Článek
GDPR má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týká se veřejných institucí, firem a společností, které nakládají s osobními údaji zákazníků či zaměstnanců.
Nařízení platí jednotně ve všech státech EU a na Islandu, v Norsku a Lichtenštejnsku. Týká se i společností, které podnikají v tomto prostoru, ale sídlo mají jinde. Regulátoři mohou za porušení pravidel GDPR vyměřit společnosti pokutu.
Výše pokut za porušení pravidel může dosahovat až čtyři procenta celosvětových příjmů firmy nebo 20 milionů eur (přes 470 milionů Kč) – podle toho, která částka je vyšší.
Irsko si došláplo na Facebook a Instagram. Padla pokuta 390 milionů eur
O tom se na vlastní kůži přesvědčila tento týden společnost Meta Platforms. Majiteli Facebooku, Instagramu či WhatsAppu byla za špatné nakládání s uživatelskými daty vyměřena pokuta ve výši 1,2 miliardy eur (více než 28 miliard Kč). Pokutu vyměřila irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Komisařům vadilo, že Facebook odesílá data uživatelů do USA.
Ještě v minulém týdnu držel prvenství ve výši pokut americký internetový prodejce Amazon. Ten dostal od EU v červenci 2021 pokutu 746 milionů eur (tehdy 19 miliard Kč) za předávání osobních údajů v rozporu s pravidly pro jejich ochranu. Pokuta tehdy odpovídala zhruba čtyřem procentům čistého zisku Amazonu v roce 2020, který činil 21,3 miliardy dolarů. Amazon se však odvolal.
Přehled těch největších pokut udělených v souvislosti s porušením GDPR naleznete v našem dřívějším článku:
Meta není jediná. Za porušení GDPR platily obří pokuty Google i Amazon
Zastaralé nařízení z roku 1995
Jedním z důvodů, proč byla směrnice přijata, je to, že dosavadní nařízení z roku 1995 přestalo odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. Dalším důvodem pak byl fakt, že stávající směrnicí nebyla dosažena požadovaná míra sjednocení právní úpravy.
Díky GDPR například souhlas se zpracováním osobních údajů už nemůže být zahrnut do obchodních podmínek. Kvůli novým pravidlům tak musela být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy či zaměstnavatelé. GDPR rovněž zavedlo právo „být zapomenut“, tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nemohou moci ani sledovat jeho chování na internetu nebo prodávat či poskytovat zjištěná data dál.
Opatření se vztahuje i na věrnostní programy obchodních řetězců či na marketingovou komunikaci na sociálních sítích. Za osobní údaje začaly být považovány také takzvané cookies, tedy informace, které internetový prohlížeč ukládá o činnosti uživatele.
ÚOOÚ: Hackerský útok? Ztráta uživatelských dat může být porušením GDPR
Zpracovatelé dat navíc musejí ohlásit únik osobních dat Úřadu pro ochranu osobních údajů (ÚOOÚ) nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděli. Firmy také musejí lidem na vyžádání sdělit, jak dlouho budou data o nich uchovávat a kdo k nim bude mít přístup. Novinkou je zavedení práva na přenositelnost informací.
V prosinci 2019 Poslanecká sněmovna schválila nová pravidla ochrany soukromí, která navazují na GDPR. Zavádí přípustné výjimky z evropských pravidel. Poslanci ve vládní předloze například upravili výjimky z pravidel pro média nebo vědecké, výzkumné a statistické účely. Osobní údaje díky těmto výjimkám je možné zpracovávat tehdy, pokud to bude sloužit přiměřeným způsobem pro novinářské účely nebo pro účely akademické, umělecké či literární. Poslanci také odmítli snížit pod 15 let navrhovanou věkovou hranici, po jejímž dosažení by děti mohly samy naplno využívat sociální sítě.
Senát ale v lednu 2020 zákon o zpracování osobních údajů doporučil upravit. Sněmovna poté souhlasila se zrušením sankcí pro obce a kraje, jak to požadoval Senát. Původně chtěla pouze snížit maximální pokuty pro malé obce na 15 000 korun. Sněmovna také odmítla snahu Senátu zrušit omezení týkající se práva na informace, které se týkají údajů o trestním řízení nebo českých zájmů v zahraničí. Prosadila znovu soubor čtyř desítek novel navazujících na GDPR. Nová pravidla nabyla účinnosti na jaře 2020.
1481 hlášení v Česku a 126 pokut
V letošním roce se chce ÚOOÚ zaměřit na prověření úlohy a postavení pověřenců pro ochranu osobních údajů ve veřejné správě. Pověřenci pro ochranu osobních údajů přispívají k dodržování právních předpisů na ochranu soukromí. Jsou prostředníky mezi úřady na ochranu dat, jednotlivci, obchodními organizacemi a veřejnou správou.
Podle informace ÚOOÚ bylo od začátku platnosti nařízení o GDPR do 19. října loňského roku podáno 1481 ohlášení porušení zabezpečení osobních údajů a uděleno celkem 126 pokut.