1.154
Ochrana osobních údajů a soukromí v běžném životě
Mgr. Mgr. Radana Burešová
V květnu 2018 vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR). Veřejná diskuze ohledně GDPR upozornila na problematiku ochrany osobních údajů, zdá však, že i přesto je její význam nedoceněn a bagatelizován.
Se zpracováním osobních údajů se běžně setkáváme nejen v pracovním, ale i osobním životě. Většinou jako subjekty osobních údajů, někdy ale i jako jejich správci. A ne vždy si v takových případech počínáme správně, aniž bychom si to uvědomovali.
Cílem tohoto krátkého článku je upozornit na některé aspekty ochrany osobních údajů a soukromí, se kterými jsme běžně konfrontováni.
NahoruPersonalizovaná reklama
Většina lidí se domnívá, že má nakládání se svými osobními údaji plně pod kontrolou. Navíc lidé zpravidla osobním údajům nepřikládají žádnou důležitost, takže neváhají poskytnout je výměnou za nějakou drobnou výhodu, většinou slevu, aniž by si položili otázku, proč o ně někdo stojí natolik, že je ochoten vyměnit je za slevu nebo výhru ve spotřebitelské soutěži.
Stačí však nahlédnout do informací jednoho velkého českého e-shopu o zpracování osobních údajů, aby si člověk uvědomil, že osobní údaje nejsou jen jméno, příjmení a e-mailová adresa a že z nich lze zjistit nesmírné množství informací o našem životě.
Výše uvedený e-shop totiž zpracovává mimo jiné "údaje o vašem chování na webu, včetně případů, kdy jej prohlížíte přes naši mobilní aplikaci, zejména zboží a služby, které si zobrazujete, odkazy, na které klikáte, způsob pohybu po našem webu a posouvání obrazovky a také údaje o zařízení, ze kterého si náš web prohlížíte, jako je IP adresa a z ní odvozená poloha, identifikace zařízení, jeho technické parametry jako operační systém a jeho verze, rozlišení obrazovky, použitý prohlížeč a jeho verze a také údaje získané ze souborů cookie a obdobných technologií pro identifikaci zařízení; údaje o vašem chování při čtení zpráv, které vám zasíláme, zejména časy otevření zpráv a také údaje o zařízení, na kterém zprávy čtete, jako je IP adresa a z ní odvozená poloha, identifikace zařízení, jeho technické parametry jako operační systém a jeho verze, rozlišení obrazovky, použitý prohlížeč a jeho verze; odvozené údaje, kterými se rozumí osobní údaje odvozené z vašeho nastavení, údajů o zboží a službách, které si u nás nakoupíte, údajů o vašem chování na webu a údajů o vašem chování při čtení e-mailů, které vám zasíláme; zejména se jedná o údaje o vašem pohlaví, věku, finanční situaci, nákupním chování a vztahu k různému zboží a službám ...".
K objednávce zboží by při tom měly stačit údaje nezbytné pro zaslání objednaného zboží, e-shop však získává mnoho dalších údajů, z nichž nejdůležitější jsou právě ony "odvozené údaje", které souvisejí s "finanční situací, nákupním chováním a vztahem k různému zboží a službám". Uvedené údaje e-shopy zpracovávají proto, aby mohly své zákazníky mimo jiné prostřednictvím cílené reklamy přimět k nákupu dalšího zboží, což jim přináší zisk.
Snad každému se přihodilo, že pro informaci zadal do svého prohlížeče nějaké zboží a následně se na prakticky každé webové stránce, kterou navštívil, objevovala reklama právě na toto zboží. Vůbec se při tom nejedná o náhodu. Tato problematika souvisí s tak zvanými cookies.
NahoruCookies
Cookies má nově upravit nařízení o respektování soukromého života a ochrany osobních údajů v elektronických komunikacích, takzvané ePrivacy, které mělo začít platit zároveň s GDPR. Dosud však nebylo přijato a cookies jsou jedním z důvodů.
Poskytovatelé cílené reklamy na internetu se totiž obávají, že pokud bude prosazena navrhovaná podoba ePrivacy, většina uživatelů cookies zakáže, což znemožní individualizaci reklamy, kterou umožňuje právě shromažďování cookies, popř. dalších údajů o chování uživatelů na internetu (viz výše např. "chování při čtení e-mailů"). Někteří uživatelé, které tyto reklamy obtěžují, si do svých zařízení (PC, chytré telefony apod.) instalují takzvané ad-blockery, tj. software, který má bránit zobrazování cílených reklam. Po nějaké době však tyto programy přestávají působit.
Je to proto, že poskytovatelé reklamy na internetu disponují softwarem, který je v zařízeních koncových uživatelů detekuje, a pokud se tak stane, nainstalují do tohoto zařízení bez vědomí jeho uživatele, a vlastně proti jeho vůli, tzv. antiadblockery, které programy na blokování reklamy neutralizují. ePrivacy by takové postupy mělo zakázat, což ovšem naráží na tvrdý odpor ze strany poskytovatelů internetové reklamy.
Představa, že máme své osobní údaje pod kontrolou je tedy zcela mylná, zvláště když nemůžeme ani sami rozhodnout, jaký software bude v našem zařízení nainstalován, respektive když do něj někdo instaluje svůj software proti naší vůli.
NahoruSouhlas se zpracováním osobních údajů
GDPR je koncipováno tak, že ke zpracování osobních údajů by v zásadě mělo docházet jen v nezbytné míře a z důvodů, které jsou upraveny v jeho čl. 6 odst. 1, aniž by bylo třeba vyžadovat souhlas se zpracováním. Je nutno si uvědomit, že vždy, když je pro zpracování osobních údajů vyžadován souhlas, nejedná se o zpracování, které je "nezbytné" (nebo si správce chybně vykládá GDPR) a měli bychom se ptát, k čemu jsou tedy naše osobní údaje získané takto "navíc" třeba.
Jedna velká pojišťovna v průběhu loňského roku opakovaně vyzývala své klienty, aby se v reakci na GDPR neodkladně dostavili na její pobočku a udělili jí tam souhlas se zpracováním osobních údajů, který je nutný pro to, aby jim i nadále mohla poskytovat své služby.
Tato informace ale byla klamavá – osobní údaje nezbytné k plnění pojistných smluv může pojišťovna zpracovávat i bez souhlasu dotčené osoby-subjektu údajů na základě čl. 6 odst. 1 písm. b) GDPR (plnění povinností ze smlouvy, jejíž stranou je subjekt údajů) a marketing může provádět na základě čl. 6 odst. 1 písm. f) GDPR (zpracování pro účely oprávněných zájmů a bod 47 odůvodnění GDPR).
Souhlas by pojišťovna potřebovala jedině pro účely zasílání obchodních sdělení prostřednictvím e-mailu (§ 7 odst. 2 zákona č. 480/2004 Sb. o některých službách informační společnosti), a i to je sporné, protože pokud by svým klientům hodlala nabízet pouze své služby, souhlas by nebyl nutný (§ 7 odst. 3 zákona č. 480/2004 Sb.). Souhlas by naopak potřebovala tehdy, pokud by klientům prostřednictvím e-mailu např. chtěla nabízet služby jiných (spřízněných) subjektů, a kvůli udělení takového souhlasu by klienti s návštěvou pobočky pojišťovny patrně…