Sloupek Kateřiny Lhotské: GDPR? Rozum do hrsti


			Sloupek Kateřiny Lhotské: GDPR? Rozum do hrsti

Představte si, že vás kamarád Adam požádá o telefonní číslo vaší kamarádky Evy. Zeptáte se jí, jestli by jí nevadilo Adamovi číslo dát, a když svolí, tak to uděláte. Po čase si Eva pořídí nové číslo a oznámí vám to. A vy ho budete muset automaticky předat Adamovi. Připadá vám tato povinnost na hlavu padlá? V pořádku. Ona totiž taky padlá na hlavu je. Ovšem přesto, nebo právě proto, obsahuje něco podobného nařízení GDPR.

To samozřejmě neřeší předávání telefonních čísel mezi kamarády, ale jde o ochranu osobních údajů proti neoprávněnému zacházení v případě, když je třeba jako zákazník, nebo zaměstnanec někomu svěříte. Tedy záležitost, která je nepochybně potřebná, což ocení každý, kdo je opakovaně obtěžován „úžasnými“ nabídkami na cokoliv, a přitom si láme hlavu s tím, kde sakra vzali zase jeho telefonní číslo. Ale nic se nemá přehánět, ani péče o ochranu osobních údajů.

Když si člověk přečte základní teze příslušného evropského nařízení, tak v tom zase žádnou velkou vědu nevidí. Vypadá to jako něco, co má firmy donutit k tomu, aby si nechali především od zákazníků posvětit, že smějí jejich osobní údaje zpracovávat. A když tento souhlas nemají a nemají žádný jiný důvod s údaji nakládat, tak je musí smazat. Někdo může namítnou, že zpracovávat údaje bez souhlasu se nesmí už dnes, tak proč dělat z GDPR vědu. To je pravda, ale jak už to bývá, ďábel se skrývá v maličkostech.


Mohlo by vás zajímat: INSIA představuje: IGNÁC nový systém pro autopojištění


Pokud někdo zpracovává osobní údaje zákazníků jen pro „svou potřebu“, tak se pro něj zdánlivě zase až tak moc nemění. Tedy kromě toho, že musí být připraven naplnit jejich nová práva z GDPR vyplývající. Další potíž je v tom, že si bude muset znovu sehnat souhlasy zákazníků, pokud mu toto oprávnění údaje zpracovávat nevyplývá třeba z toho, že s ním má sjednanou nějakou smlouvu, pro jejíž plnění údaje potřebuje.

Znovuzískání souhlasů nemusí být vždy triviální. Jak to bude prakticky probíhat, zatím nikdo pořádně neví (jak taky jinak) a jisté je jen to, že se nebude moci použít metoda „pasivního souhlasu“. Tedy situace podobná té z přelomu let 2014 a 2015, kdy se měnil daňový zákon a klienti pojišťoven museli aktivně odsouhlasit změnu pojistných podmínek (do „pasivních souhlasů“ tenkrát hodila vidle ČNB). Nutnost získat souhlas aktivně se sice může na první pohled zdát jako vhodná záminka pro oslovení zákazníka s nadějí, že se při tom třeba něco okotí. Ale buďme realisté. Vše bude nutné stihnout v kvapíkovém tempu a na nějaké dlouhé povídání přitom nejspíš nebude čas. Takže se neokotí nic.

Komplikovanější situace nastává v případě, že osobní údaje svých zákazníků bude jejich správce předávat nějaké třetí osobě jako příjemci, třeba pro marketingové využití. Autoři GDPR totiž v tomto případě vymysleli na správce údajů pořádný bič, kvůli kterému se snad ani nikomu nic předávat nevyplatí. Musí totiž příjemce informovat nejen třeba o tom, že daný člověk souhlas se zpracováním odvolal, ale i o každé změně v jeho údajích, které byly v minulosti příjemci předány.


Mohlo by vás zajímat: Video: Srážka s jelenem, jelenem, jelenem…


Pokud byste tedy jako správce někomu legálně předali třeba telefonní číslo zákazníka a ten později ohlásil změnu, tak musíte o této změně informovat i všechny, kdo od vás toto číslo v minulosti dostali. Důsledek je jasný. Buď se bude tato povinnost obcházet, nebo bude třeba pro její splnění vybudovat a udržovat poměrně složitý, a tedy i drahý šelmostroj. Onen zákazník z toho taky asi nebude štěstím bez sebe. Pokud dal v minulosti souhlas třeba s tím, že může být jeho telefonní číslo použito pro telemarketing, nemá šanci se marketingových telefonátů zbavit ani když bude svoje číslo měnit. Což je situace jak z bláznivé komedie. Jedinou šancí, jak se z tohoto bludného kruhu může dostat, je odvolat onen souhlas. Ale kolik lidí si uvědomí, že může takto postupovat.

V případě GDPR se tak opakuje příběh, který jsme zažili již nesčetněkrát při implementaci jakékoliv jiné legislativy. Spousta výkladů, majících společné pouze to, že jsou většinou vedle, protože až praxe ukáže, jak co nejlépe naložit s výše zmiňovanými nebo i jinými „špeky“. A právě zkušenosti z minulých implementací by nám měly dát vodítko, jak postupovat i v tomto případě. Nepřepálit začátek, implementovat jen to nezbytné a zřejmé a postupně přidávat to, co se ukáže jako užitečné. Zkrátka zachovat klid a rozvahu a vzít rozum do hrsti…

Kateřina Lhotská

vedoucí oddělení analýz a finančních produktů, Creasoft s.r.o.

člen Finanční akademie Zlaté koruny

 

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Upozornění

Jakub Horák ,  11. 12. 2017

Dobrý den,

vzhledem k tomu, že problematice rozumím a to i současné legislativě (tedy ne pouze GDPR), tak bych Vás chtěl upozornit za 1. že v polovině článku šíříte poplašnou zprávu, která má s realitou málo co společného a za 2. GDPR se zas tak velmi od naší současné legislativy. Tím čemu se ve článku divíte poukazujete pouze na to, že současné legislativě taky nerozumíte. Pokud chcete vidět jak funguje přísnější systém než GDPR, stačí se podívat pouze do Německa. Kupodivu to také funguje, nikdo z toho není pološílený, jak vy usuzujete že každý bude po příchodu GDPR. To že Vám tyto poplašné, bulváru podobné články přináší čtenáře chápu, ale tohle je za čárou fabulace.

Autorce bych doporučil profesionální přístup a delší čas strávený studiem problematiky.

Děkuji.

RSS