Rok s GDPR: Některé státy pravidla stále nedodržují, Česko uděluje první pokuty

© Shutterstock

Letos v květnu uplynul rok od doby, kdy v Evropské unii začalo platit nařízení o ochraně osobních dat známé pod zkratkou GDPR. Jak jsou na tom státy Unie s jeho dodržováním a jak jej hodnotí Evropská komise?

Podle hodnotící zprávy Evropské komise se na GDRP postupně adaptují úřady i podniky, práce v tomto směru však ještě není u konce. Nařízení se týká všech institucí či firem, které nakládají s osobními údaji a jeho cílem je ochrana občanů EU před zneužitím těchto informací.

Po jeho zavedení už například nemůže být souhlas se zpracováváním osobních údajů zahrnut do obchodních podmínek, občané mají také právo na výmaz poskytnutých údajů z marketingových databází. Únik citlivých informací musejí zpracovatelé do 72 hodin hlásit národnímu úřadu pro ochranu osobních údajů a za porušení pravidel může být uložena pokuta až 20 milionů eur (přes 500 milionů Kč) nebo postih odpovídající až čtyřem procentům ročního obratu firmy.

Infografika: GDPR, konec roamingu i střídání času. To nejdůležitější, co schválil europarlament

Evropským parlamentem prošlo za jeho funkční období od roku 2014 do letošního dubna více než tisíc legislativních návrhů. Zatímco desítky z nich před letošními evropskými volbami poslanci odsouhlasili bez zájmu veřejnosti, řada směrnic a nařízení vyvolala velký ohlas.

Hodnotící zpráva Komise je optimistická, stále je ale co zlepšovat

„První rok platnosti nařízení hodnotí Komise pozitivně. Nicméně jak ukazuje tato zpráva, v několika oblastech je ještě nutné dosáhnout určitého pokroku,“ uvedla Komise ve zprávě.

Podle české eurokomisařky pro spravedlnost, spotřebitele a rovnost pohlaví Věry Jourové už obecné nařízení o ochraně osobních údajů  přináší ovoce. „Je ale zapotřebí další práce, aby mohl být nový režim ochrany osobních údajů skutečně plně funkční a účinný,“ uvedla. Jourová hodnotí GDPR jako nástroj, který slouží Evropanům pro zvládnutí výzev digitalizace a dává lidem kontrolu nad osobními údaji.

Podle zprávy by stakeholdři chtěli oblast ochrany údajů napříč Evropou ještě více harmonizovat. Komise v této souvislosti připomněla, že státy mohou národní právní předpisy upravit i nad rámec GDPR. Takové předpisy ale musí být v souladu s Listinou základních práv EU a nesmí nijak omezovat volný tok dat v Unii. Německo například nad rámec GDPR zavedlo povinnou pozici zmocněnce pro ochranu dat ve firmách s 20 a více zaměstnanci, které se ve zpracování dat angažují.

Komise ve zprávě také informovala o procesu vyšetřování případného porušení nařízení. „Některá vyšetřování prohřešků, která začala krátce po účinnosti nařízení stále běží, protože se jedná o složitý proces,“ uvedla a zdůraznila, že by se úspěšnost nařízení neměla měřit počtem udělených pokut, ale na základě pokroku ze strany zúčastněných aktérů. Nejvyšší pokuta ve výši 50 milionů eur byla zatím udělena francouzskému Googlu kvůli podmínkám týkajících se získání souhlasu uživatelů.

Podle Komise je v souvislosti s ochranou dat a dodržováním GDPR nyní klíčová podpora malých a středních podniků, rozšíření povědomí veřejnosti a vytvoření „kultury ochrany dat“.

Podle květnového Eurobarometru jen pětina Evropanů ví, který úřad za ochranu jejich dat zodpovídá. Komise proto nedávno spustila kampaň s cílem „motivovat evropské občany, aby četli prohlášení o ochraně soukromí a optimalizovali si nastavení ochrany soukromí“. Na druhou stranu 67 % respondentů o existenci nařízení ví a 73 % má povědomí alespoň o jednom z práv, které nařízení občanům přináší.

Hodnocení prvního roku GDPR zmiňuje také mezinárodní dopad nařízení, které se stalo referenčním bodem pro tvorbu podobných pravidel mimo EU. „Komise dále zintenzivní své dialogy o odpovídající ochraně, a to i v oblasti vymáhání práva. Zaměřuje se zejména na to, aby v nadcházejících měsících dokončila nynější jednání s Korejskou republikou,“ uvedla instituce ve zprávě s tím, že pokroky v oblasti ochrany dat ve třetích zemích lze sledovat například v Kanadě, na Novém Zélandu, v Argentině či v Izraeli.

Další hodnocení vypracuje Evropská komise v roce 2020.

Po GDPR jsou na řadě i neosobní údaje. Brusel navrhuje zrušit omezení a povzbudit trh

Evropský parlament se zabývá návrhem na zrušení omezení, která brání volnému pohybu neosobních údajů napříč členskými státy EU. Nový soubor pravidel Komise navrhla už vloni na podzim. Chce tak firmám ulehčit administrativní zátěž i zbytečné výdaje.

Některé státy jsou pozadu

Celkem tři státy Unie nařízení dosud neimplementovaly do svých národních právních řádů. Jedná se o Portugalsko, Řecko a Slovinsko.

Komise k situaci uvedla, že dotčené státy musí nařízení implementovat co nejrychleji. V opačném případě „využije všechny nástroje, které má k dispozici včetně řízení o nesplnění povinnosti, aby zajistila, že jsou národní předpisy členských států v souladu s nařízením a zamezila tak roztříštění evropského rámce ochrany údajů.“

Problémy s implementací mají i některé další země. Ve Španělsku a také v Německu vydaly nedávno tamní soudy rozhodnutí, kterým se anulují některé národní předpisy, a to právě kvůli jejich neslučitelnosti s GDPR.

#jasnovEU – díl 15: The best of GDPR

Tento týden přinášíme výběr toho nejzajímavějšího k GDPR. Teď už jen zbývá, aby někdo nazpíval parodickou píseň na melodii YMCA. 

Jak je na tom Česko?

Nová česká pravidla ochrany soukromí navazující na unijní nařízení začala platit před třemi měsíci. Ve stejnou dobu nicméně společnost KPMG zjistila u řady českých firem problémy s dodržováním evropského opatření. Jen ve veřejně dostupných údajích odhalil průzkum 76 prohřešků vůči GDPR.

Český úřad pro ochranu osobních údajů (ÚOOÚ) v tiskové zprávě informoval o tom, že od platnosti GDPR „bylo uskutečněno 38 ukončených kontrol, mezi nimiž bylo v 16 případech zjištěno porušení zákona o ochraně osobních údajů. Dalších 23 kontrol probíhá.“

Úřad zatím udělil osm pravomocných pokut v celkové výši 370 000 Kč. Pokutu dostaly třeba marketingová firma, banka, nezisková organizace nebo půjčovna aut. Jednalo se například o prohřešky jako „nezabezpečení smluv s osobními údaji klientů, zveřejňování seznamu s osobními údaji na internetu či zpracování osobních údajů po uplynutí lhůty určené k jejich likvidaci,“ upřesnil tiskový mluvčí ÚOOÚ Tomáš Paták.

ÚOOÚ v souvislosti s „výročím“ GDPR uvedl, že „nařízení změnilo do určité míry povahu Úřadu, který i nadále plní svou kontrolní a dozorovou roli, ale výrazně posílila jeho vzdělávací, konzultační a osvětová role.“

Podle Úřadu stará právní úprava ochrany osobních údajů „nestačila technickému stavu naší doby.“ Nová legislativa ochranu zdokonalila, ale přinesla s sebou také nárůst agendy.  „Zatímco v období jednoho roku před účinností GDPR se ÚOOÚ věnoval 2385 podnětům, od 25. května 2018 eviduje již 3851 podnětů,“ napsal Úřad ve zprávě.

Nejčastěji se jedná o stížnosti ve věci získávání souhlasu, nerespektování práv subjektů údajů, nevyžádaných obchodních sdělení nebo zveřejnění osobních údajů na internetu a kamerových systémů. Paták upozornil na to, že stížnosti jsou v některých případech založené na chybných informacích oznamovatelů, kteří se mylně domnívají, že ke každému zpracování osobních údajů musí uvést souhlas.

GDPR je nezbytné, ale může mít ještě nějaká slabá místa, říká ministr Pelikán

Už 12 dní je v účinnosti unijní nařízení o ochraně osobních dat. Zjišťuje se ale, že nepokrývá vše, co by mohlo. Třeba politické kampaně.