Strašák v podobě unijního nařízení o ochraně osobních údajů, ve zkratce GDPR, platí přesně rok. Novinka tehdy vyvolala hysterii a strach z astronomických pokut. Dohledový úřad jich ale zatím rozdal jen osm v celkové výši 370 tisíc korun. Obchodníci, firmy nebo třeba školy ve velkém obnovovali souhlasy se zpracováním osobních údajů. V některých případech zbytečně.

Tento článek je více než rok starý.

Praha 7:04 25. května 2019 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Řadu rodičů v září překvapil formulář, kde školy požadovaly desítky souhlasů se zpracováním osobních údajů. Třeba kvůli tomu, aby mohli učitelé pověsit obrázky dětí na nástěnku. Nic takového přitom nařízení GDPR nepožadovalo. Na Základní škole Ohradní v Praze podepisovali rodiče až 35 souhlasů.

„Přišlo mi to celkem dost. Podepsali jsme všechno, protože si myslíme, že je to pro dítě a pro školu dobrý a nechceme dělat nějaký obstrukce,“ vysvětluje Radiožurnálu jeden z rodičů Robert Herain.

Škola podle ředitelky Evy Smažíkové chtěla maximálně chránit údaje dětí i rodiče. S odstupem si myslí, že možná až příliš. „Udělali jsme souhlasy na souhlasy, protože se nám zdálo, že musíme asi něco mít a přitom už jsme to všechno měli,“ říká nyní.

Přičítá to obávám, které se loni kolem nařízení GDPR vyrojily. Nově už je na formuláři pro rodiče jen zhruba desítka souhlasů. „Zredukovali jsme je na základě schůzky s naší paní pověřenkyní, abychom se nepřehltili a abychom neměli souhlas, který jasně vychází ze zákona.“

Česko nemělo správnou právní úpravu pro cookies, upozornil student Masarykovy univerzity

Číst článek

Z formuláře zmizelo třeba předání údajů dětí kroužkům, nebo poskytnutí jmen cestovní kanceláři a ubytovacímu zařízení kvůli škole v přírodě.

Nadbytečné souhlasy

Nařízení GDPR platí v praxi od loňského 25. května. Jeho smyslem bylo pomoct chránit práva lidí proti zneužití jejich údajů. Dotklo se úřadů, firem, podnikatelů a všech, kdo evidují své zaměstnance nebo třeba zákazníky.

Nadbytečné získávání souhlasu se zpracováním údajů stále v praxi přetrvává, vysvětlila poradkyně předsedkyně Úřadu pro ochranu osobních údajů Miroslava Matoušová.

„Všude to vysvětlujeme, že získat souhlas subjektů údajů jakoby pro všechny potřeby není dobrá praktika, a pokud tak postupuje soukromý subjekt, je to pro něho velmi nebezpečné, protože tento postup se považuje za klamání člověka,“ říká Radiožurnálu.

Úřad v souvislosti s nařízením zatím rozdal osm pokut v celkové výši 370 tisíc korun. Mimo jiné marketingové firmě, otevřenému webovému registru, půjčovně aut nebo jazykové škole. A to například za nezabezpečení smluv s osobními údaji klientů, zveřejnění seznamu dat na internetu, únik databáze hráčů on-line hry nebo nevyřízení žádostí o přístup k osobním údajům.

PRŮZKUM. Více než polovina Čechů si myslí, že jim GDPR chránit osobní údaje nepomáhá

Číst článek

Na to, jak se s novinkou vyrovnali velcí zpracovatelé údajů, bude ale podle Matoušové potřeba počkat. Část prohřešků totiž zatím úřad řešit nemohl. „V tom roli opravdu sehrálo to, že český adaptační zákon začal v praxi platit teprve před měsícem a nebylo možné provádět kontroly a konstatovat porušení s tím, jak bude vypadat ta konečná právní úprava,“ vysvětluje.

Lidé si taky úřadu víc stěžují na porušování pravidel. Za posledních 12 měsíců dostal přes 3800 podnětů. Za stejné období do účinnosti GDPR to bylo přibližně 2400. Nejčastěji se stížnosti týkaly získávání souhlasu se zpracováním údajů, nevyžádaných obchodních sdělení, zvláštně po telefonu, a taky odepření práv na přístup k údajům nebo jejich vymazání.

Zájem o soukromí

Martin Cach ze Spolku pro ochranu osobních údajů dává nárůst podnětů do souvislosti s tím, že se společnost začala o ochranu soukromí víc zajímat.

„Správci údajů po účinnosti GDPR přistoupili k tomu, že si takzvaně uklidili stůl, zrevidovali, kdo všechno má přístup k údajům, do jaké míry jsou závislí či nezávislí ve vztahu ke svým dodavatelům a podobně. Takže historicky lze hodnotit to, že GDRP nějaké své ovoce přineslo alespoň v tomto směru,“ popisuje.

Podle průzkumu společnosti KPMG má řada firem stále s dodržováním nových pravidel potíže. Správci údajů často museli investovat do obnovy informačních systémů a lepšího zabezpečení dat. Úřady, školy, nemocnice nebo třeba firmy, které ve velkém zpracovávají data lidí, by už rok měli mít pověřence pro ochranu osobních údajů. Dohledovému úřadu jich nahlásili 16 500. Reálně jich ale bude méně, protože jeden pověřenec může pracovat pro více organizací.

Za porušení povinnosti je podle nařízení GDPR možné udělit pokutu až 20 milionů eur nebo 4 % z celosvětového ročního příjmu. Pro úřady, obce a kraje, čeští zákonodárci sankce zrušili.

Václav Štefan Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít