Od chvíle, kdy vstoupilo v platnost nové nařízení Evropské unie o ochraně osobních údajů, uplynuly více než čtyři měsíce. Řada firem přitom stále pracuje na tom, aby nakládání s osobními údaji uvedla do souladu s novými pravidly.
„Hysterie kolem GDPR přes léto opadla a firmy se zaměřily na provádění interních analýz úrovně zabezpečení osobních údajů a začaly dělat první opatření k lepší informovanosti svých partnerů o tom, jak spravují a chrání jejich osobní údaje, i k jejich vyšší ochraně, a to jak organizačními tak i technickými prostředky,“ popisuje aktuální situaci Jakub Kejval z inspekční a certifikační společnosti Bureau Veritas, která se věnuje poradenství v oblasti GDPR.
Přestože je podle něj patrný další pokrok, ještě zdaleka úroveň ochrany informací a osobních dat není u většiny firem na požadované úrovni. „Problematika GDPR si vyžádá ještě mnoho úsilí a investic. Mnoho subjektů však zatím tuto oblast zcela ignoruje a probudí je snad až první pokuty od Úřadu pro ochranu osobních údajů, které brzy začnou padat,“ dodává Jakub Kejval.
Přes padesát kontrol
Úřad provedl v prvním pololetí 2018 celkem 53 kontrol v oblasti ochrany osobních údajů. Ve většině případů nezjistil pochybení nebo kontrolovaný subjekt pochybení neprodleně napravil a Úřad tak nepřikročil k pokutě.
„Úřad prověřuje aktuálně další případy, ve kterých mohlo dojít k úniku osobních dat významného počtu lidí, například únik dat klientů stavební spořitelny, únik desítek tisíc přihlašovacích údajů z portálu zaměřeného na prodej počítačových a konzolových her, nevládní neziskovou organizaci, která zveřejnila osobní údaje na svých internetových stránkách, nebo případ nalezeného USB flash disku, jež obsahoval smlouvy s osobními údaji lidí a tak dále,“ vyjmenovává Jakub Kejval.
Odborníci v souvislosti s GDPR pozorují také pokles odeslaných obchodních sdělení až o desítky procent. Pozitivem podle nich ale je, že e-maily na druhou stranu po 25. květnu směřují zejména na skutečně relevantní skupiny uživatelů.
Newslettery a jiná obchodní sdělení patří mezi stěžejní nástroje všech e-shopů, ale i dalších obchodníků. Po 25. květnu, kdy začalo platit GDPR, však pro odesílání těchto e-mailů platí přísnější pravidla. To se výrazně projevilo i na statistikách v počtech odeslaných zpráv. „Po necelých dvou měsících platnosti nového nařízení vidíme pokles v odeslaných e-mailech řádově o nižší desítky procent,“ potvrzuje Kateřina Fišerová z aplikace SmartEmailing.
Experti potvrzují pokles e-mailů
Pokles v množství odeslaných e-mailů potvrzují i další odborníci z oboru. „V souvislosti s nástupem GDPR evidujeme od 25. května pokles v rozesílkách obchodních sdělení o patnáct procent,“ říká David Finger, produktový manažer služby Seznam.cz Email. O patnáct až dvacet procent méně odeslaných obchodních sdělení uvádí Petr Cikán z konzultační společnosti Acomware, desítky procent potvrzuje též Tomáš Charvát z Virusfree.cz.
Důvodů, proč obchodníci odesílají na své stávající i potenciální zákazníky méně e-mailů, je podle oslovených odborníků hned několik. „Hlavní příčiny jsou dle mého názoru ve využívání velmi starých kontaktů, které neměly zájem být oslovovány, a v neexistujících e-mailových adresách, jejichž odstraňování někteří rozesílatelé zanedbávají. Vliv má i počet uživatelů, které rozesílatelé ‚naučili‘, že obsah jejich e-mailů je nezajímavý,“ uvádí Tomáš Charvát z Virusfree.cz.
Zejména legislativní důvody vidí za úbytkem David Finger ze služby Seznam Email. „Důvodem je dle mého názoru opětovné získání souhlasu se zpracováním osobních údajů ze strany příjemce, které řada společností zasílala a které příjemce zpětně nepotvrdil. Souhlas se zasíláním obchodních sdělení je zákonná náležitost, a proto se domnívám, že to je ten pravý důvod,“ vysvětluj
Přísnější kritéria
Podle Kateřiny Fišerové ze SmartEmailingu se řada obchodníků kvůli novým pravidlům drží více zpátky a obchodní sdělení raději odesílá jen na databáze, u nichž si je stoprocentně jistá, že jsou zcela v souladu s GDPR.
„V některých případech došlo k přísnějšímu nastavení kritérií aktivity zákazníků, případně k vyloučení některých zdrojů kontaktů, kde nebyl korektně evidován souhlas zákazníka. GDPR tak v některých případech vedlo k většímu pročištění databáze, což má pozitivní efekt,“ dodává Petr Cikán z Acomware s tím, že aktuálně se dá říci, že obchodních sdělení se sice odesílá méně, ale primárně pouze aktivním uživatelům.
Kvůli nástupu GDPR se stala ochrana osobních údajů jedním z hlavních témat letošního ročníku veletrhu IFA. „Osobní nebo firemní důvěrná data, která se dostanou do nesprávných rukou, mohou mít velmi vážné důsledky. Proto bychom od kohokoli, kdo zpracovává citlivé údaje, neměli přijmout žádné omluvy pro nepoužívání šifrovaných zařízení,“ zmínil Hidetaka Yabe, prezident společnosti Verbatim, která na veletrhu vystavovala.
I když se firmy na GDPR zaměřují, čeští zákonodárci zaspali. Adaptační zákon, nastavující podmínky pro místní firmy, stále nezačal platit. „Návrh nového zákona o zpracování osobních údajů, který nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, stále leží v Poslanecké sněmovně, kde bylo projednávání návrhu zákona dne 28. června 2018 na 16. schůzi přerušeno. Celkem poslanci předložili 20 pozměňovacích návrhů k vládnímu návrhu zákona,“ shrnuje Jakub Kejval.
Bude zákon letos?
Ministerstvo vnitra předpokládá, že by letos mohli poslanci zpoždění dohnat. „Adaptační zákony by mohly být schváleny a publikovány ve Sbírce zákonů, a tím nabýt účinnosti, která je stanovena ke dni vyhlášení, zhruba do konce roku 2018. V říjnu by mělo být v Poslanecké sněmovně dokončeno druhé čtení návrhů zákona, poté by mělo proběhnout třetí čtení, následně má na projednání 30 dnů Senát a poté prezident republiky 15 dnů na podpis,“ odhaduje Klára Pěknicová z tiskového odboru ministerstva vnitra.
Odborníci jsou však skeptičtější. „Nepředpokládám, že by nový zákon nabyl do konce roku 2018 účinnosti,“ míní Jakub Kejval. Nový zákon však podle něj pouze zpřesní evropský předpis GDPR a nelze od něj očekávat nějaké významné odchylky a tedy ani zjednodušení pro české podnikatele.
S tím ministerstvo souhlasí. „„Adaptační legislativa obsahuje některá zpřesnění, jako je definice subjektu údajů, citlivých údajů, veřejného subjektu a tak dále, zajišťuje přípustné výjimky, jako je věk dítěte pro souhlas s využíváním služeb informačních společností, vymezuje postavení a strukturu Úřadu pro ochranu osobních údajů a stanoví sankce pro veřejnou sféru,“ doplňuje Klára Pěknicová.
Zákon o zpracování osobních údajů podle ní dále obsahuje transpozici směrnice o ochraně osobních údajů využívaných orgány činnými v trestním řízení, což se ale „běžných“ správců netýká, spadá do oblasti policie. Zahrnuje také základní úpravu zpracování osobních údajů v oblasti obrany a bezpečnosti, na kterou nedopadají předpisy EU.
Dalibor Dostál
Co změní adaptační zákon na GDPR v Česku
Výjimky a upřesnění GDPR:
- § 5 a § 8 – Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
§ 5 – je oprávněn kvůli tomu zpracovávat osobní údaje
§ 8 – může informace o zpracování požadované článkem 13 a 14 odst. 1, 2 a 4 GDPR poskytnout zveřejněním na internetu - § 6 – Správce, který plní povinnost nebo zákonem stanovený úkol ve veřejném zájmu nebo vykonává veřejnou moc s cílem prosadit některé chráněné zájmy (bezpečnost, potírání kriminality, rozpočet, veřejné zdraví, práva a svobody osob, soukromoprávní nároky) nemusí posuzovat slučitelnost účelů
- § 7 – věk pro samostatný on-line souhlas dítěte na 15 let
- § 9 – oznamovat změny a výmazy lze aktualizací pravidelně předávané evidence
- § 10 – správce nemusí před zahájením zpracování posuzovat dopady na ochranu údajů, když je povinen zpracování provést
- § 11 – zavádí subsidiární výjimku z práv podle čl. 12 – 22 GDPR, je-li nezbytná pro vypočtené oblasti (bezpečnost, potírání kriminality a další). Šíře výjimky je kompenzována ohlašováním jejího využití na ÚOOÚ.
- § 12 – podobná výjimka z povinnosti oznamovat subjektům údajů porušení zabezpečení osobních údajů
- § 13 – omezení zpracování nějakých osobních údajů nestaví zákonnou ohlašovací povinnost plněnou pomocí těchto údajů
- § 14 – povinnost jmenovat pověřence mají jen orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“
- § 15 – akreditace certifikačních orgánů na ČIA, o.p.s.
Zdroj: Ministerstvo vnitra