Řada organizací stále nemá řádně vyřešeno GDPR. Nejčastější chybou je nadbytečné vyžadování souhlasu

Tři roky od zavedení Obecného nařízení o ochraně osobních údajů (GDPR) nemá tuto oblast správně ošetřenou podstatná část organizací. Přestože jejich počet není možné přesně vyčíslit, odborníci z poradenské skupiny Moore Czech Republic, která je správcem osobních údajů pro téměř 300 organizací, upozorňují, že řadě z nich hrozí sankce. Nařízení od samého počátku provázelo mnoho obav, které způsobují mnoho zbytečných chyb zvyšujících administrativní zátěž.

Nad nařízením GDPR visí ještě tři roky po nabytí účinnosti mnoho nejasností. Podle odborníků z poradenské skupiny Moore Czech Republic se zpracování údajů týká nepřeberného množství oborů a mnoho subjektů v dodržování legislativy stále často chybuje. Mezi nejčastější chyby patří zpracovávání nadbytečného množství údajů, neoprávněné zveřejnění osobních údajů a zasílání nevyžádaných obchodních sdělení. „Po dobu své praxe jsem se ještě nesetkal s úmyslným porušením zabezpečení osobních údajů. Bohužel i neúmyslná porušení, jako ztráta či nechtěné zničení dat, mohla vést k sankcím, přestože veškeré ostatní procesy byly nastaveny správně,“ uvádí Petr Štětka, manažer Moore Advisory. Do 30. dubna 2021 přišlo Úřadu pro ochranu osobních údajů (ÚOOÚ) 1065 ohlášení o závažnějším porušení povinností při zpracování osobních údajů. Pokut bylo ovšem uděleno jen 12 v celkové hodnotě přes půl milionu korun. Z toho největší pokuta byla ve výši 180 000 korun.

Nadměrné vyjadřování souhlasu

Kromě neúmyslných nedopatření ovšem podle poradenské skupiny Moore Czech Republic dochází k hrubým porušením, jako jsou například neoznačené kamerové systémy, nedostatečné informování o zpracování osobních údajů, ale také nadbytečné vyjadřování souhlasu. „Spousta organizací vyžaduje souhlas tam, kde to není nutné a nadbytečně tak přidělávají administrativu sobě i svým klientům,“ uvádí Petr Štětka s tím, že nejtypičtějším příkladem je personalistika a souhlas se zpracováním osobních údajů pro mzdové a personální účely. Zpracování přitom v tomto případě vyplývá ze zákona.

Odkazování na starou legislativu

Největší posun v míře ochrany osobních údajů udělali za poslední tři roky provozovatelé webových stránek a e-shopy. Podle zkušeností Petra Štětky se však značná část v aktuální legislativě stále neorientuje, z čehož vznikají výše zmíněná pochybení. „Při testování na covid-19 měl provozovatel testovacího místa ve formuláři, ve kterém byla upravena i problematika ochrany osobních údajů, chybu – odkazoval na neplatný zákon o ochraně osobních údajů. Jde o signál, že organizace nemá GDPR řádně zpracováno, její pověřenec nefunguje, nebo ho dokonce nemá,“ upozorňuje na jednu ze svých osobních zkušeností a dodává: „Podobné nedostatky se přitom dají jednoduše odstranit ve spolupráci se subjektem, který se GDPR dlouhodobě zabývá.“

Současný stav odborníci z části přičítají nedostatku pozornosti a komunikace ze strany státu. Nařízení GDPR bylo schváleno v dubnu 2016 a vešlo v účinnost v květnu 2018. Podle odborníků z poradenské společnosti Moore Advisory tak byl na osvětu dostatek času. „Podcenění informační kampaně znamenalo zbytečnou paniku, jak u zpracovatelů osobních údajů, tak mezi veřejností,” uvádí Štětka. Za nešťastné označuje skutečnost, že český adaptační zákon byl schválen až téměř rok po nabytí účinnosti nařízení GDPR. „Toto uvrhlo soukromý i veřejný sektor do nejistoty. Svůj podíl na negativním vnímání měli tzv. obchodníci se strachem, kteří nám s nadsázkou prezentovali, že po zavedení GDPR si pomalu nebudeme moci s někým podat ruku a představit se, aniž bychom před tím podepsali souhlas,” uzavírá dále Štětka. Běžného občana se přitom nařízení GDPR dotklo minimálně.