5 let s GDPR
Monitorování dodržování GDPR nabere na síle
Je to již 5 let, kdy Nařízení o ochraně osobních údajů, známé pod názvem GDPR, nabylo účinnosti.
V roce 2023 by mělo dojít ze strany Evropského sboru pro ochranu osobních údajů i českého Úřadu pro ochranu osobních údajů k zaměření se na pověřence pro ochranu osobních údajů, u kterých bude ověřována jejich znalost vnitřních procesů a činností správců a zpracovatelů dat a jejich nezávislé monitorování dodržování GDPR.
Čím dál častěji jsme svědky finančních postihů těch, kteří porušují předpisy o ochraně osobních údajů, přičemž za porušování povinností uložených GDPR hrozí tučné pokuty. Nejvyšší pokuta byla zatím uložena společnosti Amazon lucemburským úřadem pro ochrnu dat, a to ve výši 18,5 miliardy korun. Důvodem pro sankci byl nesprávný proces pro získávání souhlasu uživatelů se zpracováním jejich údajů a nedostatečné plnění informační povinnosti. Pokuty v řádech milionů korun pro porušení GDPR uložil již i český Úřad pro ochranu osobních údajů.
Přijetí tohoto nařízení přineslo určitou evoluci právních předpisů na ochranu osobních údajů. Většina institutů upravených GDPR již byla členským právním řádům známá, ale vyskytly se v něm i novinky. Nařízení ovšem směrovalo primárně k dosažení sjednocení právní úpravy této oblasti na unijní úrovni a zpřísnění její regulace. Hlavním cílem byla snaha o umožnění kontroly poskytnutých osobních údajů těmi, kdo o sobě osobní údaje poskytují, a zajištění, aby subjekty, jejichž údaje jsou shromažďovány, věděly, kterým subjektům své osobní údaje poskytují, v jakém rozsahu a k jakým účelům.
Pro GDPR je významné to, že se týká všech, kteří určitým způsobem zpracovávají osobní údaje třetích osob, ať už se jedná o jejich klienty či zaměstnance. Pokud dochází k získávání osobních údajů, je nutné být ohledně získaných informací transparentní, tedy již od prvotního poskytnutí údajů tyto osoby informovat o tom, jaké informace jsou o nich získávány, zpracovávány a komu jsou poskytovány.
V případě, že tyto osoby požadují bližší informace, je povinný subjekt musí poskytnout. Subjekty v praxi ovšem často nevěděly, jakým způsobem při plnění těchto povinností postupovat, a tak v minulém roce Evropský sbor pro ochranu osobních údajů vydal návrh metodiky k uplatnění práva na přístup. Problém ovšem spočívá v tom, že povinné subjekty nejsou dostatečně informované a tato metodika zatím často není vůbec aplikována.
Konkrétnější výklad v tomto směru poskytl rovněž Soudní dvůr EU, který stanovil, že požádá-li subjekt o poskytnutí informace, komu jsou údaje poskytovány, musí tyto skutečnosti sdělit konkrétně, ne pouze obecně (např. „obchodním partnerům“).
Můžeme tak vidět, že postupně dochází k upřesňování tohoto nařízení praxí, a GDPR se tak neustále vyvíjí, primárně směrem zpřísňování regulace a zvyšování transparentnosti.
Každý, kdo nakládá s osobními údaji, by měl GDPR věnovat pozornost a nepodceňovat jeho pravidla, protože jeho dodržování je vynucováno jak vnitrostátními, tak unijními dozorčími orgány a nedodržení je přísně sankcionováno.
V případě dotazů nás neváhejte kontaktovat.
Mgr. Ing. JAN MLČÁK
partner
NSG Morison advokátní kancelář s.r.o.
jan.mlcak@nsgmorison.cz
tel: + 420 224 800 930
mob: + 420 734 510 243