„Nařízení výslovně stanovuje povinnost společností používat informace v rozsahu nezbytném s ohledem na důvod, pro který jej získávají,“ řekla LN Martina Heřmanová, advokátka Deloitte Legal.
Přísná pravidla
Firmy tak od lidí budou moci požadovat pouze ty údaje, které potřebují zejména k plnění smlouvy, kterou u nich spotřebitel uzavřel, či na základě tzv. „oprávněného zájmu“. To například znamená, že pokud si spotřebitel koupil automobil pouze s letními pneumatikami, může mu prodejce zaslat nabídku zimních pneumatik.
Protiprávní by však bylo, kdyby prodejce zasílal reklamní nabídky, které s nákupem vozidla vůbec nesouvisí, třeba s výhodnou cenou ledniček. „Taková reklama je ze strany prodejce zasílána protiprávně a spotřebitel se může dalšímu zasílání bránit,“ dodala Heřmanová.
Menší firmy se takových pokut bát nemusí.
Většina spotřebitelů příchod účinnosti nařízení zaznamenala množícími se e-maily od obchodníků, kteří na nová pravidla upozorňují. Jedním z účelů nařízení je spotřebitelům podrobně vysvětlit, jak budou údaje využity.
Odmítnutí bez následků
Společnosti by měly pracovat jen s těmi informacemi, které potřebují k plnění smlouvy. „Poskytnutí dalších údajů je pouze dobrovolné. Firmy by rovněž neměly zbytečně požadovat některé více chráněné osobní údaje, jako je například rodné číslo, kopie osobních dokladů či údaje o zdravotním stavu,“ uvedl Ján Kuklinca, advokát Deloitte Legal.
Odepření souhlasu se zpracováním osobního údaje nesmí mít podle pravidel GDPR na spotřebitele žádný vliv. Typicky při nákupu na e-shopu nesmí být jeho dokončení podmíněno odkliknutím položky souhlasného stanoviska o zpracování údajů.
„GDPR požaduje, aby souhlasy se zpracováním takových údajů nebyly zahrnuty do podmínek smlouvy a aby byly pro spotřebitele viditelně odděleny se svobodou souhlas udělit či neudělit,“ dodal Kuklinca.
Nařízení chránící osobní údaje přidělalo vrásky firmám či státním institucím, které musí povinně využívat služeb pověřence pro ochranu osobních údajů. Ten dohlíží na dodržování pravidel evropského nařízení.
Firmy mají povinnost na základě žádosti klienta vydat v elektronické podobě osobní údaje, které o něm nashromáždily. S tím souvisí takzvané „právo být zapomenut“, které dává lidem možnost požadovat vůči správci, aby zlikvidoval jeho osobní údaje a dále je neuchovával. Všechna data budou vymazána za předpokladu, že pro jejich zpracování neexistuje právní důvod.
Každý členský stát Evropské unie si může vlastní legislativou stanovit výjimky či upravit pravidla GDPR. Čeští zákonodárci na adaptačním zákoně ale teprve pracují.