GDPR neprávem u ledu, ale to se změní

Obecné nařízení o ochraně osobních údajů neboli GDPR je zde s námi již několik měsíců. Správci a zpracovatelé osobních údajů, kteří se rozhodli implementovat jej do své praxe, už většinu potřebných kroků učinili. Ti, kteří se rozhodli GDPR nezabývat, ho zatím bez následků dále úspěšně ignorují. Důvod je jasný…

Chybí nám adaptační zákon o zpracování osobních údajů, který byl minulý týden Senátem vrácen Poslanecké sněmovně s pozměňovacími návrhy. Než bude přijat, nemusíme se žádných sankcí obávat. Ale to jen u nás je téma GDPR opomíjeno. V zahraničí se kolotoč dávno rozjel.

Horkou zprávou ledna bylo, že francouzský úřad udělil společnosti Google pokutu ve výši 50 mil. EUR za nedostatečné informování uživatelů o účelu zpracování osobních údajů. Více… 

Teď se pozornost zaměří na poskytovatele streamovacích služeb Amazon Prime, Apple Music, Netfix, SoundCloud, Spotify, YouTube, Flimmit a DAZN. Více…

Další kauzy budou následovat. Říkáte si, že to jsou velké ryby, že nás se to netýká? Ale týká. Pokuty se udělují i menším, lokálním organizacím. Jen se o tom tolik nepíše…

I v České republice už proběhly kontroly ze strany Úřadu pro ochranu osobních údajů. Většina jich byla provedena na základě podnětu. Úřad kontroloval například půjčovnu automobilů, oprávněnost instalace kamerového systému před toaletami v obchodním centru, webovou aplikaci insolvenčního rejstříku nebo zabezpečení osobních údajů zpracovávaných v souvislosti s provozováním online hry. A závěry? Tam, kde úřad konstatoval porušení, uložil nápravná opatření a zahájil řízení o přestupku. Více…

Opravdu není radno GDPR zanedbávat!

Naše společnost realizovala několik desítek implementací Nařízení v různém rozsahu od minimalistické verze čítající jen nevyhnutelné kroky až po komplexní zavedení včetně školení odpovědných pracovníků. Tam, kde již bylo GDPR implementováno, nyní realizujeme interní audity.

Ať už se jedná o individuální podnikatelé, menší či větší s.r.o. či a.s. nebo veřejné subjekty školství a státní správy, všude se vyskytují v podstatě shodné chyby a nedostatky.

Organizace nevedou záznamy zpracování osobních údajů nebo nevedou tyto záznamy pro všechna zpracování osobních údajů. 
   
Zaměstnanci nezískali povinné informace o osobních údajích, které o nich organizace zpracovávají.
   
Subjektům údajů nejsou poskytovány povinné informace o osobních údajích, jež o nich organizace zpracovávají. 
   
Nebyl zveřejněn kontakt na pověřence v případech, kdy má organizace povinnost pověřence jmenovat. 
   
Organizace nedisponují souhlasy se zpracováním osobních údajů pro účely dotačních projektů.
   
Organizace nedisponují platnými souhlasy se zpracováním fotografií pro marketingové účely (například fotografie na webu). 
   
Zpracovatelské smlouvy neprošly revizí, neobsahují záruky zavedení vhodných technických a organizačních opatření  splňující požadavky GDPR. 
   
Do prostor s uloženými osobními údaji je umožněn samostatný přístup neoprávněným osobám (například pracovníkům úklidu).
   
Dokumenty s osobními údaji jsou nedostatečně chráněny (absence hesel nebo sdílená hesla, fyzická dokumentace je volně přístupná, nezamykají se skříně s uloženými dokumenty). 
   
Pracovníci přicházející do styku se subjekty údajů nejsou seznámeni s postupem pro přijetí požadavku subjektu údajů.