Kdy a jak se slaví svátek Den ochrany osobních údajů?

Za ustanovení osobních údajů jakožto údajů soukromých / osobních by měl být rád každý nás. Každoroční připomínka Dne ochrany osobních údajů je v naší elektronické době naprosto nutná. Pro současné informační a komunikační technologie jsou osobní údaje a informace o nás základními stavebními kameny. Lidé jako účastníci komunikace, ale i ti, jichž se důsledky této komunikace týkají (mnohdy negativně), mají na základě ústavně zakotveného práva na soukromí a ochranu osobních údajů možnost se nejen chránit, ale i bránit za podpory nezávislých institucí, kterými jsou Úřad pro ochranu osobních údajů a soudy

Kdy se slaví Den ochrany osobních údajů?

Tento den se slaví dne osmadvacátého ledna (28.1.).

Historie vzniku – proč se slaví Den ochrany osobních údajů?

Právě před 38 lety, 28. ledna 1981, přijala ve Štrasburku Rada Evropy tzv. Úmluvu o ochraně osob se zřetelem na automatizované zpracování osobních údajů. Na počest této události slaví Evropa od roku 2007 Den ochrany osobních údajů. Cílem této úmluvy, ze které se později v ČR ustanovil Zákon o ochraně osobních údajů má jasný cíl, a to zaručit každé osobě, na území kterékoliv smluvní strany, bez ohledu na její národnosti či místo jejího pobytu, právo na soukromý život. V ČR dohlíží na naplnění ustanovení Zákona o ochraně osobních údajů Úřad na ochranu osobních údajů a může se na něj obrátit kterýkoliv občan, pokud má podezření, že jsou jeho práva na soukromí omezena či je nevhodně zacházeno s jeho osobními údaji.

Právě na tento dokument navázaly specializované zákony na ochranu osobních údajů i obecné nařízení (GDPR), které lépe odpovídá nadnárodnímu rámci ochrany osobních údajů a mezinárodní spolupráci, jehož jádro tvoří Evropská unie a k němuž se řada dalších států přibližuje.

Jak probíhají oslavy na Den ochrany osobních údajů?

U nás v ČR si tento den připomíná hlavně úřad Úřad pro ochranu osobních údajů, který při této příležitosti pořádá například přednáškové turné, krajské úřady pořádají přednášky, prezentace a diskuse na téma ochrany osobních údajů. V rámci ČR se do oslavy dne zapojily také vytipované střední školy v krajských městech, kde přednášející mluvili o tématu ochrany osobních údajů se studenty a učiteli. Již tradičně vyhlašuje Úřad pro ochranu osobních údajů soutěž pro děti a mládež „Moje soukromí! Nekoukat, nešťourat!“.

GDPR (General Data Protection Regulation)

Dne 25.5.2018 vstoupilo v platnost nové Obecné nařízení o ochraně osobních údajů, ke jemuž se zažila zkratka GDPR (General Data Protection Regulation), je dosud nejvíce uceleným souborem pravidel na ochranu dat na světě.

Přijato bylo ještě o dva roky dříve, na jaře roku 2016, takže všechny organizace měly poměrně dost času na to, aby se novým pravidlům a postupům pro zpracování osobních dat připravily. Ale jak je vidno ze samotné praxe, tak na to malé a střední firmy dost kašlou. Velké jsou naopak tím snadným terčem pro podobné úřady.

Vznik GDPR v té době výrazně změnil pravidla zpracování osobních údajů a mělo sloužit také ke zvýšení ochrany osobních údajů jednotlivých subjektů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů (GDPR se dotýká každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů, včetně společností a institucí mimo území EU, které působí na evropském trhu).

GDPR však zavedlo také celou řadu nových procesů a institutů, které měly organizacím napomoci k dosažení souladu s danými pravidly, jako například posouzení dopadu do ochrany osobních údajů (data protection impact assessment), vedení záznamů o zpracování, řízení porušení zabezpečení dat či jmenování pověřence pro ochranu osobních údajů.

Nařízení míří na firmy, instituce i jednotlivce, kteří zacházejí s osobními údaji – zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty a odvětvími. Zasáhne i ty, kteří sledují či analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

V ČR dohlíží na naplnění ustanovení Zákona o ochraně osobních údajů Úřad na ochranu osobních údajů a může se na něj obrátit kterýkoliv občan, pokud má podezření, že jsou jeho práva na soukromí omezena či je nevhodně zacházeno s jeho osobními údaji.

Ať už jde o bankovní instituce, zdravotnictví, veřejnou správu, nebo e-shopy, všichni se budou v dohledné době potýkat s nutností upravit způsob zpracovávání osobních údajů. V případě závažného porušení pak budou firmám hrozit vysoké pokuty.

GDPR je v celé EU jednotně účinné od 25. května 2018. V Česku tak nahradí současnou právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazena právy a povinnostmi vyplývajícími z Obecného nařízení. Nový zákon o ochraně osobních údajů bude již upravovat jen některé aspekty týkající se Úřadu pro ochranu osobních údajů (např. jeho ustavení, organizaci atd.) a některé dílčí záležitosti nutné k dotvoření celého rámce ochrany osobních údajů, které nejsou Obecným nařízením upraveny nebo které Obecné nařízení umožňuje upravit na vnitrostátní úrovni. U některých aspektů dokonce Obecné nařízení předpokládá vnitrostátní úpravu. Mezi ně patří například aspekty zpracování osobních údajů pro účely výkonu svobody projevu, práva na informace, svobody vědeckého bádání a umělecké tvorby.

To, že nová pravidla byla přijata formou evropského nařízení, znamená především jejich jednotnou platnost ve všech státech EU, aby  je národní vlády a zákonodárci nemohli jakkoli ohýbat a přizpůsobovat místním zájmům nebo lobbistům.

Období od dubna 2016, kdy bylo GDPR schváleno, do května 2018, kdy začalo být účinné, bylo určeno k důkladné přípravě. Během této doby museli všichni, kterých se nařízení týká, zrevidovat své informační systémy a postupy nakládání s osobními údaji. Během tohoto období museli přijmout jednotlivé státy EU prováděcí zákon, jímž upřesní více než padesát bodů, které GDPR svěřuje do jejich národní pravomoci.

Dosud byl v oblasti ochrany údajů hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), který by měl v této funkci zůstat i nadále. Přibudou mu ale pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB).

Společně se zavedením GDPR byly uvedeny v platnost také astronomické pokuty za porušování pravidel.

Jaké sankce hrozí firmám, které budou GDPR ignorovat

V případě porušení, nezavedení či nepřipravenosti na nové nařízení hrozí povinným subjektům vysoké pokuty, které mohou být v mnoha případech až likvidační.

Podle GDPR, které je přímo účinné ve všech členských státech Evropské unie, lze za porušení především procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit pokut až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší) a její výše závisí na řadě faktorů, jako je např. povaha, závažnost a délka porušování, počet poškozených občanů a míra škody, kroky podniknuté správcem či zpracovatelem ke zmírnění škod, kategorie osobních údajů dotčené porušením a řada dalších.

V případě porušení základních pravidel a povinností pro zpracování dat, např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob (právo na přístup, právo na výmaz apod.) pak dotčené organizaci hrozí pokut až do výše 20 milionů EURO nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnota je vyšší.

Je důležité zdůraznit, že maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci, pokud neučiní kroky nezbytné k uvedení do souladu s principy a povinnostmi vyplývajícími z GDPR. Kromě udělení těchto správních pokut mohou být správci či zpracovatelé osobních údajů navíc vystaveni žalobám podaným fyzickými osobami s nárokem na náhradu škody v případě hmotné či nehmotné újmy. V neposlední řadě jsou společnosti vystaveny ztrátě důvěry a reputačním rizikům způsobeným nesprávným zacházením s osobními údaji.

A jak tomu je u nás? Podle předchozího zákona č. 101/2000 Sb., o ochraně osobních údajů, bylo možné za příslušné delikty, například zpracování osobních údajů bez právního důvodu, jejich špatné zabezpečení atd., uložit pokutu do výše 10 milionů korun. Úřad pro ochranu osobních údajů se za 18 let účinnosti tohoto zákona k horní hranici sankce nepřiblížil. Nejvyšší pokuty, které podle starého zákona uložil, se pohybovaly v rozmezí 2-3 milionů korun.

Druhá věc je však samotné vymáhání, respektive uplatňování těchto pokut v praxi – schválně se zkuste zamyslet, jestli o nějakém subjektu z ČR víte. Asi vás nenapadne ani jedna. Je to nejspíše proto, že se tolik obávané hrozby drastických a likvidačních pokut za prohřešky pro případné viníky zkrátka nikde neprojevily. I ty největší hříšníky zatím přišly tyto pokuty „jen“ na stovky tisíc korun (pokud se bavíme o situaci v ČR).

V čem organizace při aplikaci GDPR v praxi nejčastěji chybují?

To si můžeme ukázat na několika známých případech, ze kterých je jasně zřetelné v čem organizace při aplikaci GDPR v praxi chybují, resp. jaké případy porušení považují evropské dozorové úřady za nejvážnější.

Řada evropských dozorových úřadů ale již v minulosti neváhala a sáhla k nebývale vysoké pokutě.

Doposud nejvyšší pokuta byla udělena francouzským úřadem CNIL v lednu 2019, která dosahovala 50 milionů EU (cca 1,3 miliardy korun) a nedostal ji nikdo jiný, než Google – což je jedna z firem, na kterou měla být podobná opatření mířena asi především. Source : Krcmic.cz