xff.cz - mapa webu - novinky

GDPR pro uživatele internetu

Všude jsou návody pro organizace, jak se mají připravit. Jak ale může GDPR využít uživatel?

Spousta společností se snaží na uživatele internetu sbírat informace, ty pak ukládat a využívat. Jaké z těchto informací jsou postihnuté direktivou GDPR? Pomáhá GDPR i neuživatelům služeb? Jak se jako neuživatel nějaké služby domůžu osobních informací, které nějaká společnost může mít?

Jak se domůžu smazání údajů z různých webů kam jsem je nikdy nedal?

Současná interpretace GDPR

Interpretace GDPR se časem vyvíjí a je dobré sledovat stránky ÚOOÚ a číst zprávy z kontrol, které často obsahují vysvětlení toho jak ÚOOÚ skutečně interpretuje GDPR v praxi.

Příklad s weby kopírujícími veřejné rejstříky

Jedna technika jak získat pozornost lidí skrze vyhledávače a tím peníze z reklam na internetu je vybrat veškerá data z veřejných rejstříků a vytvořit stránku pro každou osobu a firmu v rejstřících uvedenou a tvářit se že poskytuju veřejnosti službu. Jako bonus jsou někdy tyto údaje doplněny o telefonní čísla, e-mailové adresy, atp. Čím víc údajů, tím lépe.

Jeden způsob, jak se takový web brání smazání informací je prohlášení, že tyto údaje publikuje ve veřejném zájmu, nebo že tyto údaje jsou stejně již veřejné, protože jsou součástí veřejného rejstříku, takže protestující osoba nemá nárok na odstranění informací.

Taková argumentace má nekolik vad:

GDPR umožňuje v článku 21 podat nesouhlas se zpracováním osobních údajů, které nebyly získány přímo od nesouhlasící osoby. Jediné co pak může odstranění údajů zabránit je zvláště závažný zájem zpracovatele informací či veřejnosti. Takový zájem v kontextu výše uvedené situace defakto neexistuje.

Nesouhlasící osoba může mít libovolný důvod pro vyjádření nesouhlasu. Některé legitimní důvody:

Zájem veřejnosti nad těmito zájmy nemůže převážit, protože ten je uspokojen samotnými rejstříky, ve kterých jsou vždy aktuální informace. Zájem publikujícícho webu je ve zpeněžení Vašich informací a ten očividně také nepřeváží.

Praktické zkušenosti

Poslal jsem desítky žádostí o smazání informací a vyjádření nesouhlasu se zpracováním osobních údajů webům, kam jsem je nikdy sám nenahrál. Ve většině případů byla reakce adekvátní a odstranění informací proběhlo do několika dnů.

Co a kam poslat? GDPR neurčuje formu ani způsob doručení žádosti, z čehož plyne, že žádostí se musí příjemce zaobírat ať už ji dostane přes webchat, e-mailem na adresu kohokoliv ve firmě, nebo na Facebooku. Je to jedno.

Forma sice není předepsaná, ale je dobré jasně vyjádřit co vidíte za problém co požadujete a na jakém základě. Nap­ř.:

Dobrý den,

žádám o odstranění mých osobních informací z této stránky:

https://infirmy.cz/detail/123456-nejake-jmeno

Konkrétně:

  • jméno
  • adresa Někde 14, …
  • telefon 123456789

Preferuji odstranění celé stránky.

Dále vyjadřuji námitku se zpracováním svých osobních údajů Vaší společností podle GDPR, článek 21 (1) a žádám, aby Vaše společnost přestala mé osobní údaje zpracovávat:

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=EN

Děkuji a s pozdravem, Jméno Příjmení

Většina společností/we­bů pak odstraní danou stránku. Některé pouze skyrjí údaje, což neodpovídá požadavku. V tom případě požadavek opakuji. Pokud se nic neděje a i po měsíci či dvou je stránka stále k dispozici, tak pošlu urgenci s upozorněním na to, že uplynula zákonná lhůta pro vyřízení žádosti.

Dobrý den,

před X měsíci (dne X.Y.20ZZ) jsem na základě GDPR žádal o odstranění mých osobních informací z Vašeho webu. Již uplynula zákonná lhůta pro Vaši reakci.

Prosím buď o vyjádření, nebo odstranění informací.

Děkuji a s pozdravem, Jméno Příjmení

Není třeba ničím vyhrožovat. Cílem je odstranění informací a mít něco, čím prokázat upřímnou snahu o komunikci s vlastníkem webu v případě podávání stížnosti na ÚOOÚ.

Některé takové weby nemají kontaktní údaje. To samo o sobě je důvod pro podání stížnosti na ÚOOÚ, nicméně trocha snahy neuškodí a je možné se pokusit údaje dohledat a svou snahu zdokumentovat.

Některé weby viditelně umožňují kontakt pouze přes kontaktní formulář. V tom případě je nutné před odesláním pořídit screenshot a zkopírovat si zasílanou zprávu někam, kde se k ní budete moci v budoucnu vrátit a odkázat. Také si zapište datum odeslání, aby jste věděli kdy uplyne zákonný limit.

V případě, že web používá kontaktní formulář, kde umožňuje reakci tazateli na mail, pak by měl nejprve poslat obsah dotazu zprávou na mail tázajícímu se uživateli a později i reakci, ideálně odpovědí na ten první e-mail, včetně citace. Tento postup dodržuje tak 1 z 10 webů. Buď nedostanete nic, nebo odpověď, ve které není citovaný váš dotaz, a nebo odpověď s citací, ale i to je problematické, protože dokud nedostanete odpověď, tak nevíte ani kdy jste dotaz odeslali, ani co v něm bylo, takže je těžké cokoliv urgovat, nebo prokazovat.

Pokud je to jen trochu možné, je lepší vlastníka webu kontaktovat přímo přes e-mail a kontaktním formulářům se vyhnout. Nějakou adresu je možné někdy najít ve vyhledávači, tak že dáte vyhledat "@domena.tld", případně pokud má web i propargační stránku na Facebooku, tak někdy podpora zveřejní svůj e-mail v komentářích pod různými uživatelskými dotazy i když ho na webu samotném tají.

Historie změn

28.3.2019 16:00Doplněny zkušenosti s GDPR
15.7.2018 18:17První sestavení webu