Tři roky od zavedení Obecného nařízení o ochraně osobních údajů (GDPR) nemá tuto oblast správně ošetřenou podstatná část firem. Řadě z nich hrozí sankce, říká Petr Štětka, manažer Moore Advisory.
Nad nařízením GDPR visí ještě tři roky po nabytí účinnosti mnoho nejasností. Zpracování údajů se týká nepřeberného množství oborů a mnoho subjektů v dodržování legislativy stále často chybuje. Mezi nejčastější chyby patří zpracovávání nadbytečného množství údajů, neoprávněné zveřejnění osobních údajů a zasílání nevyžádaných obchodních sdělení.
Do 30. dubna 2021 přišlo Úřadu pro ochranu osobních údajů (ÚOOÚ) 1065 ohlášení o závažnějším porušení povinností při zpracování osobních údajů. Pokut bylo ovšem uděleno jen 12 v celkové hodnotě přes půl milionu korun. Z toho největší pokuta byla ve výši 180 000 korun.
Kromě neúmyslných nedopatření ovšem dochází k hrubým porušením, jako jsou například neoznačené kamerové systémy, nedostatečné informování o zpracování osobních údajů, ale také nadbytečné vyjadřování souhlasu. Mnoho organizací vyžaduje souhlas tam, kde to není nutné, a přidělávají tímto administrativu sobě i svým klientům. Nejtypičtějším příkladem je personalistika a souhlas se zpracováním osobních údajů pro mzdové a personální účely. Zpracování přitom v tomto případě vyplývá ze zákona.
Největší posun v míře ochrany osobních údajů udělali za poslední tři roky provozovatelé webových stránek a e-shopy. Značná část se však v aktuální legislativě stále neorientuje, z čehož vznikají výše zmíněná pochybení.
Například při testování na covid-19 měl provozovatel testovacího místa ve formuláři, ve kterém byla upravena i problematika ochrany osobních údajů, chybu – odkazoval na neplatný zákon o ochraně osobních údajů. Jde o signál, že organizace nemá GDPR řádně zpracováno, její pověřenec nefunguje, nebo ho dokonce nemá.
Za současným stavem je i nedostatek pozornosti a komunikace ze strany státu. Nařízení GDPR bylo schváleno v dubnu 2016 a vešlo v účinnost v květnu 2018, na osvětu tak byl dostatek času.
Podcenění informační kampaně znamenalo zbytečnou paniku, jak u zpracovatelů osobních údajů, tak mezi veřejností. Za nešťastné považuji skutečnost, že český adaptační zákon byl schválen až téměř rok po nabytí účinnosti nařízení GDPR. To uvrhlo soukromý i veřejný sektor do nejistoty. Svůj podíl na negativním vnímání měli tzv. obchodníci se strachem, kteří nám s nadsázkou prezentovali, že po zavedení GDPR si pomalu nebudeme moci s někým podat ruku a představit se, aniž bychom před tím podepsali souhlas.
Autor: redakce
FocusOn je zpravodajský web zaměřený na nové trendy v ekonomice s důrazem na využívání moderních technologií.