Dva roky s GDPR: Pro některé firmy představuje nařízení stále problém, míní experti

© Pixabay.com

Firmy mají i dva roky od vstupu nařízení GDPR v platnost s jeho uplatňováním stále problémy. Dnes zveřejněná zpráva navíc upozorňuje na podfinancování národních úřadů pro ochranu údajů, které mají nad dodržováním nařízení dohled. 

Zavádění obecného nařízení o ochraně osobních údajů (GDPR) do praxe doprovázela téměř panika, ještě pár týdnů před jeho účinností na něj řada firem a podnikatelů nebyla dostatečně či vůbec připravena.

„Situace se určitě zlepšila, ale stále se lze setkat s podnikateli, kteří GDPR ignorují nebo ho nepochopili, a uplatňují pouze některá pravidla pro zpracování osobních údajů. A to ještě špatně nebo nedostatečně,“ řekla ČTK advokátka společnosti Vilímková Dudák & Partners Klára Valentová.

Například plnění informační povinnosti vůči subjektům stále v praxi působí problémy. Informace jsou nepřehledné, dlouhé a nesrozumitelné, a navíc nejsou předávány včas a adresně. Firmy si často některá ustanovení GDPR vykládají špatně, tudíž nařízení porušují.

„V podstatě jsem se ještě nesetkala s firmou, která by GDPR provedla zcela bezchybně. To je totiž v podstatě nesplnitelný úkol vzhledem k tomu, jak je nařízení obecné,“ dodala Valentová.

Z počátku se nejvíce řešily souhlasy se zpracováním osobních údajů, které se dodnes objevují v nesmyslných situacích a textacích. „Nadbytečnost souhlasů byla jednou z nejčastějších chyb,“ upozornil ředitel cloudových služeb společnosti Algotech Petr Loužecký. Informovanost se podle něj během dvou let hodně zlepšila, je již dost konkrétních případů pochybení, na kterých se firmy mohou poučit.

V praxi ale i po dvou letech zůstávají problémy především s poskytováním jasných informací o prováděném zpracování osobních údajů a uplatňováním dalších práv subjektů údajů. Například řada systémů stále neumí definitivní výmaz údajů tam, kde to GDPR vyžaduje.

„V praxi se také často setkávám s nelegálním sledováním zaměstnanců a nekontrolovatelným sdílením osobních údajů v rámci skupiny podniků, kdy osobní data končí tam, kde není jejich ochrana dostatečně regulována,“ doplnila Valentová.

#jasnovEU – díl 15: The best of GDPR

Tento týden přinášíme výběr toho nejzajímavějšího k GDPR. Teď už jen zbývá, aby někdo nazpíval parodickou píseň na melodii YMCA. 

Velké firmy řeší GDPR zodpovědněji

Odborníci se shodují na tom, že si podnikatelé uvědomují důležitost osobních údajů a začali se při nakládání s nimi chovat zodpovědněji. „Firmy si uvědomují důležitost ochrany osobních údajů i díky medializaci kybernetických útoků, které často úniky údajů provází. Důležité je si přiznat, že GDPR nebyla jednorázová akce a ochranu údajů je třeba neustále rozvíjet a upravovat. Adaptace bude trvat ještě hodně let a bude se vyvíjet i s ohledem na nové technologie,“ podotkl Loužecký.

Podle expertů jsou velké rozdíly mezi velkými firmami a malými podnikateli. Velké firmy řeší GDPR zodpovědněji, především ty, které mají oddělení nebo osobu, která má ochranu osobních údajů jako součást pracovní náplně. Malí podnikatelé sice GDPR zaznamenali, ale velmi často ho ignorují. Nehrozí jim totiž tak vysoké pokuty jako velkým firmám.

Ačkoli GDPR umožňuje ukládat za jeho porušení velmi vysoké pokuty a v okolních státech již byly uloženy v miliardové výši, český Úřad pro ochranu osobních údajů zatím ukládá nízké pokuty, nejčastěji v řádu desítek tisíc, výjimečně v řádu stovek tisíc korun. A pokud kontrolovaná osoba sjedná rychle nápravu, úřad od uložení sankce často upouští.

Po GDPR jsou na řadě i neosobní údaje. Brusel navrhuje zrušit omezení a povzbudit trh

Evropský parlament se zabývá návrhem na zrušení omezení, která brání volnému pohybu neosobních údajů napříč členskými státy EU. Nový soubor pravidel Komise navrhla už vloni na podzim. Chce tak firmám ulehčit administrativní zátěž i zbytečné výdaje.

 

Podfinancované úřady ochrany osobních údajů

Podle dnes zveřejněné zprávy neziskové organizace Access Now existují v EU ve financování národních úřadů pro ochranu osobních údajů velké rozdíly. Například Velká Británie poskytuje svému úřadu dvakrát tolik co Itálie a třikrát tolik co Francie. Informoval o tom server EURACTIV.com

V reakci na nedávnou zprávu Evropského sboru pro ochranu osobních údajů, některé členské státy včetně Německa, Francie a Španělska uvedly, že nemají dostatek financí na to, aby mohly efektivně vykonávat svou práci. „Vzhledem k nedostatku prostředků národních úřadů pro ochranu osobních údajů by naše práva nemusela být efektivně chráněna,“ píše se ve zprávě.

Předseda europarlamentního výboru pro občanské svobody Juan Fernando López Aguilar vyzval v dopise evropského komisaře pro spravedlnost Didiera Reynderse, aby zahájil proti zemím, které nejsou dlouhodobě schopny poskytnout národním úřadům pro ochranu údajů dostatek prostředků, proceduru pro porušení smluv, tzv. infringement.

Zpráva upozorňuje na to, že by se firmy mohly pokoušet využít nedostatek prostředků úřadů k potenciálnímu obcházení nařízení nebo oddálení jeho účinnosti, odkazuje při tom na nedávné tvrzení irské Komise pro ochranu údajů, že „procedurální otázky“ zpožďují rozhodnutí o pokutách.

Organizace v reportu také připomíná kauzu úniku dat Cambridge Analytica, která nakonec vyústila v dohodu o vyrovnání mezi Spojeným královstvím a Facebokem, a obává se, že se úřady kvůli nedostatku prostředků vydají cestou vyrovnání, která pro ně nemusí být výhodná.

Navíc v evropských zemích neroste ani počet zaměstnanců úřadů a podle odhadů pravděpodobně výrazně nevzroste ani letos.

„Dnes je druhé výročí nařízení GDPR. Namísto oslavy upozorňujeme na jeho slabé vymáhaní,“ uvedla organizace hodnotící zprávu na Twitteru.

Obavy vzbuzuje případ Irska

Někteří globální giganti, jako je Facebook, Google nebo Twitter, zde mají svá evropská sídla a spadají tak do jeho gesce.

Ke konci loňského roku se irská komisařka pro ochranu dat Helen Dixonová nechala slyšet, že je „zklamaná“ z toho, kolik irská vláda úřadu poskytla z rozpočtu peněz. Jednalo se ani ne o třetinu toho, co irský úřad pro ochranu dat požadoval.

Existují tedy obavy, zda bude úřad schopen s digitálními giganty za zády dodržování GDPR hlídat.

Evropská vize digitální budoucnosti: Regulace internetu, umělá inteligence a sběr dat

Evropská komise dnes zveřejnila dlouho očekávanou a komplexní strategii s názvem Evropa v digitálním věku (Europe fit for the digital age). Na první pohled nudný a nic neříkající název v sobě obsahuje vizi směřování EU v digitální oblasti na příští desítky let.