Jelikož díl první končil pesimistickým sdělením o výši možné správní pokuty, rozhodl jsme se v díle druhém svého seriálu o GDPR ulehčit všem zaměstnavatelům a napsat něco o drobných podnikatelích poskytujících zákazníkům služby spojené s rozvozem zboží či služeb. A abych i zde poukázal na možná rizika, povím Vám krátký příběh o paní Květinkové. Je však čtenáře zapotřebí upozornit, že se nejedná tak zcela o nadsázku a čistě formálně sdělení obsažené v dopise od paní Květinkové by mělo platit, i když zdravý rozum velí, že spíše ne. S tím lze více méně souhlasit, avšak určitě by bylo možno výkladem „účelu“ nařízení GDPR (u nás se často používá pojem „duch zákona“) dovodit, že v daném případě by uplatňování nařízení GDPR mohlo být až absurdní. Dovedu si představit, že by paní Květinková např. údaje o paní Novákové včetně jejího telefonního čísla smazala hned po doručení květin. Dovedu si představit, že by paní Květinková nepostupovala tak, jak uvádí příběh, neboť by uplatnění povinností znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného ve zpracování osobních údajů, pokud by se toto dalo s ohledem na výklad článku 14 odst. 5 písm. b) GDPR použít. Lze však jistě očekávat, že takové situace nastanou a stanou se námětem různých televizních reportáží a názory vyjádří mnoho odborníků. Jak to dopadne, netroufnu si nyní domyslet. Takže nyní jeden smyšlený dopis z listopadu 2018…
Vážená paní Nováková,
jmenuji se Jana Květinková a provozuji květinářství na ulici Míru 376 v Olomouci jako fyzická osoba podnikatel, IČ: XXXXXXXX.
Dne 1. 11. 2018 se do mé prodejny dostavil Váš obdivovatel pan Jaroslav Hrouda, který pro Vás chtěl objednat kytici 30 růží se vzkazem a nechat mě, abych zajistila doručení kytice k Vašim rukám. Z tohoto důvodu mi poskytl osobní informace o Vaší osobě, konkrétně Vaše jméno, příjmení a Vaše bydliště a taktéž číslo Vašeho mobilního telefonu.
Pan Hrouda mě požádal, aby Vám byla kytice růží s jeho osobním vzkazem doručena dne 12. prosince 2018.
Oznamuji Vám v souladu s článkem 14 Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ – ES (obecné nařízení o ochraně osobních údajů), dále jen jako „GDPR“, že Vaše osobní údaje zpracovávám za účelem splnění smlouvy v souladu s článkem 6 odst. 1 písm. b) GDPR.
Vaše osobní údaje nespadají do kategorie zvláštních či citlivých (článek 14 odst. 1 písm. d) GDPR).
Taktéž Vám oznamuji, že příjemcem Vašich osobních údajů podle článku 14 odst. 1 písm. e) GDPR bude externí doručovatel, a to buď společnost CCL…. nebo pan Josef Rychlík, který Vám kytici růží bude doručovat.
Vaše osobní údaje budu zpracovávat po dobu nezbytně nutnou, maximálně 3 roky pro účely případného soudního řízení, neboť se jedná o dobu, po kterou je objednatel služby oprávněn u příslušného místního a věcného soudu podat žalobu, resp. jeho nárok se v době 3 roků promlčí. Poté budou Vaše osobní údaje smazány. Vaše telefonní číslo smažu ihned po doručení růží. Raději bych Vaše osobní údaje smazala ihned, ale zatím si tím nejsem jista…, ale pokud kytici doručím, mohu očekávat, že pan Hrouda nebude mít důvod na mě podat z nějakého důvodu žalobu, takže bych Vaše údaje mohla smazat taktéž ihned po doručení kytice.
Dále Vás v souladu s článkem 14 odst. 2 písm. c) GDPR informuji o Vašem právu požadovat ode mě přístup k Vašim osobním údajům, jejich opravu nebo výmaz anebo omezení zpracování a taktéž o Vašem právu vznést námitku proti zpracování.
Dále Vás v souladu s článkem 14 odst. 2 písm. e) GDPR informuji o tom, že můžete podat stížnost u dozorového orgánu, kterým je Úřad pro ochranu osobních údajů. Za zdroj Vašich osobních údajů označuji pana Jaroslava Hroudu.
Bohužel z důvodu, které nejsem oprávněna sdělit (pro čtenáře: pan Hrouda odjel pracovně mimo Evropu a nebude schopen komunikovat prostředky na dálku, a proto kytici objednal se značným předstihem), Vám v souladu s článkem 14 odst. 3 písm. a) GDPR musím sdělit výše uvedené do jednoho měsíce po získání Vašich osobních údajů.
Je mi líto, že jsem Vám tímto možná pokazila překvapení, ale s ohledem na poměrně vysokou sankci, která mi hrozí, plním zákonné požadavky. Věřím, že mi zachováte přízeň.
Olomouci dne 29. 11. 2018
S pozdravem Jana Květinková
Obdobně si lze představit, že objednáte u řetězce rychlého občerstvení či v nějaké restauraci dovoz obědu pro své přátele do zaměstnání. Ponechávám stranou, že např. máte u dotčené restaurace kredit, takže příjemce obědu nebude muset nic platit. V takovém případě zpravidla po Vás bude vyžadováno jméno a příjmení adresáta, adresa jeho pracoviště a taktéž mobilní telefon, aby si dotyčnému mohlo zavolat s tím, že např. dole na ulici před jeho pracovištěm je poslíček připravený mu předat Vámi objednaný oběd.
Takových úskalí spojených s nařízením GDPR bude více, avšak je třeba ke všem možným situacím přistupovat racionálně a najít rozumné řešení, které nebude v příkrém rozporu s nařízením GDPR. Jiná situace patrně bude u velkého řetězce s rychlým občerstvením, kde se výše uvedené informace zpracovávají elektronicky a automatizovaně ve velkém rozsahu a jiná situace u paní Květinkové, která si údaje poznamená tužkou do svého bloku.
Michal Filouš