Pozor na osobní údaje, mohou vás zničit!

Už za necelý půlrok nabude v Evropě účinnosti nařízení, které radikálně změní oblast ochrany osobních údajů. I vy musíte své obchodní a další aktivity přizpůsobit novým pravidlům, pokud nechcete riskovat konec svého podnikání. Potenciální sankce by mohly zlomit vaz i některým nadnárodním gigantům.

Nejpozději k 25. květnu příštího roku bude muset být váš byznys v souladu s pravidly evropského nařízení o ochraně osobních údajů, které je známé pod zkratkou GDPR. To v tuzemských podmínkách nahradí dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů. Nové nařízení reaguje na technologické změny či vývoj v oblasti přeshraničního obchodu, a výrazně posiluje práva subjektů osobních údajů. Těmi jsou nejčastěji zákazníci (klienti cestovních kanceláří a agentur, hoteloví hosté, pasažéři leteckých společností apod.), ale mohou jimi být i vaši zaměstnanci či obchodní partneři. Tedy kdokoli, jehož osobní data sbíráte a zpracováváte (ať už v roli správce, či zpracovatele).

 

Co se změní pro vás a co pro klienty?

Pro vás jakožto správce a/či zpracovatele osobních údajů přináší nařízení GDPR řadu změn, byť samotný princip ochrany osobních dat se v zásadě nemění. Změnám, které vás čekají, jsme se podrobněji věnovali již v letošním zářijovém vydání a nemá tedy smysl je znovu rozpitvávat. Připomeňme však alespoň tu, kterou považujeme z hlediska vašeho podnikání za nejpodstatnější – týká se získávání souhlasu subjektů osobních údajů se sběrem a zpracováním těchto osobních dat. Souhlas bude nově muset být získán separátně a navíc pro konkrétní účel. Už tedy nebude jako dosud stačit, že klient například na přihlášce na zájezd nebo na registrační kartě v hotelu podepíše drobným fontem vysázenou formulaci o tom, že souhlasí s tím, aby daná cestovní kancelář či daný hotel používaly jeho osobní údaje pro marketingové účely. Účel, za jakým jsou osobní údaje sbírány a zpracovávány, bude muset být pokud možno co nejpřesněji specifikován. Už proto, že se tím snižuje pravděpodobnost pozdějšího odvolání souhlasu klientem a jeho požadavku na vymazání z dané databáze. Souhlasem se sběrem a zpracováním osobních údajů navíc nebudete smět podmiňovat poskytnutí služby, pro kterou zpracování osobních údajů není nezbytné.

 O problematice GDPR se diskutovalo na říjnové COTakhle snídani

O problematice GDPR se diskutovalo na říjnové COTakhle snídani

Ať už jste hotel, nebo třeba cestovní kancelář, pro vaše zákazníky se toho s příchodem GDPR mnoho nemění. Alespoň na první pohled. I nadále vám budou muset pro účely rezervace poskytnout své osobní údaje typu jména a příjmení, adresy trvalého bydliště apod. Budou však mít větší kontrolu nad tím, jak vy jako správci či zpracovatelé osobních údajů s uvedenými osobními daty zacházíte. „Pokud budete chtít s těmito osobními údaji nakládat nad rámec zákonných povinností, tedy v oblasti marketingu či věrnostních programů, bude situace oproti stávajícímu stavu poněkud komplikovanější,“ upozornil například hoteliéry na nedávné COTakhle snídani k problematice GDPR Filip Kühnel ze společnosti HOTELTIME SOLUTIONS a vysvětlil: „Už nebude stačit jeden malý přidaný řádek na registrační kartě, jehož podpisem by host souhlasil se zpracováním svých osobních údajů pro marketingové účely. Pro účely věrnostních programů a podobných aktivit bude muset host udělit souhlas separátně.“ Obdobně je tomu i u klientů cestovních kanceláří a agentur či jiných společností. A co víc, souhlasy, které jste získali dříve a způsobem, který není v souladu s GDPR, budete muset získat znovu. To může být problematické zejména u věrnostních programů, newsletterů a dalších marketingových nástrojů postavených na využití osobních dat. Na COTakhle snídani v této souvislosti padl dotaz, zda je dostatečným řešením obeslání klientů s upozorněním, že začínají platit nová pravidla pro ochranu osobních údajů a že se mají z programu odhlásit, pokud jim nové řešení nevyhovuje. Podle Jána Bači z PwC to ale neodpovídá principu jednoznačného souhlasu se zpracováním údajů, který GDPR vyžaduje. Nabízí se paralela s internetovými cookies (které jsou mimochodem podle nařízení GDPR rovněž osobním údajem) – u těch již také nebude stačit, že uživatel po upozornění na fakt, že stránka sbírá cookies, na daném webu setrvá, ale musí aktivně zatržením políčka ve webovém formuláři použití tohoto identifikátoru povolit.

Osobní údaj? Záleží na kontextu

Nařízení GDPR kromě jiného definuje, co může být považováno za osobní údaj. „V principu každá informace, která se týká identifikované či identifikovatelné fyzické osoby,“ shrnuje Zuzana Dubská z PwC. Vedle obvyklých identifikátorů (mimo jiné i rodná čísla, či za určitých okolností IP adresy a cookies) jde o prvky kulturní, fyziologické či sociologické identity člověka. Za osobní údaj se může považovat třeba i „like“, kterým člověk ohodnotí příspěvek na sociální síti. Stejně tak mohou být osobními údaji i zvyky či osobní preference subjektů osobních údajů. Vždy záleží na kontextu a na ostatních informacích, které lze vzájemně spojit. „Například informace ‚muž v hokejovém dresu‘ nemusí být sama o sobě osobním údajem, zvlášť pokud se bude jednat o zimní stadion, kde budou mužů v hokejových dresech tisíce. Přijdete-li ale do kostela, kde bude sedět jeden jediný muž v hokejovém dresu, automaticky můžete identifikovat danou fyzickou osobu a může se tedy jednat o osobní údaj,“ vysvětlil Ján Bača.

Ze sankcí zatrne

Jak už jsme uvedli v předchozím článku na téma GDPR, jedna z výrazných změn, které GDPR přináší, se týká výše sankcí. Ty mohou v obzvlášť významných případech úniků a zneužití osobních dat dosáhnout až výše 20 milionů eur, resp. 4 procent celosvětového obratu firmy či skupiny firem. Jen pro dokreslení – doposud byla v tuzemsku maximální výše pokuty stanovena na 10 milionů korun, což pro některé nadnárodní firmy představovalo zanedbatelnou částku, s kterou mohly počítat v rámci opravných položek.

 
Rozlišovat je třeba i tzv. zvláštní kategorie osobních údajů. Tedy informace, které se vážou ke zdravotnímu stavu člověka, k jeho sexuální orientaci, náboženskému vyznání, příslušnosti k odborům apod. „To se může týkat například lázeňských hotelů, které některé citlivé osobní údaje svých hostů sbírají,“ vysvětluje Bača. Jedná se také o genetické a biometrické údaje. Tyto „citlivé“ osobní údaje požívají ještě vyšší míry ochrany než údaje obecné. V této souvislosti ale není bez zajímavosti, že například fakt, že zákazník letecké společnosti požaduje košer jídlo, není osobním údajem zvláštní kategorie. Neříká totiž explicitně nic o náboženském vyznání daného pasažéra. Alespoň k takovému závěru došla pracovní skupina společnosti Amadeus, která se posuzováním vlivů GDPR na aktivity a produkty této technologické a softwarové firmy zabývá.

S jednotlivými kategoriemi osobních údajů se pojí různá rizika. „Pokud uniknou informace o tom, že daný člověk olajkoval nějaký příspěvek na Facebooku, nebude to samozřejmě tak závažné, jako v případě, kdy by se únik týkal zdravotního stavu daného člověka,“ vysvětlil Bača.

Budou se měnit smlouvy se zákazníky?

„Počítáme, že určité dodatky ke smlouvám se stávajícími klienty budeme muset uzavřít, nicméně je to stejné jako s EET, kdy nám do poslední chvíle volali s řadou žádostí o konzultace metodici z ministerstva financí,“ takto na otázku z mezititulku odpověděl Filip Kühnel z HOTELTIME SOLUTIONS. Podstatné podle jeho slov je, v jaké podobě se nařízení promítne do tuzemské legislativy – a legislativní proces ještě nebyl v době uzávěrky tohoto vydání uzavřen. „Známe samozřejmě řadu dílčích kroků, které budeme muset všichni aplikovat, ale řada otázek je stále ještě nedořešených,“ uvedl Kühnel. Obecně pak k problematice dodal, že úprav bude v souvislosti s GDPR jistě mnoho, nicméně s ohledem na to, že HOTELTIME SOLUTIONS spoléhá na cloudové řešení, jeho uživatelé se prakticky o nic nemusejí starat. Naopak ti hoteliéři, kteří data uchovávají ve svých vlastních počítačích, mají podle Kühnela větší problém, než jsou vůbec ochotni si připustit – jsou to totiž oni, kdo musí zajistit, aby se k datům nedostala nepovolaná osoba a nedošlo tak k úniku osobních údajů. „Cloud má své nesporné výhody, rozhodně to ale neznamená, že se uložením dat do něj vzdáváte odpovědnosti,“ upozornil Ján Bača. „Primární odpovědnost bude vždy na správci, který by měl vybrat pouze takového zpracovatele, jenž poskytuje záruky toho, že přijal technická a organizační opatření v souladu s GDPR,“ dodal.

I vlas na polštáři může nést osobní údaje

Jednoznačným identifikátorem člověka je i jeho DNA. Čistě teoreticky se tak nositelem osobních údajů může stát i vlas, který host zanechal na polštáři v hotelovém pokoji. Prakticky ale bude záležet na konkrétních okolnostech. Pokojská zřejmě nebude tyto a další nosiče DNA sbírat s cílem sledovat genetickou historii hotelových hostů a GDPR se na tento případ vztahovat nebude. Jiná situace by byla v případě lékařské kliniky, která by vzorky DNA používala ke zkoumání zdravotního stavu pacientů.

 
Rovněž cestovní kanceláře a agentury mohou nejspíš od svých poskytovatelů rezervačních a prodejních očekávat dodatky ke smlouvám. To na snídani naznačil Martin Krčmář z AnChoice, který ochranu osobních dat zákazníků partnerských firem označil za prioritu. Podobně jako HOTEL­TIME SOLUTIONS i AnChoice uchovává data v maximálně zabezpečeném cloudu. Spolu s dodatkem ke smlouvě prý klienti této firmy mohou očekávat i deklaraci o tom, jakým způsobem jsou data chráněna – to pro případ kontroly.

Poněkud jiná je zřejmě situace u českých a slovenských zákazníků společnosti Amadeus, kteří používají stejnojmenný rezervační systém – zde nebudou dodatky ke smlouvám podle ředitele tuzemského zastoupení společnosti Amadeus Jana Bartáka nutné, byť i zde se pracuje s osobními daty. V každém případě se ale uživatelům produktů Amadeus dostane konzultací, jak systém nastavit, aby bylo řešení v naprostém souladu s GDPR. „Aktualizaci smluvních dodatků s providery, tj. leteckými společnostmi a ostatními dodavateli, řeší naši kolegové v centrále, české zastoupení do těchto smluvních vztahů přímo nezasahuje,“ naznačil Barták. Mimochodem – i Amadeus v nedávné minulosti migroval data z IBM platformy do bezpečného open-source cloudu, což mimo jiné umožňuje snadnější integraci konkurenceschopného obsahu nových dodavatelů do systému.

Čeká se na výkladové stanovisko

Jak už bylo uvedeno, řada věcí týkajících se GDPR ještě není ujasněná (a to nejen u nás, ale napříč Evropou). To vedle ­COTakhle snídaně potvrdila i debata na podobné téma, která proběhla v rámci listopadového kongresu ICCA v Praze. Český ÚOOÚ již dnes publikuje stanoviska a výklady k některým sporným otázkám GDPR. Zuzana Dubská z PwC účastníkům diskusní snídaně doporučila sledovat také stanoviska pracovní skupiny WP29 a informace publikované jinými evropskými dohledovými orgány. Výhodu podle ní mají ti, kdo při implementaci GDPR spolupracují s nadnárodními poradenskými společnostmi – tyto společnosti by díky svému mezinárodnímu zázemí měly mít přístup k aktuálním informacím.

Foto: Shutterstock.com

foto
Petr Manuel UlrychC.O.T. media
šéfredaktor časopisu COT a portálu iCOT.cz
petr.ulrych@cot.cz
 

Nejnovější články z rubriky Doprava

Foto: JCCR

EuroVelo 13 / Stezka železné opony: průvodce po českých úsecích

EuroVelo 13 po Česku: 800 km podél bývalé hranice. Šumava, jižní Morava, značení i tipy na etapy pro cykloturisty.

Číst více

Brdy na kole: kompletní průvodce cyklotrasami v CHKO 2026

Kam v Brdech na kole, kde parkovat a co je zakázané. Praktický přehled cyklotras, okruhů a pravidel v CHKO Brdy pro rok 2026.

Číst více
Spencer Davis

Vlakem k Jadranu 2026: noční spoj Vídeň–Split i přímé vlaky z Česka

Jak se dostat vlakem k moři do Chorvatska v roce 2026: noční Nightjet Vídeň–Split, Adriatic Express z Ostravy a ceny lůžek.

Číst více