Až 60 % organizací vyžaduje nadbytečný souhlas se zpracováním osobních údajů

Ani po čtyřech letech od zavedení nařízení Obecného nařízení o ochraně osobních údajů (GDPR) nemá většina organizací jasno v tom kdy, jak a k čemu požadovat souhlas se zpracováním osobních údajů. Nadbytečný souhlas se zpracováním osobních údajů pak podle odborníků z poradenské skupiny Moore Czech Republic vyžaduje 60 % organizací, nejčastěji se s to týká veřejnoprávních institucí jako jsou školy, školky i obce. I za toto počítání přitom hrozí sankce.

Přestože nařízení GDPR nabylo účinnosti již v roce 2018, do dnešního dne nemá tuto problematiku správě zpracovanou mnoho subjektů. Podle poradenské skupiny Moore Czech Republic dochází nejčastěji k pochybení ve vyžadování souhlasu se zpracováním osobních údajů. Organizace vyžadují souhlas i tam, kde to není potřeba, a to až u 60 % subjektů.

Mezi nejčastějšími případy z praxe patří vyžadování souhlasu zaměstnance s využitím jeho osobních údajů pro mzdové a personální účely, které je podle manažera Moore Advisory Petra Štětky zcela zbytečné. K častým chybám pak dochází rovněž ve školách. „Ty často neví, které souhlasy škola musí zpracovávat ze zákona a neuvědomují si, které zpracovávají nesmyslně. Stává se to například s fotografováním, protože ne každá fotografie člověka je osobním údajem,“ vysvětluje Štětka a dodává, že školy také často pochybovaly v souvislosti se zpracováváním osobních údajů s testováním na covid.

Přemíra souhlasů je častěji vyžadována ve státní sféře

Mezi problematické řadí Petr Štětka rovněž souhlasy s provozem kamerových systémů a souhlasy se zpracováním osobních údajů s nákupy na e-shopech. „Obecně lze ale říci, že nejčastěji se s nadužíváním souhlasu se zpracováním údajů setkáváme u veřejnoprávních institucí. Ve většině případů jde o pochybení z neznalosti,“ komentuje Štětka.

Přestože se na Úřad pro ochranu osobních údajů (ÚOOÚ) obrací lidé spíše v případech, kdy se jejich osobní údaje zpracovávají bez jejich souhlasu, i za toto počínání může úřad udělit sankce až do výše 10 milionů korun. „Výše sankce pak záleží na velké řadě okolností, od rozsahu poškozených až po skutečnost, zdali byl subjekt již v minulosti sankcionován. Historicky zatím došlo k pokutě v řádech milionů korun pouze v případech nevyžádané pošty,” uzavírá Petr Štětka.

Moore Czech Republic

Společnost Moore Czech Republic je součástí jedné z největších mezinárodních sítí nezávislých auditorských a poradenských firem. Moore Global Network Limited (do září 2019 Moore Stephens International Limited) zaměstnává po celém světě přes 30 000 odborníků ve více než 260 nezávislých firmách a 110 zemích.

Moore Czech Republic sídlí v Praze a je vedena jednateli a společníky Petrem Kymličkou a Radovanem Haukem. Ti s sebou pod značku Moore přivedli kromě svých pracovníků z dřívější společnosti BDO Advisory také specializované dceřiné společnosti Servodata, DataScript a S-COMP, které se orientují na poskytování komplexních služeb v oblasti IT a vzdělávání.

Více informaci na: www.moore-czech.cz