Co se změnilo od platnosti GDPR? Všimli jste si něčeho?

Co se změnilo od 25. května 2018, kdy s velkou pompou vstoupilo v účinnost GDPR? (V platnost vstoupilo dne 27. dubna 2016). Hlavní očekávání ve spojení s GDPR byla:

  • zvýšená byrokratická zátěž pro podnikatele (což se částečně splnilo, jen lidé zjistili, že to není zase tak hrozné a dá se s tím žít stejně jako před GDPR),
  • vyšší pokuty (to se nesplnilo, ÚOOÚ pokutuje stále konzistentně s minulostí),
  • více podnětů pro Úřad pro ochranu osobních údajů (to se splnilo bezezbytku),
  • výron „chytrolínů“, kteří budou zkoušet na GDPR vydělat (nemyslím poradce, ale konkrétní případ člověka, který opatrně vydíral malé obce, když se podle GDPR nechovaly),
  • upadnutí do zapomnění (což se stalo pouze částečně, protože GDPR ve společnosti ještě stále doznívá).

Jaká jsou fakta?

Zákon, který by upravoval dopady GDPR v rámci české legislativy nebyl ještě přijat. 5. prosince byl zákon ve třetím čtení přijat sněmovnou a poputuje do senátu. Pokud jste fanoušci legislativy, je možné si o tom počíst ZDE.

Úřad pro ochranu osobních údajů tedy ještě nějakou tu chvíli bude postupovat podle kontrolního řádu (více informací ZDE).
Než vás přijde navštívit, pošle vám seznam požadavků, které si máte připravit v průběhu 14 dní.

Co po vás může ÚOOÚ chtít?

  • záznam o činnostech zpracování
  • doložení nejstarších záznamů v databázích
  • evidenci zaměstnanců, kteří mají k osobním údajům přístup, atp.

Pak se úřad podívá, jak jste se s jeho požadavky vypořádali.

Pokud jste do té doby pro GDPR neudělali nic, nejspíš už to nestihnete. Pro tuto práci má úřad 17 kontrolorů (z původních deseti)!

GDPR v číslech

Co se týče počtu podnětů, meziročně je jich pro období 1. června – 1. listopadu 2,5 x více (z 770 na 1993). Informovaní lidé se nebojí domáhat svých práv (někteří i opakovaně) na stránkách Úřadu pro ochranu osobních údajů.

Bohužel, Úřad pro ochranu osobních údajů ještě na svých stránkách nezveřejnil počty kontrol za 2. pololetí roku 2018. Čísla lze očekávat do konce února, protože ÚOOÚ se chová v této oblasti velice transparentně.

Jak je to s pokutami?

Ty se skloňovaly a skloňují ve spojení s GDPR nejvíce.

Na základě GDPR ještě Úřad pro ochranu osobních údajů žádnou pokutu neudělil. To ale neznamená, že neuděloval žádné pokuty. Sankce byly udělovány v rozpětí napomenutí od 5 000 Kč (nejnižší) až po 1 500 000 Kč (nejvyšší pro mall.cz).

Pokud byste se chtěli podívat na kontroly v první polovině roku 2018, ÚOOÚ se s nimi netají.

Když se začalo hovořit o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, uváděl se jako hlavní důvod ochrana lidí před společnostmi, které obchodují s jejich osobními údaji. Ve světě internetu jsou to především sociální sítě.

Druhým důvodem byla ochrana osob před chováním firem, které jednají z pozice síly. Na výsledky působení GDPR je ještě příliš brzy, přesto jsou již náznaky, jak by to mělo fungovat.

Pokuty pro Facebook

Společnost Facebook byla pokutována přinejmenším dvakrát

Nedostatečná ochrana ve Velké Británii

Jednou kvůli nedostatečné ochraně osobních údajů ve Velké Británii, když poskytovala údaje uživatelů Facebooku vývojářské společnosti (v letech 2007 – 2014), která tato data pak prodala v rámci kauzy Cambridge Analytica. Pokuta 660 000 USD (asi 15 000 000 korun) je sice pro Facebook nicotná, ale je to zdvižený prst.

Jak by se choval uživatel v Itálii?

Druhým zdviženým prstem je pokuta z Itálie, kde Facebook dostal pokutu 10 000 000 EUR (asi 260 000 000 korun)

Facebook zdůrazňoval, že je službou zdarma a zamlčel, jakým způsobem vydělává peníze.

Pokuta byla udělena na základě zákona o ochraně spotřebitelů. Za to, že Facebook uživatele neinformoval odpovídajícím způsobem ohledně užívání jejich osobních údajů.

Chyběly informace o:

  • tom, jak budou osobní údaje užívány,
  • jakou mají hodnotu,
  • k čemu budou použity.

Italský soud dospěl k závěru, že kdyby Facebook uživatele pravdivě informoval, jak nakládá s jejich osobními údaji, tak by uživatelé byli opatrnější a chovali by se jinak. Navíc prý Facebook sdílí data se třetími stranami za komerčními účely a to bez předchozího souhlasu uživatele.

GDPR a Facebook

Únik 50 milionů uživatelských účtů v Irsku

Facebook je také vyšetřován v Irsku za únik 50 milionů uživatelských účtů. Maximální pokuta, kterou podle GDPR může Facebook dostat je 37 miliard korun. Což je asi 10 % z jeho čistého zisku.

Nedostupné zahraniční weby

Jednou ze změn, která je nepříjemná a citelná je nedostupnost některých zahraničních webových stránek z evropských IP adres.

Protože by organizace musely nastudovat a zavést náročné principy GDPR, je pro ně výhodnější a jednodušší Evropany na své stránky nepouštět.

Co říct závěrem?

Úřad pro ochranu osobních údajů sliboval, že bude v pokutách umírněný a toho se stále drží. Cíle pro které bylo GDPR zavedeno se daří naplňovat, takže se nejedná o „zbytečnou buzeraci“, ale fungující nástroj chránící občany Evropské unie.

Nestihli jste ještě aplikovat GDPR u vás ve firmě? Nebo potřebujete s něčím poradit? Napište nám, rádi vám pomůžeme.

Táta a nadšenec. Pokud se nevěnuje informační bezpečnosti a IT bezpečnosti v práci, nejspíš ho najdete doma s rodinou. K IT bezpečnosti se dostal náhodou v roce 2010, od té doby se systematicky vzdělává a hledá nové podněty pro zlepšení zabezpečení zákazníků. Rád popularizuje kybernetickou bezpečnost na konferencích. Ve zbytcích volného času pomýšlí na Ironmana.
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů