Portál AbcLinuxu, 30. dubna 2025 08:10
Před časem jsem se stal zákazníkem O2, od kterého jsem letos v září odešel. Po vyrovnání všech finančních závazků jsem si říkal, že když nám platí GDPR, tak by už O2 nemuselo skladovat mé osobní údaje a mohu zažádat o jejich výmaz. Jak tedy vypadá naplňování GDPR v praxi?
V zásadě jediné, oč mi jde, je, že by O2 nemusela mít mé kontaktní údaje a účet v Moje O2 by nemusel exitovat. Důvody? Obtěžujícími telefonáty operátorů počínaje a případným crackerským útokem spojeným s krádeží přístupových/osobních údajů konče.
První, co jsem zkontroloval bylo, co lze zařídit přímo přes server Moje O2. Výsledek: kromě odvolání souhlasu se zpracováním osobních údajů nic. Proto jsem se jal studovat příslušnou literaturu a tou je v tomto případě stránka Zásady zpracování osobních údajů dle O2, kde je přímo řečeno, že
3. Právo na výmaz
Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost O2 neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost O2 má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro který byly zpracovávány. Pokud se subjekt údajů přesto domnívá, že nedošlo k výmazu jeho osobních údajů, může uplatnit žádost o výmaz na značkové prodejně O2 za podmínky doložení oprávněnosti uvedené žádosti.
Po kontrole na webu Moje O2 jsem zjistil, že k žádnému výmazu nedošlo, a vzhledem k tomu, že nejsem zákazníkem O2, nejsou již déle k potřeba k účelu, pro který byly zpracovávány. Proto jsem zamířil na prodejnu O2.
Co bych očekával je, že po splacení poslední platby bude zrušen můj účet na Moje O2 a dojde ke smazání mých osobních údajů. Bohužel takto zřejmě zmiňované "mechanizmy" nefungují.
V prodejně O2 mě přivítal celkem sympatický mladík, kterého má žádost o výmaz osobních údajů lehce překvapila. Jako profesionál O2 samozřejmě položil otázku: "A jaký máte důvod?" Nezbylo mi než jej poučit, že v případě výmazu osobních údajů nejsem povinen důvod uvádět. Po chvíli pátrání v Das O2 Systému mi ukázal stránku jako vystřiženou z Moje O2, kde na svět zářilo kromě velikosti bot snad vše, co ze mne kdy O2 vymámila. Bohužel s touto úlohou si neporadil, a tak se šel zeptat kolegyně. Samozřejmě mluvili diskrétně, nicméně její zřetelně formulovaný dotaz "A to jako jde?" mne nenechal na pochybách, že ani ona neví, která bije. Výsledkem jejich porady bylo ruční zadání požadavku, který snad kdosi v O2 nějak zpracuje.
Když si ale podmínky smazání přečtete pořádně, je tam spousta míst, na základě kterých ke smazání vůbec dojít nemusí. Základem je vágní formulace: "Osobní údaje pro tyto dílčí účely jsou zpracovány v rozsahu nutném pro naplnění těchto účelů a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy." Jinými slovy když narazíte na dostatečně zabedněnýho právníka, nikdy to nesmažou.
Jisté však je, že o GDPR zaměstnanci O2 nemají ani páru a O2 samotné na podobné požadavky není připraveno, když jejich interní systém není schopen automatizovaně zpracovat podobný požadavek.
Což je přímo v rozporu s tezí, že "Společnost O2 má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro který byly zpracovávány", viz výše. Prostě nemá.
Nyní se nacházím ve fázi čekání. Přes Moje O2 mohu sledovat stav zpracování mé žádosti. Tu jsem podal ve čtvrtek 11. 10. odpoledne, ze strany O2 zatím nenastal žádný pokus o kontakt...
Stav své žádosti průběžně sleduji a očekávám případný telefonický kontakt. Uvidíme, kam se vše posune...
Dnes jsem si našel chvilku a zabrousil opět na stránky Moje O2, kde jsem zkontroloval stav své žádosti. Tu kdosi 16. 10. 2018 zpracoval s jednoduchým závěrem: "Zákazník má souhlas se zpracováním osobních údajů již odvolaný, nemohu zadat znovu."
To jen potvrzuje fakt, že O2 netuší, co s osobními údaji dělat. Evidentně nechápou rozdíl mezi souhlasem se zpracováním osobních údajů a žádostí o výmaz osobních údajů.
Zavolal jsem tedy na infolinku O2. Přivítal mě jejich "chytrý" automat, který (opět) není připraven na to, že by někdo mohl řešit ochranu osobních údajů, a tak jsem byl nucen si dvakrát vyslechnout hlavní menu a až po protlačítkování k operátorovi na některé linek začal telefon zvonit. Tempo odpovídalo O2 - nezbytných 15 minut syntetizovaných samplů, po kterých následovala operátorka. Té jsem vysvětlil, co jsem svým požadavkem myslel. Ani jí nebyl rozdíl mezi oběma věcmi jasný, a tak se krátce zeptala někoho ze svých kolegů, přičemž odpověď je taková, že "Kartu zákazníka" nemažou pro případ, že bych měl nějaké reklamace.
Slečně jsem tedy vysvětlil, že mi jde zejména o účet na Moje O2, což je záležitost, kterou pro moji identifikaci nepotřebují, a přidružené údaje (telefonní číslo, e-mail atp.). To ona prý vymazat nemůže a mám se obrátit na e-mailovou adresu pohledavky.podnety@o2.cz. To je výstup hovoru o trvání 21 minut a 37 sekund včetně čekání na operátora. Jinými slovy, jsme opět na začátku - využiji tento e-mail a uvidíme, jak to dopadne. Teď musím najít volnou chvíli na zpracování textu, který bude vložen i sem.
Samozřejmě mne napadlo do kopie e-mailu uvést i Pověřence pro ochranu osobních údajů O2. Jelikož má ve výše zmiňovaných pravidlech uvedenou pouze kamennou adresu, zkusil jsem vymámit e-mailový kontakt z podpory O2. Samozřejmě neúspěšně. Jinými slovy, pokud chcete lidi demotivovat, snažte se jim bránit v kontaktu s kompetentními osobami co to jde.
Jinak když se zamyslíte nad faktickou podstatou věci, pak pověřenec pro ochranu osobních údajů O2 je fyzická osoba, která je zaměstnancem O2. Jako taková samozřejmé má firemní e-mail a tedy z principu je možné ji elektronicky kontaktovat. O2 to pouze prostě nechce.
Dnes ráno jsem odeslal na výše zmíněnou adresu e-mail s následujícím textem:
Dobrý den,
na základě článku 17 Obecného nařízení o ochraně osobních údajů (známého též pod zkratkou GDPR) a v souladu se Zásadami zpracování osobních údajů O2 Vás žádám o následující:
1) Výmaz mých osobních údajů z Vaší databáze
2) Zrušení uživatelského účtu v Moje O2 spjatého s touto e-mailovou adresou a mým jménem.
Odůvodnění:
V září tohoto roku došlo k ukončení Smlouvy o poskytování telekomunikačních služeb mezi mou osobou a O2. Od této chvíle již nejsem zákazníkem O2 a tedy není nutná přítomnost mých osobních údajů ve Vaší databázi ani existence uživatelského účtu v Moje O2.
Jsem si vědom toho, že v současné době není možné některé osobní údaje z důvodů oprávněných zájmů O2 vymazat. V tomto případě žádám o seznam nevymazatelných osobních údajů spolu se zdůvodněním oprávněnosti zájmu O2 uchovávat dané údaje.
V případě nutnosti ověření autorizace či verbálního kontaktu můžete využít telefonní číslo v patičce tohoto e-mailu. Děkuji.
S pozdravem,
Karel Hruška
Text je doufám dostatečně jasně formulován a tak uvidíme, jak si s ním O2 poradí...
Stále nic. Přihlášení do MojeO2 stále funguje, odpověď nepřišla. Zasílám tedy urgenci:
Předmět: Žádost o výmaz osobních údajů - opakovaná výzva
Vážení,
dne 19. 10. 2019 (tedy před více než měsícem) jsem na tento Váš e-mail (pohledavky.podnety@o2.cz) zaslal formou e-mailu připojeného níže svou žádost o výmaz osobních údajů z databáze O2. Do dnešního dne jsem neobdržel žádnou odpověď, ať již formou e-mailu, dopisu, či telefonicky. Přihlášení do samoobsluhy MojeO2 stále funguje, proto předpokládám, že v tomto směru nebyla vykonána žádná aktivita z Vaší strany.
Opakuji tedy tímto svou výzvu k výmazu mých osobních údajů z Vaší databáze dle požadavků níže s tím, že očekávám Vaši odpověď do 17. 12. 2018. Po tomto datu budu nucen další kroky konzultovat s Úřadem pro ochranu osobních údajů.
S pozdravem,
Karel Hruška
Minulý víkend mi v poště přistála odpověď od O2. Po jejím přečtení je jasné, že jde o univerzální odpověď, která se naprosto netýká mého požadavku. V zásadě ji lze shrnout do několika slov: "Všechno máš v našich Zásadách zpracování osobních údajů, které přikládáme." Žádný výmaz ani blokace účtu provedena nebyla, jak dokládá dnešní (15. 12. 2018) screenshot z Moje O2.
Při pohledu do odpovědi je zřejmé, že jde o výtisk z nějakého Wordu, ve kterém se někdo ani neobtěžoval vypnout režim revizí (viz pruh vlevo a různé barvy textu na posledních řádcích). Žádný podpis, žádná konkrétní kontaktní adresa, žádné datum. Tuto odpověď rozhodně nelze akceptovat, čemuž bude odpovídat moje reakce, která tentokráte půjde jak mailem, tak i fyzicky poštou.
Tiskni
Sdílej:
13.10.2018 19:16
pushkin | skóre: 43
| blog: FluxBlog
13.10.2018 19:28
otasomil | skóre: 39
| blog: puppylinux
14.10.2018 08:24
otasomil | skóre: 39
| blog: puppylinux
14.10.2018 16:08
otasomil | skóre: 39
| blog: puppylinux
15.10.2018 18:52
otasomil | skóre: 39
| blog: puppylinux
16.10.2018 08:03
otasomil | skóre: 39
| blog: puppylinux
16.10.2018 11:24
Pavel 'TIGER' Růžička | skóre: 54
16.10.2018 07:55
Pavel 'TIGER' Růžička | skóre: 54
16.10.2018 08:00
otasomil | skóre: 39
| blog: puppylinux
Než odejdu z banky, tak si vytisknu výpis a je to. Pak nemusím blbě škemrat o nějaké záznamy. Takže ochrana proti takovému scénáři je velmi jednoduchá.No to si muze vytisknout kazdy. Takovyto papir nikde neobstoji. Veritel jiste nebude ochoten akceptovat.
16.10.2018 10:59
Pavel 'TIGER' Růžička | skóre: 54
16.10.2018 20:22
Pavel 'TIGER' Růžička | skóre: 54
19.10.2018 09:45
Pavel 'TIGER' Růžička | skóre: 54
16.10.2018 08:52
pushkin | skóre: 43
| blog: FluxBlog
16.10.2018 11:00
Pavel 'TIGER' Růžička | skóre: 54
16.10.2018 11:03
Pavel 'TIGER' Růžička | skóre: 54
17.10.2018 21:15
Max | skóre: 72
| blog: Max_Devaine
Což je přímo v rozporu s tezí, že "Společnost O2 má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro který byly zpracovávány", viz výše. Prostě nemá.Nebo to brigádníci neumí, ale proč ve všem nehledat konspiraci. Měl jsi jim poslat email, museli by se vyjádřit do třiceti dnů a nebyly by v tom žádné zmatky - koho by napadlo školit pulčíky v GDPR?
14.10.2018 00:52
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
15.10.2018 09:49
pushkin | skóre: 43
| blog: FluxBlog
Brigádníky jsem rozhodně školit nechtěl - také vše na místě proběhlo v naprosté pohodě, jenom prostě neměli páru o tom, co dělat. Tak použili ručně zadaný požadavek, což je řešení, po kterém bych na jejich místě sáhl také.
15.10.2018 13:45
pushkin | skóre: 43
| blog: FluxBlog
Moje O2 stále funguje a požadavek se krčí ve frontě.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
15.10.2018 14:59
