Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation neboli GDPR) je nová legislativní úprava EU, jež vstoupila v účinnost 25. května a má zvýšit ochranu osobních dat občanů členských zemí EU. Její zavádění je ale zatím spojeno s řadou zmatků a občas až absurdních opatření.
Prověřte stoleté kroniky
Se zajímavou zvláštností se setkali letos v květnu uživatelé elektronické verze Státního okresního archívu Hradce Králové. Vedoucí archívu Radek Pokorný jim oznámil, že digitalizované verze kronik s obsahem pokrývajícím dobu posledních 105 let byly z internetu staženy kvůli GDPR a rozhodnutí ředitele Státního oblastního archívu v Zámrsku.
"Usilovně pracujeme na kontrole digitalizátů na přítomnost žijících osob, po kontrole a případné nutné anonymizaci osobních údajů kroniky opět zveřejníme," uvedl Pokorný. Jinými slovy - archív začal prověřovat, kdo z lidí, o nichž se píše v kronikách za posledních 105 let, ještě žije, s tím, že se pak od něj pokusí získat souhlas k tomu, že je zmiňován v digitalizované verzi kroniky. Tyto verze jsou v současnosti k dispozici jen obcím, které kroniky vedly, nikoli už ale soukromým badatelům.
Dané opatření rozčílilo například Pavla Šmejkala, šéfredaktora časopisu History Revue a amatérského historika zaměřeného na období druhé světové války, o němž sepsal několik knih (Protektorátem po stopách parašutistů, Anthropoid, Silver A). "Strčte si celé GDPR tam, kam patří! Ještě minulý týden to fungovalo. Lhůtu 105 let fakt nechápu, když průměrná délka života je cca 80 let... Tady vůbec nejde o nějakou ochranu údajů, ale o bohapustou buzeraci," rozzlobil se na svém facebookovém profilu Šmejkal, jemuž navíc vadí i to, že z internetu byly staženy i sčítací operáty z roku 1921 (dne 15. února 1921 bylo provedeno sčítání a lidu a souběžně s ním soupis bytů v 28 aglomeracích, které měly alespoň 20 tisíc obyvatel, pozn. red.).
Podle advokáta Petra Kůty z advokátní kanceláře KMVS se ale archív v tomto případě skutečně přiklonil k řešení podle současné právní situace. "Neznám přesně situaci ohledně archiválií, ale z praxe vím, že archivy k tomuto kroku skutečně přistupují, neboť nemají titul pro zveřejnění či zpřístupnění (pro uchování ano), a musí se tedy nyní řídit přesně těmi podmínkami, které jste mi zaslal," reagoval Petr Kůta poté, co jej autor Dotyku seznámil s oznámením hradecko-královeckého archívu.
Veřejné slavnosti, pozor, fotí se
Slunečné počasí přeje veřejným městským i obecním slavnostem a letním festivalům, které od května lákají návštěvníky. Součástí těchto akcí, spojených s kulturním programem a určených široké veřejnosti, ale vždy byla také jejich dokumentace, a to nejen psaná, ale také za pomoci nespočtu fotografií a videozáznamů. A to nejen proto, že lidé chtějí mít z podobných svátků většinou vzpomínku a chtějí si o nich také zpětně přečíst, ale i proto, že podobné projekty mají často své sponzory z řad soukromých firem, a ti chtějí vidět, že se akce opravdu uskutečnila a měla proklamované náležitosti.
Mohou si něco takového organizátoři dovolit teď, když platí "GDPR"? A jak to řeší?
Na letošních Májových slavnostech Prahy 10, které se konaly v neděli 27. května ve Sportovním areálu Hamr v Záběhlicích, se tak například objevily velké cedule informující návštěvníky o tom, že vstupem do areálu souhlasí "se zpracováním svých osobních údajů v rozsahu své fotografie, zveřejněné na webu a facebookovém profilu Prahy 10".
Podobné nápisy a vývěsky se začaly objevovat o uplynulém víkendu i na dalších akcích, například ředitel Národního ústavu lidové kultury ve Strážnici Martin Šimša upozornil o uplynulém víkendu podobnou cedulkou návštěvníky strážnického skanzenu, kteří se účastnili celodenního programu Skanzenem z pohádky do pohádky, že návštěvou tohoto pořadu vyjadřují souhlas s pořízením fotodokumentace i videodokumentace, kterou může pořadatel (zmíněný ústav) publikovat.
Rovněž některá města vytvořila pro své městské slavnosti a jiné akce podobným způsobem formulované souhlasy. Především ale reakce organizátorů svědčí o určité nejistotě, kterou v tomto bodě pociťují.
"Prvotně se říkalo, že pokud půjde o focení průběhu akce a ne jednotliví účastníci, souhlas potřeba není. A teď se zase doporučuje souhlas mít. Raději to budeme teď používat, než se nějak ty názory ustálí. Bohužel několik prudičů tu máme, tak se jako město kryjeme," uvedl v internetové diskusi jedné z několika facebookých skupin, věnovaných problematice GDPR, uživatel vystupující jako zastupitel jednoho menšího českého města.
Podle Petra Kůty stačí na vstupenky či při vchody umístit upozornění s krátkým textem, že vstupem na akci vyjadřuje účastník souhlas s pořízení fotografií či AVD záznamů z akce a jejich šířením například v rámci sítě internet. "Složité souhlasy nejsou podle mého názoru na místě. Občanský zákoník navíc stanoví několik výjimek, kdy k pořízení nebo použití podobizny nebo zvukového či obrazového záznamu člověka není jeho svolení třeba. Je to například pořízení nebo použití záznamů přiměřeným způsobem k vědeckému nebo uměleckému účelu a pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství podle § 89 občanského zákoníku, takzvaná zpravodajská nebo umělecká licence," uvádí Petr Kůta.
Trochu jiná situace by nastala v případě, kdy by organizátor měl v úmyslu pořizovat fotografie, ze kterých bude rozpoznatelná podoba jednotlivých fyzických osob. Pak je to možné jen se svolením takové osoby a stejně tak je třeba mít souhlas i k rozšiřování takových záznamů, zejména jde-li se o zveřejňování záznamů na internetu například k propagaci samotného pořadatele a podobně. Ale v případech, kdy není účelem vytváření nějakých evidencí o fyzických osobách (rozdílný režim mají například kamerové systémy se záznamy), nejde o zpracování osobních údajů ve smyslu GDPR," uvedl Kůta.
Co je GDPR
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová legislativa EU, jejímž cílem je ochrana osobních údajů v evropském prostoru. Má hájit práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů, zavádí pokuty za porušování nových, přísnějších pravidel a nařizuje některým správcům nebo zpracovatelům osobních údajů zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tedy Pověřenec pro ochranu osobních údajů). V Česku nahrazuje současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním českým regulátorem zůstává Úřad pro ochranu osobních údajů, přibyly mu ale pravomoci odrážející danou reformu a zároveň je nově částečně podřízen Evropskému sboru pro ochranu osobních údajů.