GDPR web ready

Co je GDPR a proč vzniklo?

  • GDPR (General Data Protection Regulation = Obecné nařízení o ochraně osobních údajů) je právním rámcem ochrany osobních údajů v evropském prostoru
  • Cílem je jednotně hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty
  • GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb
  • GDPR je v celé EU jednotně účinné od 25. května 2018.
  • GDPR zavedlo astronomické pokuty za porušování pravidel, nicméně tyto pokuty byly národním adaptačním zákonem sníženy na 10 000 000 Kč za nejzávažnější porušení zákona o zpracování osobních údajů
  • V Česku nahradilo právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a souvisejícího zákona č. 101/2000 Sb., o ochraně osobních údajů a do národního řádu bolo toto Obecné nařízení o ochraně osobních údajů implementováno prostřednictvím zákona č. 110/2019 Sb., o zpracování osobních údajů

Kdo ho kontroluje?

Soulad s Nařízením kontrolují národní úřady pro ochranu osobních údajů (v ČR dozorčí úřad = Úřad pro ochranu osobních údajů). Konzistentnost výkladu Nařízení zajišťuje Evropský sbor pro ochranu osobních údajů. Úřad sice má svůj kontrolní plán, nicméně nejčastěji kontroluje na základě podnětu dotčeného subjektu údaj (např. V ČR je zažitý pojem „udání“ např. udá vás konkurence).

Jaké pokuty vám hrozí? Dostal už někdo pokutu?

Maximální výše v evropském rámci je 20 000 000 eur nebo 4 % z celkového ročního obratu společnosti a bude záviset na řadě faktorů, jako je např. povaha, závažnost, délka porušování atd. Závažné porušení pravidel na ochranu osobních údajů, kdy správcem je český subjekt a zpracování se týká českých subjektů údajů je nicméně v ČR zastropováno sankcí ve výši 10 000 000 Kč

Maximální výše pokuty může být udělena jak menší společnosti s pěti zaměstnanci, tak velké nadnárodní korporaci – záleží však od proporcionality udělení trestu (zda se týká o běžné osobní údaje, nebo zvláštní kategorii osobních údajů, jaké množství osobních údajů konkrétní správce zpracovává, jak se postavil k odstranění následků nebo jak velkou měrou bylo zasaženo do práv a svobod subjektů údajů, jejichž osobní údaje měli být chráněny)

Přehled kontrolovaných firem a živnostníků naleznete na stránkách www.uoou.cz:

  • Společnost Hotely Šumava s.r.o. – dostala pokutu ve výši 117 000 Kč
  • Společnost Kelpias Consulting – dostala pokutu ve výši 86 000 Kč
  • Fyzická osoba podnikající – dostala pokutu ve výši 70 000 Kč
  • Nemocnice Tábor, a.s. – dostala pokutu ve výši 40 000 Kč
  • Společnost Furn-design s.r.o. – dostala pokutu ve výši 15 000 Kč
  • Společnost NickPoint s.r.o. – dostala pokutu ve výši 10 000 Kč

Co musí splňovat firma?

Velmi obecně lze říci, že každá společnost musí implementovat do svých pravidel minimálně taková pravidla, která zajistí soulad s GDPR a zákonem o zpracování osobních údajů, kterých absence v procesech společnosti jsou ve svém důsledku schopna vyvodit negativní dopad na společnost zejména ve formě finanční sankce.

Na audit uvnitř firmy doporučujeme firmu KUBEČKA & PROKOP, advokátní kancelář s. r. o. (www.kp-partners.cz, www.i-poverenec.cz).

Sankci lze uložit zejména za:

Fyzická osoba, právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem

Správce nebo zpracovatel se dále dopustí přestupku tím, že:
  • poruší některou z povinností podle čl. 8 (podmínky použitelné pro souhlas dítěte), 11 (zpracování, které nevyžaduje identifikaci), 25 až 39 (např. podmínky pro společné správce, zpracovatele, oznamování porušení zabezpečení, posuzování vlivu, jmenování pověřence aj.) 42 až 49 (například předávání osobních údajů do třetích zemích a vhodné záruky) GDPR
  • poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 (sem patří zejména zákonnost, korektnost a transparentnost zpracování, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost – kdy nejpodstatnější (ne jedinou) částí je zákonnost zpracování na základě odpovídajícího právního titulu, např. souhlas, splnění smlouvy, splnění právní povinnosti, životně důležité zájmy subjektu údajů, splnění úkolu ve veřejném zájmu, oprávněné zájmy správce)
  • poruší některé z práv subjektu údajů podle čl. 12 až 22 (zde jsou uvedeny zejména podmínky na obsah informace směřující k subjektu údajů a vyjmenovaná práva subjektů, např. právo na přístup, opravu, výmaz, omezení zpracování, přenositelnost, námitku)
  • nesplní příkaz nebo poruší omezení zpracování osobních údajů nebo nedodrží přerušení toků údajů uložené Úřadem
  • neposkytne Úřadu přístup k údajům, informacím a prostorám
Právnická osoba se dále dopustí přestupku tím, že při zpracování osobních údajů:
  • nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona
  • nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu jejich zpracování
  • uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování
  • neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem
  • nevyhoví žádosti subjektu údajů
  • nepřijme technická a organizační opatření nebo nevede jejich dokumentaci
  • nevede písemné přehledy o všech typových činnostech zpracování osobních údajů
  • nepořizuje záznamy
  • využije záznamy k jinému účelu
  • neprovede posouzení vlivu na ochranu osobních údajů
  • nepožádá Úřad o projednání připravovaného zpracování osobních údajů
  • zasáhne do práv a právem chráněných zájmů subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt údajů
  • nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů
  • nepřijme nezbytná opatření
  • neohlásí porušení zabezpečení osobních údajů Úřadu
  • neoznámí porušení zabezpečení osobních údajů subjektu údajů
  • neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem
  • poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu
  • poruší povinnost jmenovat pověřence podle jiného právního předpisu
  • poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů
  • poruší některou z podmínek podle jiného právního předpisu pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy (GDPR)
  • poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje

Co musí každý web splňovat, aby neporušoval zákon?

  • cookie soubory – web si automaticky ukládá údaje o návštěvníkovi (např. cookie soubory, jaký má prohlížeč, odkud se připojuje, ip adresu atd.)
  • kontaktní formuláře – web ukládá údaje z odeslaného formuláře (např. jméno, příjmení, e-mail, telefon)
  • analytické nástroje – web např. pomocí Google Analytics sleduje chování návštěvníka na webu a ukládá jeho údaje (kdo je, odkud přišel, jaké má zájmy, z jaké kampaně přišel atd.)

=> vždy musíte mít souhlas uživatelů o zpracování osobních údajů.

Jaký názor mají odborníci na cookie soubory?

Umíte pracovat s marketingovými cookies? (Mimochodem – cookies doporučujeme nepodceňovat, ÚOOÚ avizoval, že se na tuto oblast letos během kontrol zaměří). Petra Dolejšová, advokátní kancelář e-legal

Zdroje: UOOU, E-Legal, KP Partners, GDPR


NESPLŇUJE VÁŠ WEB PODMÍNKY GDPR, NEBO SI TÍM NEJSTE JISTI?


Napište nám. Naši specialisté provedou audit vašeho webu, ověří zákonné požadavky GDPR vašeho webu, doporučí, anebo rovnou provedou potřebné úpravy.


Mám zájem o nezávaznou konzultaci

Souhlasím se zpracováním osobních údajů.