Mýtus č. 1 - Osobní data jsou jen osobní data
Není to pravda. GDPR dokonce rozlišuje kategorii “osobní data” a “citlivá data”. Mezi osobní data se řadí například IP adresa, jméno, bydliště a podobně. Mezi citlivá data se naopak řadí informace o víře, členství v oborových organizacích, úroveň vzdělání a podobně. Existují tak i rozdíly, jak tyto dvě skupiny dat ukládat. Například citlivá data nesmějí být využit pro obchodní účely, například nesmí být užita pro rozhodnutí o udělení hypotéky.
Mýtus č. 2 - GDPR se nevztahuje na firmy mimo EU
To je omyl. Směrnice je primárně o datech obyvatel EU. Takže nezáleží na sídle společnosti. Navíc je těžké definovat, kde zrovna uživatel nachází, proto musí být ochráněna veškerá data.
Mýtus č. 3 - Na velikosti záleží
Směrnice rozhodně neříká nic o velikosti firmy, počtu zaměstnanců a obecně. GDPR platí pro všechny subjekty jakkoliv nakládající s osobními daty.
(foto: Shutterstock)
Mýtus č. 4 - GDPR se vztahuje jen na data zasílané uživateli
Rozhodně to neplatí, protože směrnice se vztahuje na všechna data, která si aplikace, webová stránka či e-shop sám o uživatelích sbírá či generuje. Zkrátka platí na veškeré informace o uživatelích, nejen ta, která oni sami poskytují.
Mýtus č. 5 - Oprávněný zájem
Tato specifická formule je součástí směrnice GDPR. Její výklad je poměrně komplikovaný, umožňuje totiž využít marketingová data i bez předešlého schválení uživatelem. Tedy oprávněný zájem může dokonce být výše než ochrana zmíněná zákon o ochraně osobních dat. Neplatí to však automaticky na jakoukoliv situaci, spíše jde o specifické případy. Společnost by mohla využít oprávněného zájmu a využít osobní data bez souhlasu pokud by došlo z nějakého důvodu na soud, případně pokud zákazník souhlasí s obchodními podmínkami při nákupu. Může společnost tuto objednávku doplnit o osobní data z databáze. Naopak platí, že pokud zákazník souhlasil se zasíláním marketingových materiálů, neznamená to, že společnost může automaticky zpracovávat jeho osobní data.
Mýtus č. 6 - Existuje jen jeden druh uživatelského souhlasu
Opět špatně. Již předešlý “zákon o cookies”, který předcházel GDPR, weby a aplikace mohou obsahovat žádost o schválení dat, která nejsou specificky napojena na konkrétního uživatele. Jde o vyskakující panel s ohlášením: “Tyto stránky používají k poskytování služeb cookies. Pokračováním v prohlížení vyjadřujete souhlas s jejich používáním.” Nicméně pokud tato data využijete s dalšími informacemi o uživateli, který je tímto konkrétně definován, pak další souhlas o využití dat je vyžadován.