Při zveřejnění rodinného videa, kde je i někdo jiný, je nutné dát si pozor. Teoreticky by tento člověk mohl autora videa zažalovat a například narozeninová party by se mohla změnit v soudní tahanici. Právník Michal Nulíček ale také v on-line rozhovoru vyvrací celou řadu mýtů kolem GDPR. Podle něj se učitelé nemusí bát říci žákovi známku před celou třídou, i když od něj nemají souhlas. V případě třídních schůzek už by ale Nulíček volil soukromé konzultace.

GDPR

Podle některých je evropské obecné nařízení GDPR o ochraně dat revolucí. Podle jiných jen zdokonaluje dosud platnou legislativu, která v Česku platí od roku 2000, a kdo ji doposud dodržoval, nemá se čeho bát.

Evropská unie nové nařízení přijímá po několikaletém vyjednávání v době, kdy utichl skandál s únikem dat desítek milionů uživatelů největší sociální sítě Facebook. Kvůli tomu si "na kobereček" předvolal zakladatele a šéfa Facebooku Marka Zuckerberga Evropský parlament. Během slyšení se Zuckerberg omluvil všem Evropanům za dosavadní nakládání s daty. GDPR začíná platit od pátku 25. května.

GDPR například nařizuje firmám ohlásit velký únik dat a zakazuje jim bez vědomí klientů či zákazníků data poskytovat někomu dalšímu. E-shopy nesmí podmiňovat nákup souhlasem se zpracováním údajů. Pokud velké firmy pravidla nedodrží, hrozí jim pokuta až 20 milionů eur nebo čtyři procenta z globálního obratu – ale to jen v krajních případech.

Čtenářům odpovídal na konkrétní problémy, s nimiž se potýkají. Upozorňuje, že firma si například bez souhlasu uchazečů nesmí nechat životopisy po skončení výběrového řízení. Dotazy čtenářů ukazují, že Česko v přijímání nařízení do české legislativy zaspalo, a to i co se týče samotné osvěty.

Evropská unie počítá s tím, že si každá země přizpůsobí podmínky pro sebe, čeští poslanci ale doposud žádnou legislativu nepřijali a ohrozili tím činnost umělců, akademiků či novinářů. Poslední jmenovaní by teoreticky měli chtít například souhlas od demonstrantů pro natáčení demonstrací nebo obdobný souhlas od odsouzených – jinak by jim hrozily pokuty. Očekává se, že zpočátku bude Úřad pro ochranu osobních údajů shovívavý.

Situaci kolem GDPR jistě nepomáhá ani fakt, že v českém překladu nařízení jsou chyby, na které upozorňuje Nulíček. Některé chyby jsou i zásadní. V českém textu například dochází v jednom místě k zaměnění slova "a" se slovem "až". 

Nulíček se snažil vyvracet i mýty kolem GDPR. Po internetu se šíří například mýtus, že školy nebudou smět zveřejňovat fotky žáků nebo je budou muset začerňovat. Konkrétně na toto už reagovala i Evropská komise, která podobné obavy odmítá.

Zavádění GDPR se snaží využít i řada podvodníků. Nařízení zneužívají některé firmy, jež lékařům prodávají služby spojené s GDPR, které ale nepotřebují. Podle nedávných průzkumů na GDPR nejsou připraveny dvě třetiny českých e-shopů a pětina firem ani neví, že od pátku nařízení začíná platit.

Podle Nulíčka je současný zmatek kolem GDPR dán i tím, že většina společností stávající pravidla hry nedodržovala a otázku ochrany osobních údajů začíná řešit až teď pod hrozbou relativně vyšších sankcí.

Na dotazy čtenářů na téma GDPR odpovídal právník Michal Nulíček ze společnosti Rowan Legal.

Online rozhovor

  Obnovit
Čtenářský dotaz
Dobrý den, jsem daňový poradce, zpracovávám přiznání k dani z příjmů fyzických osob. Smlouvu jsem uzavřela se společností, přiznání zpracovávám pro jejich zaměstnance (jde o benefit zaměstnanci). Data získávám přímo od zaměstnanců, společnost o nich informace nemá (neb jde o jejich soukromá data - ostatní příjmy). Jsem v pozici správce, nebo zpracovatele? Děkuji
Michal Nulíček
Dobrý den, daňový poradce se typicky nachází v pozici správce, a nemusí proto uzavírat zpracovatelskou doložku. To, že získáváte data přímo od zaměstnanců, na této pozici nic nemění.
Čtenářský dotaz
Dobrý den. Půjdu si žádat o úvěr a poskytovateli půjčky podepíšu souhlas se zpracováním osobních údajů. Požádám jej, aby si informace o zaměstnání ověřil přímo u mého zaměstnavatele telefonicky (pro rychlost vyřízení). Jenže zaměstnavatel toto sdělit odmítá, protože se bojí porušení zákona. Tato situace nastala ještě před platností nového zákona a personalistka je vystrašená při každém zazvonění telefonu. Opravdu nesmí zaměstnavatel sdělit údaje třetí osobě, když jsem s tím souhlasil? Děkuji.
Michal Nulíček
Dobrý den, obezřetný přístup v tomto případě je namístě. Banka by měla zaměstnavateli prokázat, že jste souhlas s poskytnutím informací udělil.
Čtenářský dotaz
Dobrý den, musí zákazník, který je zásobovačem firmy a přinese objednávku na pracovní obuv, pro celou firmu doložit prodávajícímu souhlasy všech dotčených pracovníků na seznamu, který obsahuje jejich jména a velikosti ? Musím já, jakožto prodávající, tento souhlas vyžadovat? Tato data nikomu dále neposkytuji, jsou jen pro mé účely. Jaká je skartovací lhůta takové objednávky. Děkuji F. Housa
Michal Nulíček
Dobrý den, jakožto prodávající pouze plníte smlouvu se zákazníkem a souhlas dotčených pracovníků nepotřebujete. Skartovací lhůta je v tomto případě stanovena obecnými účetními předpisy.
Čtenářský dotaz
Dobrý den, může zaměstnavatel archivovat výpis z rejstříku trestů, který vyžaduje po zaměstnanci při nástupu do zaměstnání? A co doklad o dosaženém vzdělání - maturitní vysvědčení či vysokoškolský diplom? Děkuji.
Michal Nulíček
Dobrý den, zaměstnavatel může výpis z rejstříku trestů vyžadovat, jen pokud je to relevantní pro danou pozici. Výpisy z rejstříku trestů by neměly být vyžadovány plošně. Pokud jde o archivaci těchto výpisů, je třeba je uchovávat minimálně po dobu trvání pracovněprávního vztahu a případně i po jeho skončení, pokud je to stanoveno právními předpisy. Obdobně se archivační lhůta uplatní i na maturitní vysvědčení a vysokoškolský diplom.
Čtenářský dotaz
Je ve věcné působnosti GDPR oproti zákonu č. 101/2000 Sb., v pl. zn., rozdíl takový, že pro věcnou působnost GDPR není rozhodující to, zda se osobní údaje dostanou ke správci nahodile, tj. náhodně, nýbrž to, zda osobní údaje budou dále zpracovány do nějaké evidence (což je vlastně také systematická činnost)?
Michal Nulíček
Dobrý den, jakkoliv prvek systematičnosti není výslovně uveden v definici zpracování obsažené v GDPR, dle aktuálních výkladů se na zcela nahodilé zpracování nové nařízení nevztahuje.
Čtenářský dotaz
Dobrý den, jak se vztahuje GDPR na porodnice? V r 2012 jsem při příjmu do porodnice seděla v místnosti s 5 maminkami, všechny byly na monitorech a sestra se mě ptala na citlivé údaje: narození, vzdělání, adresa, atd. Když jsem se ohradila, že mi je to nepříjemné, řekla mi, e “všexhny maminky to tak dělají a já ksem první, kdo si stěžuje”.
Michal Nulíček
Dobrý den, GDPR se obecně na porodnice vztahuje i na jiná zdravotnická zařízení, ale tuto konkrétní situaci samozřejmě neupravuje. Přestože je v těchto případech diskrétní přístup namístě, může být limitován vnějšími okolnostmi.
Čtenářský dotaz
Dobrý den, je pravda, že e-mailová zpráva se zdravotními údaji musí být šifrovaná ? Již jsem dostal ze zdravotní pojišťovny upozornění, že citlivé informace o zdravotním stavu musí být přinejmenším opatřeny heslem. Děkuji
Michal Nulíček
Dobrý den, u zdravotních údajů je třeba dbát na jejich zvýšenou ochranu. Jedním ze způsobů zabezpečení tak může být i šifrovaná komunikace, ale GDPR konkrétní způsob zabezpečení přímo nestanoví.
Čtenářský dotaz
Dobrý den, na svych web stránkách často sdílím například video zachycující mou rodinu, zajimalo by mě zda by mě mohl někdo zažalovat kvůli tomu,ze se jeho tvář objeví v pozadí videa? Děkuji za objasnění.
Michal Nulíček
Dobrý den, teoreticky by vás taková osoba mohla zažalovat, obzvlášť v případě, že bude rozpoznatelný její obličej. Na takovou situaci se především uplatní úprava obsažená ve stávajícím občanském zákoníku.
Čtenářský dotaz
Dobrý den. Prosím o info, jak se promítne GDPR do pořádaných sportovních akcí. Děláme I velké akce pro 600 a vice účastníků. Z toho je I velká čast nezletilých, se kterými třeba ani nepřijedou rodiče, ale jen trenéři. Zakcí pořizujeme dokumentaci, vydáváme výsledky atd. Děkuji Jarda Novák
Michal Nulíček
Hezký den, GDPR má dopad i na sportovní akce. Nicméně pro vlastní účast a zveřejnění výsledků není třeba vyžadovat souhlas.
Čtenářský dotaz
Jestliže právní předpisy nesmí být retroaktivní, není důvod k panice, jestliže souhlas se zpracováním osobních údajů udělený v souladu se zákonem č. 101/2000 Sb. před účinností GDPR nesplňuje nároky GDPR, ale splňoval nároky zákona č. 101/2000 Sb. v době udělení souhlasu?
Michal Nulíček
Hezký den, pokud souhlas splňoval požadavky dle stávajícího zákona, není zde důvod k panice.
Čtenářský dotaz
Dobrý den, jak se prosím toto nařízení dotkne malé firmy, která pouze prodává a instaluje systém zákazníkovi na základě smlouvy o dílo+k tomu vyřizuje státní dotaci? Musí mít nějaké povolení od zákazníka na osobní údaje, které smlouva obsahuje, popřípadě které předává veřejné správě pro úspěšné vyřízení dotace? Musí i zaměstnanci při podpisu pracovní smlouvy podepisovat souhlas se zpracováním osobních údajů? Musí firma vyžadovat souhlas se zpracováním osobních údajů o dodavatelů? Děkuji Klára
Michal Nulíček
Dobrý den, v uvedených případech obecně není žádný zvláštní souhlas (povolení) třeba. Osobní údaje jsou zpracovávány proto, abyste mohla se svými zákazníky, zaměstnanci nebo dodavateli plnit uzavřené smlouvy. V oblasti HR se souhlas uplatní pouze ve výjimečných situacích.
Čtenářský dotaz
Vyzvala mě Česká pojišťovna k osobnímu podpisu nového souhlasu s užíváním mých osobních údajů (GDPR). Jsem povinna toto učinit? Co z eventuálního nepodepsani pro mne plyne? Děkuji
Michal Nulíček
Hezký den, z dotazu není zřejmé, k čemu se souhlas vztahuje. Pokud jde o souhlas pro účely marketingu, nemusíte jej udělit.
Čtenářský dotaz
Dobrý den, musím uzavřít s Českou poštou smlouvu, protože je zpracovatel OÚ, za které zodpovídám (posílám svým zákazníkům balíky)? Děkuji.
Michal Nulíček
Příjemné dopoledne, z mého pohledu Česká pošta typicky vystupuje v pozici správce, zpracovatelskou doložku tak není třeba uzavírat.
Čtenářský dotaz
Může třídní učitel na třídních schůzkách před všemi rodiči sdělovat známky všech žáků, nebo musí soukromě sdělit známky každému rodiči zvlášť, aby to ostatní neslyšeli.
Michal Nulíček
Dobrý den, považoval bych za vhodnější sdělovat známky každému rodiči zvlášť.
Čtenářský dotaz
Dobrý den, jak je to s fotkami na dětských akcích, například ve školkách a školách? Fotky se nyní dávají na zaheslované úložiště. Bude to možné i v budoucnu?
Michal Nulíček
Dobrý den, obecně ukládání fotek na zaheslované úložiště možné bude, pokud k fotkám bude mít přístup pouze omezený okruh osob.
Čtenářský dotaz
Týká se GDPR i kamerových systémů? Zpřísňují se pravidla pro bezpečnostních kamer bez a se záznamem? Je možné provozovat po síti veřejně přístupnou webkameru veřejného místa?
Michal Nulíček
Dobrý den, GDPR se samozřejmě kamerových systémů dotýká a pravidla jejich provozování se významně nezpřísňují. Provozování veřejně přístupné webkamery, která zachycuje veřejná místa v zásadě možné je, je však nutné zabezpečit, že konkrétní osoby nebudou rozpoznatelné (např. snížením kvality streamu).
Čtenářský dotaz
Může si naše personální oddělení uchovat životopisy lidí, kteří se přihlásili, ale neuspěli ve výběrku na pracovní pozici? Pro případ potřeby zaměstnanců v budoucnu?
Michal Nulíček
Dobrý den, uchování životopisů po skončení výběrového řízení je možné pouze se souhlasem uchazečů.
Čtenářský dotaz
Na veřejných akcích pro občany vytváříme audio a video dokumentaci události. Na začátku nahlas upozorníme občany, že se pořizuje záznam a že komu to vadí, ať řekne. Bude to nyní jinak?
Michal Nulíček
Dobrý den, takový postup lze podle mého názoru považovat za udělení konkludentního souhlasu podle občanského zákoníku.
Čtenářský dotaz
Pokud si mě najme klient jako kameramana, abych mu natočil např. firemní akci, benefiční koncert neziskovky, vystoupení dětí taneční školy, nebo vánoční akademii ZŠ... V jakém případě musím řešit souhlasy účinkujících i diváků s natáčením a zveřejněním? Musím to řešit já jako kameraman, nebo zadavatel? A co když bude na jevišti mezi účinkujícími jeden člověk, který nebude chtit být natočen? A co když někdo dodatečně vysloví žádost o vymazání z videozáznamu? To by bylo velmi obtížné a drahé
Michal Nulíček
Hezký den, informování osob o tom, že na akci probíhá natáčení, by měl primárně zajistit zadavatel. Souhlas dle GDPR ve většině případů nebude potřeba, postačí svolení dle občanského zákoníku, které udělují účastníci svým vstupem na akci. Vždy však záleží na dalším využití pořízeného záznamu.
Čtenářský dotaz
Jak je to v případě občanských spolků (pořádání debat s hosty, vzdělávacích akcí, happeningů apod.), které pracují například s mailovými adresami zájemců o newsletter?
Michal Nulíček
Dobrý den, pro zasílání newsletteru je nezbytné od zájemců získat souhlas. Tento požadavek se uplatní i v případě občanských spolků.
Čtenářský dotaz
Dobrý den . Jak je to s nošením různých vizitek ve firmách a podnicích. Potkávají mě cizí lidé a já musím mít na obleku vizitku s moji fotografií a jménem a příjmením, i když s tím nesouhlasím. Co proti tomu mohu dělat ? Neexistuje přece podle mě žádný zákon, který by mě nařizoval takhle veřejně a trvale vystavovat svoje osobní údaje. Co si to zaměstnavatel vůbec dovoluje ? Děkuji za odpověď
Michal Nulíček
Dobrý den, odpověď záleží na tom, jakou pozici zastáváte a v jaké společnosti pracujete. Dokážu si představit, že takový požadavek může být v některých případech ze strany zaměstnavatele přiměřený.
Čtenářský dotaz
Dobrý den, můžete potvrdit, zda je třeba vést písemné záznamy o telefonickém kontaktování zákazníka ? (jeho souhlas se zpracováním údajů pro marketingové účely byl udělen)
Michal Nulíček
Dobrý den, máte-li na mysli záznamy o činnostech zpracování, tak ty by měly zahrnovat i účel takového zpracování.
Čtenářský dotaz
Dobrý den, v čl. 14 odst. 5 GDPR je uvedeno, že se odstavce 1 a 4 nepoužijí, přičemž v jiných jazykových verzích (ENG,GER) je uvedeno, že se odstavce 1 až 4 nepoužijí. Nejedná se o chybu v českém znění? Děkuji
Michal Nulíček
Dobrý den, máte pravdu! Jedná se o jednu z několika chyb v českém překladu nařízení.
Čtenářský dotaz
Hezký den, jsme kulturní instituce, která zve na premiéry a společenské akce VIP hosty (politici, umělci, manažeři vybraní dle strategie vedení ). Je nutné, si vyžádat jejich souhlas, zda je smíme jako čestné hosty zvát? Děkuji pěkně za odpověď. TD
Michal Nulíček
Hezký den, pokud se jedná o veřejně známé osoby, jejichž kontaktní údaje jsou běžně dostupné, nebo se jedná o osoby, se kterými jste byli v předchozím kontaktu nebo vztahu, není nezbytné získat souhlas. Je však nutné tyto osoby informovat o zpracování jejich údajů.
Čtenářský dotaz
Dobrý den, učím na střední škole, nedávné školení nám bohužel neposkytlo mnoho informací. Co podstatného by měl vědět učitel z hlediska GDPR a na co si dát převážně pozor? Je možné známku za zkoušení říct žákovi před třídou, pokud s tím souhlasí nebo je nutné před tím mít písemný souhlas, že je možné známku říct nahlas.
Michal Nulíček
Dobrý den, k tomu, abyste žákovi mohla sdělit jeho známku ze zkoušení, nepotřebuje jeho písemný souhlas. I ve školství je nutné dbát na hlavní zásady GDPR jako je například vyžadování osobních údajů jen v rozsahu nezbytném pro daný účel nebo nesdělování osobních údajů neoprávněným osobám.
Čtenářský dotaz
Proč je kolem GDPR takový humbuk? Vždyť se pro drtivou většinu lidí nic moc nemění. A firmy, které dodržovaly pravidla doposud, mohou být v klidu. Možná jen ty velké budou mít práci. Já si náhodou užívám fakt, že se mi protřídí newslettery a můžu na různých webech zakázat sbírání dat o mé osobě. Za to rozhodně plus.
Michal Nulíček
Dobrý den, plně s Vámi souhlasím. Některé společnosti však stávající pravidla hry nedodržovaly, proto s příchodem vyšších sankcí vyvíjí větší úsilí ve vztahu k ochraně osobních údajů.
Související