Hlavní navigace

Proč se zajímat o zákon o ochraně osobních údajů? (2)

3. 7. 2000
Doba čtení: 4 minuty

Sdílet

Zákon o ochraně osobních údajů bude znamenat přínos pro jednotlivce, kteří nyní mohou mít své údaje více pod kontrolou. Na druhé straně však bude zákon působit nepříjemnosti řadě provozovatelů systémů. Zatímco o dopadu zákona na jednotlivce jsme psali v prvním díle seriálu, nyní Jiří Ludvík shrnuje, co zákon znamená pro provozovatele systémů.

Zákon o ochraně osobních údajů je platný od 1. června a pokud bude uveden do praxe, bude znamenat přínos pro jednotlivce, kteří budou mít své údaje více pod kontrolou. Na druhé straně bude však znamenat nepříjemnosti pro řadu provozovatelů systémů, v nichž se osobní údaje zpracovávají. Minule jsem naznačil, co bude zákon znamenat pro běžného člověka (který se v řeči zákona nazývá „subjekt údajů“); dnes se podíváme detailněji na to, co znamená zákon pro provozovatele systému, v němž se osobní údaje nachází, a také na výjimky, které výrazně působnost zákona upravují.

Každý provozovatel systému s osobními údaji musí splnit určité základní povinnosti. Musí vymezit účel, pro nějž jsou osobní údaje zpracovávány, informace poté nesmí používat k jinému než vymezenému účelu a nesmí shromažďovat více informací, než je k danému účelu nezbytné. Toto ustanovení je tedy porušeno například povinností zadávat informace o věku či o příjmu při stahování demoverze programu z webu. V případě, že je účel, pro něž jsou informace zpracovávány, časově omezen, musí správce po pominutí tohoto účelu osobní údaje zlikvidovat.

Jedním z nejviditelnějších důsledků zákona je nutnost získat souhlas subjektu údajů ještě před zpracováním. Ale pozor, tento požadavek je podstatně omezen řadou výjimek.

Pokud jde o informace, jejichž zpracování správci ukládají nějaké jiné zákony (tedy například daňová přiznání, sociální pojištění, evidence zaměstnanců), nemusí správce těchto údajů mít váš souhlas k dispozici. Totéž platí i v případě, že tyto informace slouží pro uzavření smlouvy (třeba při nákupu zboží na leasing). Další výjimka nastává, jde-li o údaje oprávněně uveřejněné v hromadných sdělovacích prostředcích. Osobní údaje používané pro vědecké nebo statistické účely mohou být zpracovávány pouze tehdy, jsou-li před použitím zanonymizovány. Do kategorie anonymních statistických osobních údajů spadají podle mne i data o uživatelích sebraná za pomoci cookies nebo jiných prostředků umožňujících analýzu chování návštěvníků na webových stránkách. Pokud ovšem nejsou osobní informace zpracovávané pro statistické účely anonymní, platí tento zákon v plném rozsahu. Z tohoto pohledu tedy upozornění na jednom významném českém freemailovém serveru o tom, že tyto informace jsou používány pro statistické účely už od 1.června, nestačí k tomu, aby se jeho provozovatelé zákonu vyhnuli…

Další bod, který jsem již zmínil minule, je distribuce marketingových materiálů. Osobní údaje z veřejných seznamů, jako například telefonního seznamu nebo obchodního rejstříku, je možné používat pro obchodní účely (například rozesílání marketingových materiálů), pokud s tím ale příjemce nesouhlasí, musí firma vyřadit jeho záznam z databáze.

V maximální míře (téměř úplně) jsou z působnosti zákona vyjmuty osobní údaje, které mohou mít vliv na státní zájmy, vyšetřování trestné činnosti a finančních trestných činů.

Podstatným požadavkem je povinnost organizací zpracovávajících osobní informace jednou ročně zdarma a na požádání za přiměřenou úplatu poskytnout subjektu údajů informace o osobních údajích, které o něm vede. Protože jde o informaci o údajích a ne přímo o údaje, nelze bohužel očekávát, že by vám třeba Český Telecom jednou ročně zdarma zasílal detailní rozpis telefonních hovorů.

Jedním z mála požadavků, které jsou kladeny na správce osobních údajů bez výjimky, je zajištění ochrany osobních údajů před změnou, zničením, ztrátou, neoprávněnými přenosy, neoprávněným zpracováním a dalším zneužitím. Blíže se budeme tématu bezpečnosti ve vztahu k tomuto zákonu věnovat příště.

Oblastí, která je také zákonem regulována, je přenos osobních dat do zahraničí. Přenos do států Evropské unie není z hlediska zákona problematický, protože ve většině těchto zemí platí nebo bude platit obdobná právní úprava jako v České republice. Do států mimo Evropskou unii se osobní údaje nesmí přenášet, pokud ovšem nesplníte některé z pravidel, které v této oblasti umožňuje výjimku.

Klíčová je pro firmy a organizace zpracovávající osobní informace také oznamovací povinnost, která znamená registraci na Úřadu pro ochranu osobních údajů a tím pádem jistou míru dohledu Úřadu nad zpracováním těchto údajů. U oznamovací povinnosti jsou opět výjimky. Registrovat se provozovatel nemusí, pokud zpracovává údaje, které pochází z veřejně přístupných evidencí, nebo pokud mu zpracování těchto informací ukládá zákon. U provozovaných systémů by registrace měla být provedena letos do 1. prosince (pokud se bude ovšem kde registrovat ;-). Jednotlivé požadavky zákona by měly být splněny do jednoho roku.

BRAND24

Jak tento článek ilustruje, zákon je napsaný přibližně stylem, že platí pro Jardu, Petra a Honzu, jen Honza se jím občas nemusí řídit a pro Petra platí jen o víkendu a také tehdy, když mu řekne Martin. Je tedy poněkud obtížné obecně stanovit pro koho platí, spíše je jednodušší říci, které části zákona platí v tom kterém konkrétním případě a které ne. Zřejmé je, že zákon postihuje základní principy ochrany osobních údajů, ale že přesto mnoho aktuálních problémů ochrany soukromí na Internetu (hlavně těch problémů, které jsou technického charakteru) neřeší. Nicméně zákon definuje určité hranice, které by neměly být překračovány. Nedá se tedy hovořit o revoluci, ale spíš o mírném pokroku v mezích zákona, ale i to je asi lepší než nic.

Jiří Ludvík

Byl pro vás článek přínosný?

Autor článku

Autor se profesionálně zabývá bezpečností....
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).