nabídněte své služby zadejte poptávku
MENU

Jak je to s dodržováním nařízení GDPR?

Jak je to s dodržováním nařízení GDPR?
30. 3. 2021
V květnu 2018 vešel v platnost nejucelenější soubor pravidel na ochranu dat, a to nařízení GDPR - General Data Protection Regulation, česky Obecné nařízení o ochraně osobních dat. Tato nová legislativa, vytvořená Evropským parlamentem a Evropskou radou, zvyšuje ochranu osobních údajů občanů EU proti jejich neoprávněnému užívání a nakládání s nimi či případnému zneužívání těchto dat. Nařízení GDPR přesně definuje povinnosti správců a zpracovatelů osobních a citlivých údajů.

GDPR se týká jak evropských institucí a firem, tak i fyzických osob a online služeb. Takže ať jde o bankovnictví, zdravotnictví, veřejnou správu, neziskové organizace, fyzické a právnické osoby se zaměstnanci, e-shopy a další, všichni musí dbát na ochranu osobních údajů zaměstnanců, členů, klientů, dodavatelů, zveřejňování osobních údajů na internetu, dodržování GDPR u optických a audiovizuálních systémů aj.; chráněna jsou i digitální práva občanů EU.

GDPR se musí řídit každý, kdo shromažďuje či zpracovává osobní údaje Evropanů, tzn., týká se i všech společností a institucí mimo Evropskou unii, které na evropském trhu působí. Tak má být zajištěna nejen ochrana osobních údajů, ale také zákonnost jejich předávání do třetích zemí.

Tato pravidla jsou jednotná pro všechny unijní země, aby je zákonodárci nemohli přizpůsobovat svým prioritním zájmům.

K základním osobním údajům jako je jméno, bydliště, rodné číslo, rodinný stav aj., přibyly i informace o zdravotním stavu, politických názorech, rasový či etnický původ, náboženské a filozofické vyznání, sexuální orientace, členství v odborech, trestní postihy a pravomocná odsouzení. K citlivým údajům patří i osobní údaje dětí a biometrická a genetická data. Zpracování citlivých osobních údajů podléhá ještě přísnějšímu režimu než obecné údaje.

Při zpracovávání osobních a citlivých údajů je třeba si vždy vyžádat souhlas dotčeného subjektu.

Zásady GDPR jsou shrnuty na webu Úřadu pro ochranu osobních údajů takto, cituji:

  • zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně
  • omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
  • minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
  • přesnost – osobní údaje musí být přesné
  • omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektů údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
  • integrita a důvěrnost – technické a organizační zabezpečení osobních údajů“

Jedna věc je však vydané nařízení, a ta druhá, jak je nařízení v praxi dodržováno. Monitoring uplatňování nařízení provádí dozorové úřady, které mají rozšířenou pravomoc dodržování GDPR vymáhat a v opačném případě udělovat pokuty.

Ze statistik vyplývá, že kontrolní orgány zaznamenávají každý rok stále více porušení tohoto nařízení, a to i přesto, že jsou zavedeny velmi vysoké pokuty za nedodržování GDPR. Za porušování anebo za nezavedení nového nařízení mohou být povinné subjekty sankcionovány tak, že by to pro ně mohlo být i likvidační. Maximální výše pokuty byla stanovena na 20 mil. eur nebo 4 % z ročního obratu společnosti. Reálná pokuta se odvíjí od závažnosti a délky porušování nařízení, zohledňuje se, kolik občanů bylo poškozeno a jaká je celková škoda a další. Kromě toho mohou hrozit zpracovatelům osobních dat ještě soudní žaloby od poškozených osob, s požadováním odškodnění za hmotnou i nehmotnou újmu. Navíc jsou tyto společnosti vystaveny ztrátě důvěry a dobrého jména.

Jaké nejvyšší pokuty byly uděleny?

  • „pokuta 50 milionů EUR byla udělena francouzským úřadem CNIL v lednu 2019
  • úřad v německém Hamburku v říjnu 2020 pokutoval nejmenovaný maloobchod za nedostatečný právní základ zpracování osobních údajů částkou 35 milionů EUR
  • v lednu 2020 udělil italský úřad Garante pokutu telekomunikačnímu operátorovi dokonce za několik prohřešků - zejména za neadekvátní technické a organizační opatření k ochraně osobních údajů, nedostatečný právní základ pro zpracování osobních údajů a nedostatečný „privacy by design“; pokuta dosáhla výše 27 milionů EUR“ – zdroj: www.epravo.cz

Nejnižší pokuty byly uděleny Estonsku (pouhých 408 Eur), Lichtenštejnsku, Islandu, Rakousku, Litvě a Lotyšsku.

Celé znění nařízení Evropského parlamentu najdete zde.

Autor: PROFEETO

Mohlo by se Vám líbit

Novela notářského řádu

Novela notářského řádu

Dne 13. 8. 2021 byl ve Sbírce zákonů publikován pod č. 300/2021 Sb. zákon, kterým se mění zákon č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád) ...