Robinsoni v moři reklamy?
Novela zákona o ochraně osobních údajů přináší určité změny do způsobu nakládání s osobními údaji - mj. rozšiřuje okruh subjektů, které nepodléhají registraci u Úřadu, a připouští i možnost prodeje osobních údajů pro potřeby direct marketingu. Pamatuje dokonce i na zvláštní sortu lidí, které poslanci považují za novodobé Robinsony.O novele zákona o ochraně osobních údajů (zákona č. 101/2000 Sb.), kterou minulý týden schválila Poslanecká sněmovna, jsem psal již včera (zde na Lupě), v souvislosti s elektronickými podpisy. To proto, že Úřad pro ochranu osobních údajů (ÚOOÚ) získal kompetence i pro oblast elektronických podpisů, a novela i zde řeší určité konkrétní problémy. Dnes bych se rád zastavil u samotné problematiky ochrany osobních údajů, protože novela je dosti rozsáhlá a kromě elektronických podpisů řeší i mnohé další aspekty, které se týkají právě ochrany osobních údajů a také si vyžádaly změnu zákonné úpravy (nebo alespoň poslanci usoudili, že by se něco mělo změnit).
Do kdy?
Dnes platný zákon o ochraně osobních údajů ukládá všem správcům kteří shromažďují osobní data povinnost zaregistrovat se u Úřadu do konce června tohoto roku. Na čtvrteční tiskovce ÚOOÚ zaznělo i několik konkrétních údajů: žádostí o registraci již bylo podáno 2713, kladně vyřízeno jich bylo 2021, odmítnuto jich bylo 35. Nikdo přitom přesně neví, kolik takto povinných subjektů u nás je, protože dosud neexistovala žádná jejich evidence (a stávající povinnost jejich registrace u ÚOOÚ je současně i cestou jak jejich počet zjistit). Představitelé ÚOOÚ odhadují počet povinných subjektů podstatně výše než kolik signalizuje dosavadní průběh registrací a vyjádřili určité obavy z toho, že mnozí správci o povinnosti registrace vůbec ani neví, nebo nechávají podání žádosti až na poslední chvíli, tj,. na konec května (lhůta pro získání registrace je do konce června, a úřad má 30 dní na vyřízení).
Je zde však ještě jedna možnost - někteří stávající správci (jak zákon definuje subjekty které zpracovávají osobní údaje) možná počítají s tím, že novela posune termín pro povinnou registraci a také změní okruh subjektů, kterých se tato povinnost týká. Obojí je pravda, ale bude vskutku zajímavé, kdy novela nabude účinnosti - zda ještě před posledním červnem, nebo až po něm. Také ale může dojít k tomu, že při dalším projednávání novely (v Senátu, a případně znovu v Poslanecké sněmovně, pokud by ji Senát vrátil zpět) dojde k nějaké změně.
Stávající podoba novely, tak jak prošla Poslaneckou sněmovnou ve 3. čtení, posouvá termín pro povinnou registraci u ÚOOÚ z konce června na 31. prosince 2001. Pamatuje také na eventuelní porušení povinností vyplývající ze zákona a dovoluje uložit pokutu až 10 milionů Kč, ale novela odkládá faktické ukládání pokut za nedodržení registrační povinnosti do konce roku 2002.
Kdo ano, a kdo ne?
Velmi významné je i zúžení okruhu subjektů, kterých se registrační povinnost týká. Podle novely by se tato povinnost nově nevztahovala na zpracování osobních údajů
"prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.".
Většina těchto subjektů je navíc vyjmuta i z povinnosti získat souhlas těch subjektů, o jejichž osobní data se jedná. Paragraf 5, bod 2 zákona o ochraně os. údajů totiž obecně říká, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů (tj. osob, o jejichž osobní údaje se jedná). Dále vyjmenovává výjimky z tohoto pravidla, a mezi ně se nově zařazuje i bod:
[Bez tohoto souhlasu je může zpracovávat] pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.
Povšimněte si ale dobře rozdílu mezi oběma ustanoveními: například občanské sdružení se nemusí registrovat u UOOU, pokud zpracovává osobní údaje svých členů a pro svou vlastní potřebu. Pokud ale stejné občanské sdružení bude chtít zpracovávat osobní údaje někoho jiného, například nějaké konkrétně vymezené cílové skupiny, a bude ustaveno za vhodně vymezeným účelem (aby šlo o "nezbytnost pro výkon oprávněné činnosti") , musí se sice zaregistrovat u ÚOOÚ, ale nebude potřebovat souhlas dotčených osob, resp. může sbírat jejich osobní data i přes jejich eventuelní nesouhlas. Něco takového bylo dosud vyhrazeno jen pro hodně speciální případy a pro takové evidence, které fungují na základě zákona (například různé centrální registry). Podle mého názoru se tímto novým ustanovením neúměrně oslabuje ochrana osobních dat, zvláště když občanské sdružení může založit v podstatě kdokoli, za téměř libovolným účelem. Například když vznikne nějaké "lobbystické" občanské sdružení bojující proti stavbě či projektu XY, bude moci zcela legálně a bez souhlasu dotčených osob shromažďovat a zpracovávat osobní údaje o všech, proti kterým chce "lobovat" (kteří sympatizují se zmíněnou stavbou či projektem)? Nebo si to vše vykládám špatně?
Oproštěni od povinností a omezení, vyplývajících ze zákona, budou podle novely také notáři, advokáti, patentoví zástupci či daňoví poradci, kterým vychází vstříc následující ustanovení novely:
Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti.
Novodobí Robinsoni
Velmi zajímavý je i způsob, jakým novela přistupuje k otázkám nakládání s osobními údaji pro potřeby direct marketingu (resp. za účelem nabízení obchodu a služeb). Dosud platná verze zákona řeší tuto problematiku následovně (par. 5, bod 6):
(6) Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.
To fakticky znamená legalizaci principu označovaného v oblasti spammingu jako OPT-OUT (spočívá v tom, že "útočník" má právo "zaútočit" jako první, a oběť má právo se následně bránit a požadovat zastavení útoků). O co korektnější by byl princip OPT-IN, na jehož základě by prvotní aktivita musela být na straně vlastníka osobních údajů, který by nejprve musel dát explicitní souhlas s využitím jeho osobních údajů. Ale nezoufejte, pokud novela projde, bude ještě hůře.
Stávající úprava v zásadě požaduje, aby si každý, kdo chce dělat nějaký direct marketing, shromažďoval potřebné údaje sám. Novela ovšem pamatuje i na možnost prodeje osobních údajů za účelem direct marketingu, následujícím ustanovením (které doplňuje par 5.):
(7) Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:
a. údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,
b. údaje budou využívány pouze za účelem nabízení obchodu a služeb,
c. subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.
(8) Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.
(9) Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.
(10) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů, přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.".
Podle tohoto ustanovení by tedy každý prvonabyvatel osobních údajů pro potřeby direct marketingu (či spíše "prvoshromažďovatel") měl nově právo nashromážděné osobní údaje prodávat (či jinak přenechávat), a to zřejmě neomezenému počtu dalších subjektů, kteří je mohou využít opět pro direct marketing (nabízení obchodu a služeb). Takže když vás třeba nějaký řetězec supermarketů naláká na různé slevy a akce, a vy mu na základě toho poskytnete své osobní údaje, může je on začít vesele prodávat dalším subjektům, které vás začnou zaplavovat horami svých nabídek, prospektů, letáků atd.
Nebo si snad nepřejete být zavalováni horami nabídek? Pak nezoufejte, protože i na vás mysleli naši milí poslanci, když novelu zákona připravovali. Za všechny citát z vystoupení poslance Marka Bendy při projednávání novely:
Dále jsme řešili některé další problémy, které souvisejí zejména s problematikou direct marketingu a vůbec možnosti provádět direct marketing a zejména vést tzv. seznam Robinsonů, tzn. lidí, kteří nemají v žádném případě zájem na tom, aby jim byly jakékoliv propagační materiály zasílány. A pokud by direct marketingové společnosti nemohly vést takové seznamy, tak by to samozřejmě vedlo k tomu, že budou opakovaně oslovovat lidi, kteří si v žádném případě nepřejí, aby byli oslovováni.
Pokud tedy patříte k té zvláštní sortě novodobých ztroskotanců, kteří si na rozdíl od řádných občanů dobrovolně vybrali život v izolaci od nejrůznějších nabídek, pak vás jistě zahřeje u srdce, že i na vaše problémy poslanci pamatovali - a dokonce pro vás zavedli i nové označení "Robinson". Nést náklady na nejrůznější reklamní akce sice tak jako tak musíte, skrze zvýšené ceny zahrnující náklady na marketing, ale pokud se chcete dobrovolně zbavit "přínosů" direct marketingu, máte šanci.
Jak ale bude vypadat praktické naplnění vašich práv? Zákon sice říká, že o prodeji vašich osobních dat musíte být informováni předem, ale už neříká zda tím rozumí před jejich získáním od vás či před jejich prodejem. A co vlastně znamená "být informován"? Nestačí ke splnění této povinnosti například zveřejnění nějaké větičky kdesi hluboko na WWW stránkách týden před zamýšleným prodejem? No a když dojde na věc, někdo vás začne bombardovat nějakými nabídkami a vy si to nebudete přát, jednoduše projevíte svůj nesouhlas! Určitě snadno zjistíte, o koho se jedná a komu máte adresovat svůj nesouhlas, protože přeci žádný správce ani zpracovatel vašich osobních údajů nezapomene přesně a jednoznačně identifikovat sám sebe, i když mu něco takového zákon vůbec neukládá! Určitě vám také rád a obratem sdělí, jakým způsobem vaše data získal, zda přímým sběrem či nákupem, abyste věděli komu poslat nesouhlas s prodejem vašich osobních dat, a tak mu zabránili v dalším prodeji a současně zablokovali využití všech již prodaných exemplářů vašich dat.
Raději ani nedomýšlím, co bude novela znamenat pro oblast spammingu (hromadného rozesílání nevyžádaných zpráv elektronickou cestou, typicky emailem). Nasbírat emailové adresy někde na Internetu není těžké, a navíc zřejmě jde o "zveřejněné údaje". Následný prodej takto nasbíraných adres za účelem "nabízení obchodu a služeb" pak bude perfektně legální.
Jak tedy hodnotit celou novelu v oblasti osobních údajů? Jde o snahu zlepšit a zdokonalit skutečnou ochranu osobních údajů? Nebo jde spíše o podlehnutí různým tlakům a krok vstříc věcem, které zavání spíše zneužitím osobních údajů než jejich ochranou?