Strašák jménem GDPR: jaké vám hrozí sankce a jak se jim vyhnout?
Ode dne, kdy vstoupil zákon o ochraně osobních údajů v platnost, uplynulo téměř pět let. Od té doby už na nedodržování takzvaného GDPR doplatila pěkná řádka podnikatelů. Dosud nejvyšší pokutu, a to ve výši sto milionů €, zaplatila společnost Google. V Česku zatím dosahují pokuty řádově jen několika set tisíc korun. Pojďte se s námi podívat, na co si dát pozor, aby si Úřad na ochranu osobních údajů brzy nedošlápnul i na vás.
Týkají se podmínky ochrany osobních údajů i vás?
Zákon o ochraně osobních údajů se týká všech organizací, které zcela, nebo i jen zčásti, zpracovávají osobní údaje občanů EU, nabízí zboží a služby nebo zaměstnávají lidi v EU. Osobními údaji se pak rozumí veškeré informace, které mohou přímo nebo nepřímo vést k identifikaci konkrétní fyzické osoby. Jde například o jméno, adresu, datum narození, fotografie, lékařské záznamy nebo další citlivé osobní údaje, které lze spojit s konkrétní osobou.
Klíčové pro soulad se zákonem je dodržování následujících zásad zpracování osobních údajů:
Zákonnost, korektnost a transparentnost – správce má povinnost zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a transparentně vůči majiteli údajů.
Omezení účelu – osobní údaje musí být shromažďovány pro konkrétní a legitimní účely a nesmějí být zpracovávány jiným způsobem.
Minimalizace údajů – správce je povinen vyžádat si pouze osobní údaje nezbytné k účelu, pro který jsou zpracovávány.
Přesnost – osobní údaje musí být přesné.
Omezení uložení – osobní údaje by měly být uloženy jen po nezbytně nutnou dobu pro dané účely, pro které jsou zpracovávány.
Integrita a důvěrnost – osobní údaje musí být technicky i organizačně zabezpečeny, aby se nedostaly k nepovolaným osobám.
Jaké pokuty vám v případě nedodržení GDPR hrozí?
V případě porušení zákona o ochraně osobních údajů existují dva typy pokut, které vám může ÚOOÚ udělit. Jejich výše se liší podle závažnosti vašeho prohřešku:
Pokud pochybíte třeba v oblasti vedení záznamů o způsobu zpracování citlivých osobních údajů, čeká vás sankce nižší úrovně, která však může činit až 10 milionů € nebo 2 % vašeho ročního příjmu z předchozího roku.
Pokud ale přímo porušíte povinnosti upravující zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů nebo nedodržíte práva subjektu údajů, vysloužíte si pokutu vyšší úrovně. V takovém případě můžete očekávat sankci až do výše 20 milionů € nebo 4 % celkových příjmů z předchozího roku – podle toho, která částka je vyšší.
Když už na vás dojde, při rozhodování o tom, jak tučnou pokutu dostanete, bere Úřad na ochranu osobních údajů většinou v potaz tato kritéria:
povahu, závažnost a délku trvání porušení zásad zpracování osobních údajů,
počet dotčených subjektů a míru škody, která jim byla způsobena,
zda k porušení došlo úmyslně, nebo z nedbalosti,
kroky, které provedl správce nebo zpracovatel osobních údajů ke zmírnění způsobených škod,
míru odpovědnosti správce nebo zpracovatele za škodu,
míru spolupráce s úřadem za účelem nápravy daného porušení a zmírnění možných následků,
kategorii osobních údajů dotčených porušením (např. zda šlo o citlivé osobní údaje),
způsob, jakým se úřad o porušení GDPR dozvěděl (hlavně fakt, zda správce či zpracovatel porušení oznámil sám).
Přiznání a uznání chyby je jednoznačně polehčující okolností. Snažte se proto s ÚOOÚ v nejvyšší možné míře spolupracovat, aby byla případná sankce co nejnižší.
Outsourcing GDPR vám ušetří starosti
Mnohem lepší než řešit nastalé
potíže, je jim předcházet. Pokud nemáte ve společnosti dostatek
zaměstnanců, kteří by mohli na dodržováním zásad osobních
údajů dohlížet, jednoduše GDPR outsourcujte na
specializovanou společnost,
která dodržování legislativy pohlídá za vás.
komerční sdělení
Zdroj obrázku: Pexels.com