Nařízení GDPR má pomoci hájit práva občanů proti zneužívání jejich osobních dat. Od 25. května letošního roku platí v celé Evropské unii. Nová pravidla se týkají všech veřejných institucí a firem, které nakládají s osobními údaji svých zákazníků či zaměstnanců.

„Náš úřad eviduje především podněty týkající se telemarketingu. Za nimi jsou pak v pomyslném žebříčku stížnosti na formu a způsob vyžadování souhlasu ze strany některých správců,“ informoval Paták.

Podněty týkající se telemarketingu obsahují stížnosti lidí, které souvisejí hlavně s nabídkami zboží a služeb, o něž dříve neprojevili zájem. „Případně míří podněty na předprodej databází telefonních čísel v souvislosti právě s telemarketingovými nabídkami,“ sdělil Paták.

GDPR má kromě jiného snížit právě počet obtěžujících telefonátů s nabídkami prodejců, kteří dosud disponovali telefonními čísly získanými pofidérními obchody se zákaznickými databázemi. Jak Právo už dříve informovalo, velké firmy jsou sice při využívání těchto databází nyní opatrnější, protože si nejsou jisté, zda externí dodavatelé mají potřebný souhlas s uchováváním osobních údajů od zákazníků, své produkty však dál lidem nabízejí pomocí náhodného výběru čísel.

Souhlas vyžadován často nadbytečně

Od začátku platnosti GDPR jsou internet a e-mailové schránky lidí zaplaveny požadavky na udělení souhlasu se zpracováním osobních údajů.

Předsedkyně ÚOOÚ Ivana Janů upozornila, že firmy chtějí souhlas se zpracováním dat mnohdy nadbytečně a v řadě případů i v rozporu s GDPR. Jde o služby, jež jsou běžně poskytovány na základě zákona, smlouvy či jiného právního důvodu uvedeného v obecném nařízení (GDPR). Například poskytování bankovních či telekomunikačních služeb.

„V těchto případech nesmí být poskytnutí služby vázáno na udělení souhlasu. Jeho vyžadování je proto nadbytečné, obtěžující a většinou i klamavé a zároveň je v rozporu s obecným nařízením,“ vysvětlila Janů. Zároveň připomněla, že osobní data se ani v případě udělení souhlasu nesmějí stát předmětem obchodování.

„Soukromí člověka není obchodovatelnou komoditou,“ zdůraznila.

Klient má vědět, co se s údaji děje

ÚOOÚ se nyní při dozorové činnosti zaměří na okolnosti získávání souhlasu se zpracováním osobních údajů a jeho náležitosti. Bude zjišťovat, zda byl souhlas získán v souladu s GDPR, tedy svobodně, informovaně, transparentně, nedvojznačně a poctivě v přístupu k zákazníkovi. A zda také klient věděl, k jakému účelu a kým budou jeho osobní data použita.

Pokuty za nedodržování GDPR mohou podle tohoto evropského nařízení v extrému dosáhnout až 20 miliónů eur (zhruba 515 miliónů Kč). GDPR však v tomto ohledu směřuje hlavně na nadnárodní korporace, které shromažďují informace o tisících až miliónech lidí. Navíc ÚOOÚ už dříve avizoval, že v českých podmínkách chce užívat pokuty do deseti miliónů korun.

Institucím a firmám, které pracují s osobními daty lidí, vznikla účinností GDPR povinnost jmenovat pověřence. Ten by měl dohlížet na správné zpracování dat a jejich další používání a poskytovat správci či zpracovateli osobních údajů v této oblasti veškerý potřebný servis.

„Podle našich poznatků si řada správců uvědomuje svou roli a snaží se plnit povinnosti vyplývající pro ně z obecného nařízení. Úřad se navíc všem subjektům, ať už se jedná o firmy, instituce a další, snaží pomáhat a šířit mezi nimi tolik potřebnou osvětu,“ ujišťuje Paták.