Jak je to s dodržováním nařízení GDPR?

GDPR se týká jak evropských institucí a firem, tak i fyzických osob a online služeb. Takže ať jde o bankovnictví, zdravotnictví, veřejnou správu, neziskové organizace, fyzické a právnické osoby se zaměstnanci, e-shopy a další, všichni musí dbát na ochranu osobních údajů zaměstnanců, členů, klientů, dodavatelů, zveřejňování osobních údajů na internetu, dodržování GDPR u optických a audiovizuálních systémů aj.; chráněna jsou i digitální práva občanů EU.

GDPR se musí řídit každý, kdo shromažďuje či zpracovává osobní údaje Evropanů, tzn., týká se i všech společností a institucí mimo Evropskou unii, které na evropském trhu působí. Tak má být zajištěna nejen ochrana osobních údajů, ale také zákonnost jejich předávání do třetích zemí.

Tato pravidla jsou jednotná pro všechny unijní země, aby je zákonodárci nemohli přizpůsobovat svým prioritním zájmům.

K základním osobním údajům jako je jméno, bydliště, rodné číslo, rodinný stav aj., přibyly i informace o zdravotním stavu, politických názorech, rasový či etnický původ, náboženské a filozofické vyznání, sexuální orientace, členství v odborech, trestní postihy a pravomocná odsouzení. K citlivým údajům patří i osobní údaje dětí a biometrická a genetická data. Zpracování citlivých osobních údajů podléhá ještě přísnějšímu režimu než obecné údaje.

Při zpracovávání osobních a citlivých údajů je třeba si vždy vyžádat souhlas dotčeného subjektu.

Zásady GDPR jsou shrnuty na webu Úřadu pro ochranu osobních údajů takto, cituji:

• „zákonnost, korektnost, transparentnost – správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně
• omezení účelu – osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely
• minimalizace údajů – osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány
• přesnost – osobní údaje musí být přesné
• omezení uložení – osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektů údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány
• integrita a důvěrnost – technické a organizační zabezpečení osobních údajů“

Jedna věc je však vydané nařízení, a ta druhá, jak je nařízení v praxi dodržováno. Monitoring uplatňování nařízení provádí dozorové úřady, které mají rozšířenou pravomoc dodržování GDPR vymáhat a v opačném případě udělovat pokuty.

Ze statistik vyplývá, že kontrolní orgány zaznamenávají každý rok stále více porušení tohoto nařízení, a to i přesto, že jsou zavedeny velmi vysoké pokuty za nedodržování GDPR. Za porušování anebo za nezavedení nového nařízení mohou být povinné subjekty sankcionovány tak, že by to pro ně mohlo být i likvidační. Maximální výše pokuty byla stanovena na 20 mil. eur nebo 4 % z ročního obratu společnosti. Reálná pokuta se odvíjí od závažnosti a délky porušování nařízení, zohledňuje se, kolik občanů bylo poškozeno a jaká je celková škoda a další. Kromě toho mohou hrozit zpracovatelům osobních dat ještě soudní žaloby od poškozených osob, s požadováním odškodnění za hmotnou i nehmotnou újmu. Navíc jsou tyto společnosti vystaveny ztrátě důvěry a dobrého jména.

Jaké nejvyšší pokuty byly uděleny?

• „pokuta 50 milionů EUR byla udělena francouzským úřadem CNIL v lednu 2019
• úřad v německém Hamburku v říjnu 2020 pokutoval nejmenovaný maloobchod za nedostatečný právní základ zpracování osobních údajů částkou 35 milionů EUR
• v lednu 2020 udělil italský úřad Garante pokutu telekomunikačnímu operátorovi dokonce za několik prohřešků - zejména za neadekvátní technické a organizační opatření k ochraně osobních údajů, nedostatečný právní základ pro zpracování osobních údajů a nedostatečný „privacy by design“; pokuta dosáhla výše 27 milionů EUR“ – zdroj: www.epravo.cz

Nejnižší pokuty byly uděleny Estonsku (pouhých 408 Eur), Lichtenštejnsku, Islandu, Rakousku, Litvě a Lotyšsku.

Celé znění nařízení Evropského parlamentu najdete zde.

Autor: PROFEETO