Před třemi lety na den přesně vešlo v účinnost Obecné nařízení o ochraně osobních údajů – nová právní úprava, která donutila celou Evropu začít smýšlet trochu jinak.
V letech 2018 až 2020 uložil Úřad pro ochranu osobních údajů (ÚOOÚ) za porušení GDPR pokuty ve výši skoro 2,9 milionu korun, i s letoškem je to celkem 6,370 milionu korun. Nejvyšší pokuta za porušení nařízení činila 666 tisíc korun.
Hledáte zaměstnance? Vyberte si z naší 120 tisícové databáze uchazečů na portálu jobDNES.cz. |
„Firmy by měly být schopny srozumitelně vysvětlit a na požádání umět dokázat, že mají svěřená data svých klientů pevně pod kontrolou a zachází s nimi v souladu s platnými zákony,“ uvedl zástupce tiskového mluvčí Úřadu pro ochranu osobních údajů (ÚOOÚ) Vojtěch Marcín.
Za porušení nařízení může úřad udělit pokutu až dvacet milionů eur nebo pokutu čtyři procenta z celosvětového ročního příjmu společnosti. V současnosti se ale české společnosti podle Úřadu ochrany osobních údajů v nařízení orientují lépe. Pro úřady, kraje a obce čeští zákonodárci sankce zrušili.
GDPR ani za dva roky spousta firem nepochopila. Většina si ale ví rady |
Firmy musely přijmout taková technická a organizační opatření, aby zajistily, že zpracování osobních údajů je prováděno v souladu s nařízením GDPR.
„Zvláštní kategorie osobních údajů vypovídající o zdravotním stavu mají být podle stanoviska ÚOOÚ elektronicky přenášeny v zabezpečenější podobě, než je prostý e-mail. Souhlas subjektu údajů není náhradou této povinnosti správce,“ upozornila expertka Renata Lukášová ze společnosti Ideal Mělník.
Časté problémy s dodržováním GDPR mají například webové stránky, pokud jde o lišty žádající potvrzení souhlasu se zpracováním souborů cookies. Na webových stránkách společnosti používají cookie wall, čímž odpírají uživatelům plný přístup k obsahu nebo k některým funkcím stránky, dokud nedostanou paušální souhlas se sběrem všech cookies.
„Takovým způsobem udělený souhlas však podle nelze považovat za svobodný, je v rozporu s GDPR a takto získaný souhlas není platný,“ dodává Lukášová.
„Z hlediska tuzemského podnikového prostředí jsem přesvědčena, že většina společností se nějak vypořádala s administrativní zátěží a formálně povinnosti GDPR splnila. Nebude však mnoho těch, kdo jsou schopni udržovat adaptaci podniku na požadavky GDPR jako perpetuum mobile.
Tím spíš bychom se nyní po odpadnutí hlavního organizačního a administrativně technického břemene měli vypořádat s tím nejdůležitějším – opravdu najít všechna reálná rizika, najít k nim preventivní opatření a možnost jejich nastání alespoň minimalizovat, pokud úplná eliminace nebude možná. Hold tomu, kdo si s takovým úkolem poradí,“ dodává Sandra Konečná, advokátní koncipientka V4 Group.
