Pokud správce jedná čestně, lze mnohé napravit
O minulých i současných povinnostech a cílech ÚOOÚ hovořil jeho ředitel sekce správní Josef Prokeš na listopadové konferenci „GDPR plus 180 dní“. Tam zároveň nabídl i první zkušenosti Úřadu s obecným nařízením po téměř půl roce účinnosti.
„Úřad se v současné době stále věnuje především konzultacím a poskytováním rad v metodické oblasti. Pokutování novinek není na pořadu dne, mj. s ohledem na chybějící doplňující legislativu k GDPR,“ upozornil Prokeš. Podle jeho slov bylo v minulosti možno fungování ÚOOÚ přirovnat k úrovni malého ministerstva. „Před účinností GDPR vypracovával Úřad úkoly a psal návody správcům, což bylo v rozporu s posláním nezávislého dohledu nad zpracováním údajů. Dnes se snažíme striktně naplňovat působnost, která náleží dozorovému úřadu. V návaznosti na první zkušenosti s GDPR dochází k úpravě dosavadních forem poradenské činnosti a poskytování osvěty,“ uvedl s tím, že každý správce nalezne veškeré základní informace na webových stránkách ÚOOÚ. „Pracujeme nyní více s metodikami ústředních úřadů. Častým omylem správců však je, že přicházejí s popisem problému a chtějí po Úřadu komplexní řešení. Takto však dozorový úřad za správce konat nemůže. My nepečeme rohlíky, ale radíme s technologií, jak je péct,“ přirovnal ředitel sekce správní.
Účastníky konference seznámil se statistikou podnětů a stížností, kde Úřad eviduje téměř dvojnásobné množství oproti roku 2017. „Mnoho z nich se týká řešení soukromoprávních nároků dle občanského zákoníku, jejichž posuzování je mimo gesci ÚOOÚ,“ upřesnil.
„Trvalým tématem jsou nadbytečné souhlasy se zpracováním údajů. V České republice je přesouhlasováno. Úplně zbytečně, protože v mnoha případech je správci vyžadovat ani nesmí. Souhlasy mnohdy získávají dosti agresivním nebo zavádějícím způsobem, což je samozřejmě v rozporu s obecným nařízením,“ hovořil o oblasti, která je v popředí zájmu veřejnosti.
Josef Prokeš nastínil také nedostatky, se kterými se Úřad u správců potýká v nahlašování porušení zabezpečení a ve specializované konzultační činnosti. „U případů tzv. „data breaches“ od správců vyžadujeme popis přijatých opatření a odhad důsledků porušení zabezpečení. Překvapivě dostáváme velmi málo kvalifikovaných žádostí o předběžnou konzultaci týkající se posouzení vlivu na ochranu osobních údajů,“ uvedl.
V dozorové činnosti se Úřadu velmi osvědčily vytýkací dopisy, kterými správce upozorní na chyby, ale ještě neznamenají a ani vždy automaticky nevedou k udělení pokuty (svůj přístup k pokutování popsal ÚOOÚ zde). Co se samotné komunikace ohledně problematického zpracování týče, zdůraznil ředitel sekce správní potřebu férového, čestného a otevřeného jednání.
Odbornou konferenci „GDPR plus 180 dní” pořádal v Praze Spolek pro ochranu osobních údajů, sekce Compliance z Unie podnikových právníků a společnost Microsoft. Vystoupili na ní domácí i zahraniční odborníci ochrany dat spolu s bezpečnostními a právními experty.
Související
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro...
vydáno 16.04.2024
Téma: Zákony a GDPR
Pokuta byla společnosti Meta IE udělena na základě šetření její služby Facebook ze strany irského úřadu pro...
vydáno 23.05.2023
Téma: Zákony a GDPR
Pokuta uložená Ministerstvu vnitra ČR ve výši 975 000 Kč za plošné zpracovávání údajů o osobách, kterým byla...
vydáno 25.04.2023
Téma: Zákony a GDPR
Související dotazy
Odpovídá Vladimír Paclík
Ano, rozumíte tomu správně. Pro zpracování osobních údajů existuje zákonný rámec, jímž je především zákon č. 262/2006 Sb., zákoník práce, ve znění...
Odpovídá Mgr. Martin Leskovjan
Ano, i vizitka může obsahovat osobní údaje a ve většině případů osobní údaje obsahuje, a to pokud zahrnuje informace, kterými lze přímo nebo nepřímo...
Odpovídá Mgr. Nikola Dohnalová
Pověřenec pro ochranu osobních údajů vykonává úkoly dle čl. 39 GDPR. Dle čl. 38 odst. 3 GDPR musí správce a zpracovatel zajistit, aby pověřenec...