Rok od účinnosti GDPR dávno uplynul a mnoho teoretického již k tomuto tématu bylo řečeno. Jaký však nabízí pohled každodenní praxe – co se v oblasti ochrany osobních údajů změnilo, co přetrvává a na co si dát pozor?

Je sice pravda, že loni touto dobou si správci a zpracovatelé osobních údajů oddechli, neboť většině z nich se včas podařilo připravit své společnosti a organizace na nová pravidla ochrany osobních údajů. Kolik z nich ale skutečně porozumělo tomu, co vlastně upravují, to se asi nikdy nedozvíme. Jedno zůstává jisté – každý už v dnešní době ví, že se bez GDPR neobejde.

Po květnu 2018 se situace na podnikatelském poli v kontextu GDPR relativně uklidnila. S přibývajícími kontrolami ze strany Úřadu pro ochranu osobních údajů („ÚOOÚ“) a narůstajícími žádostmi ze strany subjektů údajů v podobě zaměstnanců či zákazníků ale začala pozornost kolem GDPR opět stoupat a přišla „druhá vlna GDPR“. Počet podnětů na ÚOOÚ se dramaticky navýšil: před účinností GDPR se s podněty na ÚOOÚ obrátilo 2385 subjektů, po účinnosti GDPR téměř 4000. Z toho vyplývá, že subjekty údajů jsou si patřičně vědomy svých práv a nebojí se je uplatňovat.

Stížnosti se dle sdělení ÚOOÚ nejvíce týkají získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení, telemarketingu, zveřejnění osobních údajů na internetu a kamerových systémů. ÚOOÚ v této souvislosti také odtajnil, že i e-mailem, který bude odeslán ze strany subjektu údajů správci, přičemž v kopii bude uvedena e-mailová adresa ÚOOÚ, se dozorový orgán bude zabývat. Tento přístup motivoval i zaryté odpůrce k tomu, aby přizpůsobili zpracování osobních údajů požadavkům GDPR alespoň dodatečně. Přesto však ÚOOÚ postupoval v rámci svých kontrol relativně umírněně, neboť v řadě případů se přiklonil k jinému řešení (např. napomenutí) namísto uložení pokuty. Pokud přesto k uložení pokuty došlo, pohyboval se ÚOOÚ nicméně stále v mezích zákona č. 101/2000 Sb., o ochraně osobních údajů, kterým je horní hranice uložené pokuty stanovena na 10 milionů korun. Ani na tu ovšem žádný ze správců či zpracovatelů dosud zdaleka nedosáhl.

Nadbytečné souhlasy

Jaký je tedy aktuální stav? Lze konstatovat, že se úroveň ochrany osobních údajů zvýšila, nicméně i nadále přetrvávají základní neznalosti některých institutů GDPR, a to jak ze strany mnohých podnikatelů, kteří se nedostatečně s problematikou GDPR seznámili, ale také přímo ze strany subjektů údajů, tedy potenciálních stěžovatelů. Například některé subjekty údajů mají stále pocit, že ke všemu, co se o nich zpracovává, musí udělovat souhlas. To samozřejmě není (vždy) pravda – např. zaměstnavatel nepotřebuje váš souhlas, aby vás zaměstnal, nebo nepotřebujete souhlas druhé smluvní strany při podpisu kupní smlouvy apod.

Správci naproti tomu často shromažďují souhlasy nadbytečně, „pro jistotu“. Neuvědomují si, že takový postup je rovněž hodnocen jako porušení GDPR, neboť vede k chybnému plnění informační povinnosti ze strany správce a zakládá to klamavý a matoucí přístup správce vůči subjektům údajů. U souhlasu jako takového se potom často opomíjí dodržování jeho dobrovolnosti, svobodnosti a odvolatelnosti, čímž správci rovněž překračují svá práva v oblasti ochrany osobních údajů na úkor práv subjektů údajů.

Téměř rok po účinnosti GDPR jsme se také dočkali adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Ten upravuje například snížení věkové hranice dětí pro nabývání způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti se zasíláním obchodních sdělení na 15 let věku dítěte. Nový zákon dále potvrdil, že informační povinnost mohou správci plnit způsobem umožňujícím dálkový přístup. Překvapivě opomíjený aspekt v novém zákoně představují poměrně široce definované skutkové podstaty přestupků, což pro podnikatele představuje potenciální riziko ukládání vyšších pokut.

Z praktického pohledu správců uvádíme, že podnikatelé na denní bázi řeší například porušení zabezpečení osobních údajů (ztracené notebooky, nedovolené vniknutí do systému apod.) či zpracování osobních údajů při různých marketingových aktivitách. V neposlední řadě si nastavují modelové odpovědi pro reakce na žádosti o výmaz či žádosti o přístup, které nejčastěji subjekty údajů podávají.

Často se také diskutují parametry zpracovatelských smluv. Asi už není nikdo, koho by překvapilo, že jeho obchodní partner chce podepsat smlouvu o zpracování osobních údajů. Málokdo si však uvědomuje, co vše na základě takové smlouvy vlastně po druhé smluvní straně může žádat. Zejména správci, pokud si uhlídají veškeré povinné, ale zároveň ustojí i nepovinné náležitosti zpracovatelských smluv, zde stojí v jednoznačné výhodě.

Mezi ty povinné například patří právo správce provádět u zpracovatele audity – tedy navštívit provozovnu zpracovatele a kontrolovat, že osobní údaje, které mu správce předal, zpracovává zpracovatel v souladu se smlouvou. Zpracovatel si naopak v reakci na toto právo správce může stanovit, že audity budou ze strany správce hrazené za dohodnutou hodinovou sazbu. Mezi nepovinné náležitosti pak například patří možnost správce vložit do zpracovatelské smlouvy nárok na úhradu smluvní pokuty, pokud dojde k porušení povinností ze strany zpracovatele. Konečná podoba zpracovatelských smluv je pak výsledkem mnohdy rozsáhlých vyjednávání a zajímavé bude rovněž případné vymáhání nároků z těchto smluv.

Možnosti jsou nyní dvě: buď panika zcela ustane a situace kolem GDPR se uklidní, nebo ÚOOÚ udělí přelomovou výši pokuty, jako tomu bylo v jiných státech (např. 1,5 % celosvětového obratu – přes pět miliard korun pro British Airways nebo přes 10 milionů korun pro portugalskou nemocnici), která vyvolá „třetí vlnu“ zájmu nejen o řádnou implementaci nařízení. Budoucnost GDPR zůstává v České republice, ale i v dalších členských státech, stále otevřená.

Mgr. Gabriela Jiráková je advokátkou v bpv Braun Partners.

Zdroj: Jiráková: Co bude dál s GDPR? Počet kontrol roste a pravidla porušuje i nadbytečné sbírání souhlasů | info.cz

%d blogerům se to líbí: