ať už se jedná o fotografie s životními úspěchy, informace o změně zaměstnání, o stěhování či jednoduše „jen“ jméno, příjmení a datum narození. Rozsáhlé poskytování údajů ale nepřispěje pouze „k lepšímu uživatelskému zážitku“, jak provozovatelé sociálních sítí deklarují. Osobní údaje jsou v podstatě platidlem, které směňujeme za možnost využívat službu. Sociální sítě a další internetové společnosti – především Facebook a Google – totiž někde své příjmy získat musejí, pokud poskytují své služby zdarma – primárním zdrojem příjmů je jim využívání osobních údajů pro účely cílené a další reklamy.
„Pokud máte podezření, že správce vaše údaje zpracovává v rozporu s domluveným účelem, dostatečně je nezabezpečil nebo ignoruje vaše požadavky, můžete podat stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ),“ vzkazuje Lukáš Zelený. O postupu v řešení stížnosti či přímo o jeho výsledku má úřad povinnost vás vyrozumět do tří měsíců. Pokud tak neučiní, můžete se obrátit na soud. U soudu se rovněž můžete domáhat náhrady újmy, kterou vám správce porušením svých povinností způsobil.