Článek
Jedním z největších strašáků GDPR jsou maximální výše pokut. Ty platí bez rozdílu pro všechny, včetně drobných živnostníků. GDPR stanovuje maximální pokutu ve výši 20 miliónů eur (506 miliónů korun), nebo čtyři procenta z celkového ročního obratu společnosti. Podle toho, která částka je vyšší.
„Realita českých pokut však bude zcela jiná. Nezapomínejme, že nejvyšší pokuta, kterou Úřad pro ochranu osobních údajů (ÚOOÚ) za dobu své existence udělil, byla ve výši 4,25 miliónu korun, a to za opakované zasílání spamu. Ani s GDPR nebudou pokuty likvidační. České úřady se budou stejně jako dosud řídit zásadou přiměřenosti, malé firmy se tak miliónových sankcí nemusí bát,“ uvedl Vladimír Přech ze společnosti Gordic.
„Nejčastějším zdrojem porušení GDPR a potažmo pokut od ÚOOÚ budou, stejně jako v minulosti, chybějící souhlasy se zpracováním osobních údajů,“ doplnil.
Co dělat, aby se firma pokutě vyhnula?
Podle Přecha by měli každý živnostník či firma hlavně zjistit, co všechno se přijetím nařízení GDPR mění, a co to konkrétně znamená pro ně. Je třeba především nastavit jasné transparentní procesy pro nakládání s osobními údaji, které jim občané svěřují. Hlavní požadavek GDPR je totiž mít ve spravovaných osobních údajích naprostý pořádek a dokonalý přehled.
Osobní údaje je proto třeba spravovat precizně. „A netýká se to jen počítačů či papírových databází. Nařízení je platné třeba i pro chytré telefony a tablety, kde jsou osobní údaje evidovány a zpracovávány – zatímco papírové dokumenty musí být pod zámkem, v tabletu a mobilu je třeba nastavit hesla,“ upozornil Přech. Je třeba si uvědomit, že evidencí osobních údajů je i seznam kontaktů v mobilním telefonu.
Investice si GDRP vyžádá. Ale spíše časové
Přechod na správu svěřených osobních údajů v souladu s GDPR vyžaduje od podnikatelů poměrně značné investice, naštěstí jen časové. Hodně času vás bude stát počáteční revize a nastavení všech procesů, úprava souhlasů a nastavení evidence jednotlivých operací s osobními údaji.
„Nastavením to ale nekončí, GDPR se budete muset věnovat i poté. Každou operaci se svěřenými osobními údaji totiž musíte evidovat. Kdo, co, proč a kdy a především se kterými osobními údaji dělal. Stačí na to tabulka v Excelu či textový dokument v notepadu sdílený napříč firmou, nebo třeba i jednotný sešit, pokud firma stále preferuje papírové evidence,“ shrnul Přech. Firma či živnostník je totiž povinna všechny tyto údaje při kontrole obratem předložit ÚOOÚ.
I další investice firem jsou časově náročné, občané mají totiž právo vědět, jaké přesně údaje o nich podnikatelé spravují a žádat jejich úpravu, společnosti mají také povinnost informovat o poruchách zabezpečení či únicích osobních údajů. To vše dohromady pak znamená další značnou časovou investici ze strany jednotlivých společností.
Někdy se vyplatí si připlatit
Existují ale i postupy a nápady, za které se vyplatí zaplatit – například nástroje, které umožní samotně a přehledně sestavit inventarizační tabulku zpracování osobních údajů, kterou musí drtivá většina organizací dle nařízení GDPR disponovat.
Jediná povinná finanční investice čeká firmy a živnostníky spravující osobní údaje v papírové formě. Ty budou potřebovat mít všechny dokumenty v uzamykatelné schránce s evidovaným přístupem. Tu však lze pořídit od jednoho tisíce korun. I u této schránky bude muset být evidence kdo, kdy a proč do schránky vstupoval a s jakými osobními údaji se dostal do kontaktu.