Od roku 2018, kdy vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), mají lidé v Evropské unii silnější ochranu soukromí a dat. Zákon však zdaleka není dokonalý - a velké technologické společnosti, průmysloví právníci a lobbisté se postarali o to, aby využili všechny nástroje ve svém arzenálu a buď ustanovení GDPR obešli (nesprávným výkladem), nebo ovlivnili veřejné mínění o zákoně tak, aby spotřebitelé z jeho porušování neobviňovali je, ale samotné GDPR. V posledních několika letech to vedlo k řadě mylných představ o ochraně údajů a zejména o GDPR. Proto na počest letošního Dne ochrany osobních údajů, noyb objasňuje 5 nejčastějších mylných představ.
1. GDPR nutí firmy používat bannery se soubory cookie
To není správné. GDPR nenutí webové stránky používat bannery se soubory cookie. Místo toho jsou společnosti povinny získat váš výslovný souhlas, pokud chtějí sledovat váš pohyb online. Obvykle se tak děje za účelem zobrazování personalizovaných reklam na základě vašich zájmů. Společnosti se rozhodly požádat vás o souhlas s bannery cookie a často z toho viní nařízení GDPR.
To však není všechno: Aby se maximalizoval počet souhlasů - a tím i zisk -, používají mnohé webové stránky záměrně zavádějící a klamavé bannery cookie, které (téměř) znemožňují odmítnutí nebo odvolání souhlasu.
Až tedy příště uvidíte banner se soubory cookie, nezapomeňte, že neexistují kvůli GDPR, ale proto, že společnost chce na vašich osobních údajích vydělat.
2. Společnosti se musí obávat sankcí ze strany úřadů pro ochranu osobních údajů
Úřady pro ochranu osobních údajů (DPA) se bohužel uchylují k přísným donucovacím opatřením pouze ve výjimečných případech. Analýza noyb o činnosti orgánů pro ochranu údajů v letech 2018 až 2023 ukázala, že pouze 1,3 % případů vyústí v pokutu. Irský úřad DPC, který má na starosti většinu velkých technologických společností (Meta, Google, Apple, OpenAI, Microsoft a mnoho dalších), dokonce uděluje pokuty pouze v 0,26 % případů, které řeší. A i když irská DPC pokutu udělí, je to sotva kdy peníze vybere, jak uvádějí média.
Z našich téměř 900 případů víme, že řízení se často táhnou několik let, aby společnost vyvázla jen s varováním. V některých případech si orgán pro ochranu údajů dokonce vyměnil roli a konzultoval společnost, která porušila zákon o ochraně osobních údajů. Například: V roce 2024 sespolečnost noyb obrátila na hamburský úřad DPA kvůli nesrovnalostem v případu Pay or Okay proti německému zpravodajskému časopisu SPIEGEL. V průběhu řízení před úřadem byl hamburský úřad DPA v úzkém kontaktu se společností SPIEGEL. Namísto toho, aby nestranně vyšetřoval a rozhodoval, se také několikrát sešel se zástupci společnosti, pozval je do svých prostor a poskytl jim zpětnou vazbu k navrhovaným změnám v souvislosti s jejich prováděním Pay or Okay. Za správní náklady řízení účtoval hamburský úřad společnosti SPIEGEL 6 140 EUR. Levněji než prakticky jakýkoli právník.
Celkově je - bohužel - mylná představa, že se společnosti musí obávat vážných následků ze strany úřadů pro ochranu osobních údajů za porušení základního práva na ochranu údajů.
3. Reklama musí být personalizovaná, jinak by ji nikdo nekupoval a reklamní průmysl by zkrachoval!
Tvrzení reklamního průmyslu, že vás POTŘEBUJE sledovat na internetu a obtěžovat vás zavádějícími bannery se soubory cookie, aby si udržel podnikání, je více než sporné. Ve skutečnosti existuje mnoho alternativních způsobů, jak zpeněžit webové stránky, například kontextová reklama, umístění produktu, placený obsah nebo modely freemium, kdy je určitý obsah dostupný pouze za poplatek.
Dokonce i vědecké studie vyvolávají pochybnosti o ziskovosti - a tedy i nezbytnosti - sledování reklamy, jak tvrdí reklamní průmysl. Například americká studie z roku 2019 ukazuje, že využívání osobních údajů zvyšuje příjmy webových stránek pouze o přibližně 4 %. "To odpovídá průměrnému nárůstu o 0,00008 dolaru na jednu reklamu," uvádí se v závěru studie.
Existují však ještě extrémnější příklady: Nizozemská veřejnoprávní televize NPO dokonce zaznamenala zvýšení příjmů poté, co upustila od cílené reklamy.
Z toho jasně vyplývá, že existují alternativní řešení k tomu, aby vás společnosti sledovaly na internetu.
4. GDPR zasahuje do svobody podnikání
Ne, nezasahuje. Svoboda podnikání stanovená v Listině základních práv EU jasně uvádí, že máte "svobodu podnikat v souladu s právem Unie a vnitrostátními právními předpisy a zvyklostmi".
To znamená, že podniky musí dodržovat zákony bez ohledu na to, zda se týkají daní, ochrany životního prostředí - nebo ochrany údajů a soukromí. Neexistuje žádné základní právo na podnikání, které by bylo nadřazeno zákonným povinnostem společnosti, i když by si to mnohé společnosti přály.
Kromě toho svoboda podnikání ve skutečnosti znamená, že smíte vykonávat hospodářskou činnost. Můžete se například svobodně stát lékárníkem, přičemž není nutné, aby jeden z vašich rodičů byl lékárníkem. Samozřejmě i lékárník musí dodržovat zákony. Totéžplatí pro velké technologické a jiné společnosti.
5. Lidé zneužívají svého práva na přístup a zaplavují společnosti žádostmi o přístup
Přestože je právo na přístup podle článku 15 GDPR nezbytným předpokladem pro zachování alespoň malé kontroly nad svými osobními údaji v digitálním věku, některé společnosti se proti němu bouří a tvrdí, že by vyžadovalo "nepřiměřené úsilí". Takováto lobbistická tvrzení se dokonce dostala do německého pozičního dokumentu, kde byly žádosti o přístup označeny za stále častěji "zneužívané".
Realita však ani toto tvrzení nepotvrzuje. Zákon již obsahuje záruky, které zneužití brání: Podle čl. 12 odst. 5 GDPR mohou společnosti účtovat přiměřený poplatek nebo dokonce žádosti odmítnout, pokud jsou "zjevně neopodstatněné nebo nadměrné, zejména z důvodu jejich opakovaného charakteru".
Navíc naprostá většina společností působících v EU nepracuje s takovým množstvím údajů, aby dostávala velké množství žádostí o přístup. V rámci (brzy zveřejněného) průzkumu společnosti noyb 73,3 % pověřenců pro ochranu osobních údajů (DPO) uvedlo, že právo na přístup vytváří jen málo nebo vůbec žádnou práci. Naopak větší společnosti často žádosti spotřebitelů o přístup prostě ignorují nebo zadržují části informací, na které mají lidé ze zákona nárok. Například zprostředkovatel reklamy Xandr (dceřiná společnost Microsoftu) uvedl, že v roce 2022 reagoval na žádosti o přístup a výmaz údajů s překvapivou mírou odezvy 0 %.
Také většina velkých technologických společností již v současné době zavedla nějaký automatizační nástroj, který jim umožňuje hromadně plnit žádosti o přístup k GDPR, obvykle prostřednictvím nástroje "stáhněte si své informace" - ale přesto vám neposkytne všechny vaše údaje.
Jinými slovy: společnosti mají prostředky, jak žádosti o přístup vyřídit bez výrazného pracovního zatížení. Jen vám nechtějí poskytnout přístup ke zpracovávaným informacím.
6. Bonusová mylná představa: s uloženými pokutami v řádu miliard eur, noyb musí být bohatý!
Společnost noyb samozřejmě nedostává žádnou z pokut uložených úřady pro ochranu osobních údajů. Když orgán pro ochranu údajů vybírá pokuty, jdou peníze do státního rozpočtu země, v níž má úřad sídlo (nebo ve Španělsku přímo orgánu pro ochranu údajů).
činnost noyb na cestě k budoucnosti příznivější pro ochranu osobních údajů je možná pouze díky našim 5 400 podporujícím členům. Pokud chcete také přispět na naši věc, můžete se dozvědět více o našem členství zde. Můžete nás také kontaktovat na adrese info@noyb.eu pokud máte dotazy.
