„Od účinnosti obecného nařízení jsou internet a e-mailové schránky lidí zaplaveny požadavky na udělení souhlasu se zpracováním osobních údajů. Tento stav potvrzují také stížnosti zasílané Úřadu pro ochranu osobních údajů,“ stojí v nedělním prohlášení předsedkyně ÚOOÚ Ivany Janů.
Že nařízení s počty stížností skutečně zamíchalo potvrzuje i člen tiskového oddělení úřadu Vojtěch Marcín. „Od 25. 5. k dnešnímu dni evidujeme cca 1700 podnětů/stížností, což je skoro dvojnásobek, pokud bychom srovnávali se stejným obdobím minulého roku,“ doplnil pro Lidovky.cz Marcín.
Problém však GDPR nevytváří jen po administrativní stránce. Poskytovatelé některých služeb se totiž dostávají do právně šedé zóny, pokud poskytnutí souhlasu se zpracováním údajů klienta podmiňují své služby.
Banky a operátoři chyby popírají
„Jako příklad může posloužit třeba banka, která by bez podepsání souhlasu se zpracováním osobních údajů odmítla založit klientovi účet. K založení účtu však souhlas nezbytný není, jelikož banka může pro nezbytné zpracování s vedením účtu osobní údaje zpracovávat i bez souhlasu,“ upozorňuje klienty bank Marcín, který však nechtěl uvádět konkrétní případy, kdy takto banky postupovaly.
Ředitel České bankovní asociace Pavel Štěpánek serveru Lidovky.cz řekl, že banky s úřadem při zavádění GDPR problematiku řešily, souhlas vyžadují jen v nezbytných případech. „Cílem je využívat souhlas ke zpracování osobních pouze tehdy, kdy je to striktně nezbytné a žádný jiný právní titul nelze aplikovat, například zpracování nezbytné pro plnění smlouvy, právní povinnost banky a podobně,“ hájí bankovní sektor Štěpánek.
Stejně tak nemohou souhlas vázat na plnění svých služeb mobilní operátoři nebo poskytovatelé internetu či kabelových televizí. „Za sektor mobilních operátorů můžeme říci, že souhlas se zpracováním osobních údajů vyžadují naši členové pouze tehdy, kde je to nutné, třeba pro zpracování osobních údajů pro marketingové účely. V ostatních případech je zpracování údajů založeno na odpovídajícím oprávnění, jako je například plnění smlouvy,“ řekl serveru Lidovky.cz ředitel Asociace provozovatelů mobilních sítí Jiří Grund.
Menší podnikatelé: „Úřadu trvají odpovědi celé měsíce“
Zatímco bankovní sektor a mobilní operátoři svá pochybení odmítají, menší podnikatelé přiznávají, že jim nová legislativa dala zabrat. „Je pravdou, že podnikatelé mnohdy požadují souhlasy nad rámec nařízení GDPR a díky své přehnané snaze o splnění veškerých podmínek často bohužel i v jeho rozporu,“ připouští místopředseda představenstva Asociace malých a středních podniků a živnostníků ČR Zdeněk Tomíček.
Tomíček pro server Lidovky.cz uvedl, že starostem Úřadu pro ochranu osobních údajů rozumí. Pochybení na straně podnikatelů přičítá hlavně strachu z nových opatření týkajících se GDRP. Podle něj by si ale měli úředníci nejdříve zamést před vlastním prahem a podnikatelům a živnostníkům být při řešení administrativy více nápomocni.
„ÚOOÚ by se v těchto měsících měl zcela jistě především soustředit na pomoc podnikatelům s interpretací GDPR a na jejich dotazy v daném směru reagovat ve lhůtě kratší než v řádech měsíců. Pokud by podnikatelé měli od ÚOOÚ jasná a včasná vyjádření a stanoviska, a to jak v obecné rovině, tak na položené otázky, nadbytečných souhlasů by bezpochyby ubylo,“ myslí si Tomíček.
Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR, z 26. dubna 2016 vešlo v České republice v platnost 25. května letošního roku. Upravuje možnosti firem, jak nakládat s osobními údaji lidí. Zaměstnavatelé a „běžní“ občané se mohou se svými dotazy ohledně GDPR obrátit na podatelnu ÚOOÚ na adrese posta@uoou.cz.
