GDPR: Tuzemské pokuty nemohou být výrazně nižší než v západní Evropě

Nové nařízení Evropské unie o ochraně osobních údajů, takzvané GDPR, údajně nebude žádnou revolucí. Většinou “jenom” upřesňuje nebo rozšiřuje předpisy, které již musíme dodržovat. Sice výrazně stoupnou limity pro maximální pokuty, ale obce bývají kontrolovány skoro vždycky pouze na základě stížnosti. Pro novou funkci pověřence proto hledejte člověka, který má dobré komunikační schopnosti. Podrobnosti zazněly včera v Brně, na konferenci personalistů. 

V jihomoravské metropoli tento týden probíhá konference, pořádaná Klubem personalistů, o.p.s. Včera bylo na programu také nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR), které začne v celé Evropské unii platit 25. května roku 2018. Česká republika je mezi členskými státy výjimkou, protože doposud nemá vlastní prováděcí zákon, což vzhledem k nadcházejícím volbám a následné výměně zákonodárců možná nestihne zavčas napravit.

Nové nařízení musejí dodržovat všechny obce

O tom, že nařízení GDPR platí pro všechny obce jsme již informovali v textu Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce!

Ředitelka Odboru veřejné správy, dozoru a kontroly Ministerstva vnitra Marie Kostruhová shrnula, kdo musí novou regulaci dodržovat v kontextu samosprávy:

1. samotná obec
2. škola (je totiž veřejným subjektem, neboť rozhoduje ve správním řízení)
3. právnické osoby, při jejichž činnosti je pravidelně nakládáno s osobními údaji v rozsáhlé míře (typicky provozovatelé MHD, nemocnice apod.)

Místopředseda Úřadu pro ochranu hospodářské soutěže (ÚOHS), Petr Solský následně vyjmenoval nezbytné kroky, které by obec měla udělat:

1. Nastavit účely jednotlivých zpracování osobních údajů
2. Vést jen nezbytné osobní údaje po dobu nezbytně nutnou
3. Prověřit možnosti pseudonymizace osobních údajů

Petr Solský následně popisoval, jak se na novinku připravuje samotný ÚOHS – a nastala výměna opačných názorů. Místopředseda přednesl tezi, že jeho Úřad nemusí vést takzvané “záznamy o činnostech zpracování”, protože zaměstnává méně než 250 lidí, a tudíž má výjimku. Vycházel přitom z odstavce 5 článku 30 GDPR.

Právnička Eva Janečková, která působila na Úřadu pro ochranu osobních údajů (ÚOOÚ), však oponovala: „Pokud orgán veřejné moci zaměstnává aspoň jednoho člověka, zpracovávání osobních údajů není příležitostné, a tudíž výjimku nelze uplatnit.“ Citujme celý diskutovaný odstavec a zvýrazněme sporné pasáže:

“Povinnosti uvedené v odstavcích 1 a 2 se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.”

Hlavně, aby občané neposílali stížnosti do Prahy

„GDPR není revolucí ve zpracování osobních údajů. Zpřesňuje a rozšiřuje definice a povinnost při zachování většiny známých institutů,” uklidňovala účastníky konference Eva Janečková. Za zásadní novinku však přece jenom považuje nové limity pro eventuální pokuty.

Dosavadní český zákon č. 101/2000 Sb., o ochraně osobních údajů, v § 45 stanovuje sankci až 10.000.000 Kč. Nové nařízení zvedá laťku na 20 milionů euro nebo 4 % celosvětového obratu odpovědné organizace (například pro globální korporace). Janečková nevěří, že by České republice procházelo, kdyby tuzemské pokuty byly dlouhodobě výrazně nižší než ve zbytku Evropské unie.

Zároveň však uvedla, že ÚOOÚ kontroluje obce “bezdůvodně” jenom zřídka, obvykle přichází kvůli přijaté stížnosti. Klíčovým člověkem proto bude takzvaný pověřenec – kontaktní osoba pro veřejnost ve věci ochrany osobních údajů. Pokud dokáže případné stížnosti a nedorozumění urovnat v rámci obce, návštěva inspektorů z hlavního města není příliš pravděpodobná.

Petr Woff

 

O tématu GDPR jsme už psali:

I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl –  15.9.2017

Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence”  Petr Woff – 13.9.2017

Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl –  8.9.2017

GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017

Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017

GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017

Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017

Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017

Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017

Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcí Jiří Reichl – 30.8.2017

Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13… Jiří Reichl – 24.8.2017

Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017

Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017

EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017

Příspěvek GDPR: Tuzemské pokuty nemohou být výrazně nižší než v západní Evropě pochází z Ekonomický deník