Zprávy

Co přinesly tři roky s GDPR

Pravidla pro zpracování osobních údajů byla přesně před třemi roky změněna evropským obecným nařízením. dTest se tak podíval na otevřené otázky v oblasti zpracování osobních údajů z pozice běžného spotřebitele.

Pravidla pro zpracování osobních údajů byla přesně před třemi roky změněna evropským obecným nařízením o ochraně osobních údajů, známým pod zkratkou GDPR. Mnozí podnikatelé vyvinuli značné úsilí ke splnění nově upravených povinností, ale spotřebitelé si často rozsah svých práv a cenu vlastních osobních údajů nadále dostatečně neuvědomují.

Čtete podmínky pro ochranu soukromí, když na vás při otevření webové stránky vyskočí? Pokud ano, jste výraznou menšinou mezi spotřebiteli. Podle zjištění vyplývajícího ze vzorku účastníků školení Consumer PRO – digitální práva spotřebitelů, které dTest organizuje pro odborníky v oblasti ochrany spotřebitelských práv, uživatelé čtou podmínky z vyskakovacích lišt spíše jen výjimečně. Zjistili totiž, že nejsou schopni efektivně naložit s informacemi, které jim provozovatelé webových stránek nabízejí, případně pokud si z podmínek provozovatele vyberou omezenou variantu zpracování osobních údajů nebo využívání cookies, jsou pak stále obtěžováni vyskakovací lištou. A to tak dlouho, dokud nepodlehnou a podmínky neodsouhlasí jako celek.

Stejně jako s podmínkami pro využívání cookies nakládají spotřebitelé i s podmínkami pro zpracování osobních údajů. Typicky se to děje u aplikací, které jsou nezbytné pro smysluplné používání chytrých telefonů. „Spotřebitelé by neměli odsouhlasovat nic, čemu nerozumí. Ovšem ne každý spotřebitel má možnosti, čas a chuť tyto podmínky číst a zamýšlet se nad nimi. Proto je stále podstatná role informovaných spotřebitelů a spotřebitelských organizací při kontrolách podmínek jednotlivých provozovatelů,“ uvádí Eduarda Hekšová, ředitelka spotřebitelské organizace dTest.

A dodává: „Odkázat lze na dlouholetou aktivitu Maxe Schremse, rakouského právníka, který se proslavil svým sporem s Facebookem a irským dozorovým úřadem. Stejně tak lze zmínit aktivity dTestu při jeho stížnostech směřujících na společnost Google či sociální síť TikTok.“

Stížnost dTestu na společnost Google ukazuje jednu ze slabin jinak robustního a přínosného obecného nařízení o ochraně osobních údajů. Tato stížnost spočívala ve zjištěních z roku 2018, podle kterých Google manipuloval uživatele k předávání a ukládání dat o své poloze, aniž by je adekvátně informoval o jejich využití. Zatímco dTest podal stížnost v zastoupení českého spotřebitele u českého dozorového orgánu, kterým byl Úřad pro ochranu osobních údajů, byla tato stížnost v souladu s GDPR předána k vedení řízení takzvanému vedoucímu dozorovému úřadu, kterým podle sídla společnosti Google byla irská Komise pro ochranu dat (Data Protection Commission, DPC). Ta pak z obdržených stížností spotřebitelů vytvořila „podnět“, který vyšetřuje v jiném právním režimu, než by činila u stížnosti. Do současné doby je stížnost u DPC v řízení. To ukazuje, že mechanismus spolupráce dozorových orgánů z jednotlivých členských států Evropské unie je velmi nedokonalý a nevede k cíli, který by spotřebitelé právem očekávali.

„Pro evropské spotřebitele je smutným zjištěním, že v obdobné věci, kterou velmi dlouhou dobu řeší irský dozorový úřad, už v Austrálii stihnul příslušný úřad rozhodnout a toto rozhodnutí dokonce prošlo i soudním přezkumem. Rozhodnutí australských úřadů potvrdilo, co jsme o sbírání lokalizačních údajů ze strany společnosti Google uvedli v naší stížnosti,“ konstatuje Eduarda Hekšová.

Tři roky od účinnosti GDPR je tedy svět ochrany osobních údajů pro spotřebitele příznivější, ale složitost podmínek zpracování osobních údajů nejen u velkých provozovatelů, především u sociálních sítí, běžnému spotřebiteli fakticky brání v jejich pochopení. Navíc spolupráce dozorových orgánů z jednotlivých členských států Evropské unie nedosahuje úrovně, která by umožňovala spravedlivě a rychle řešit stížnosti spotřebitelů.

Copilot webinář Zažijte budoucnost práce