GDPR má nohy
Asi jste nikdy neslyšeli o tom, že GDPR má nohy …
Má – a hned čtyři. Nazýváme tak čtyři základní opěrné body, na kterých stojí implementace GDPR. Samozřejmě, že těch opěrných bodů je obecně více – ale čtyři jsou základní a pokud některý z nich chybí, celá konstrukce GDPR se hroutí – a proto je nazýváme nohami. Rčení „podrazit nohy“ pak totiž dokonale vystihuje realitu.
Kontrola noh GDPR
ÚOOÚ (Úřad pro ochranu osobních údajů) už delší dobu chodí do firem na kontrolu noh GDPR. Není to fáma, není to plané strašení – je to prostý fakt. Na svém webu mají zápisy z kontrol a kdo chce, může si je prostudovat. My jsme to udělali.
Pojďme si ty čtyři nohy pojmenovat a stručně přiblížit:
První noha: Informační povinnost a zpřístupnění zásad zpracování osobních údajů
Informovali jste ty, jejichž osobní údaje zpracováváte o tom, jaké jejich údaje zpracováváte a proč? A jaká práva jim k těmto údajům GDPR zaručuje, a jak se jich u vás mohou domáhat? A máte např. na firemním webu vypublikovány zásady, kterými se vaše firma řídí při zpracování osobních údajů? Pokud ne, nejste v souladu se zákonem. A co nejhůř – kdokoli, kdo navštíví váš web, to může okamžitě zjistit.
Druhá noha: Souhlasy
Máte např. fotky zaměstnanců na webu a nemáte jejich konkrétní souhlas, že můžete jejich fotografii k tomuto účelu použít?
Třetí noha: Zpracovatelské smlouvy
Předáváte osobní údaje někomu dalšímu? Třeba externistovi pro zpracování mezd? Pokud předáváte, a nemáte s tímto zpracovatelem uzavřenou zpracovatelskou smlouvu, pak porušujete zákon.
Čtvrtá noha: Právní tituly
Sbíráte a používáte osobní údaje osob bez toho, aniž byste k tomu měli tzv. právní titul? A víte, co to vlastně právní titul je? Ne? Pak vězte, že osobní údaje osob se nesmí podle GDPR uchovávat jen tak bezúčelně. Vždy musíte mít obhajitelný důvod, proč to děláte – to je právní titul. Nemáte-li ho správně určený, postupujete protizákonně. Tyto důvody nejsou libovolné, jdou v GDPR přesně definovány.
A co mají společného tyto nohy s ÚOOÚ?
Pročetli jsme zápisy kontrol ÚOOÚ a zjistili jsme, že úřad kontroluje především tyto čtyři nohy. To je velmi nebezpečné, protože to může podrazit vlastní nohy každému, pokud nohy jeho GDPR nejsou dostatečně pevné, popř. vůbec neexistují.
Proč to považujeme za tak nebezpečné? Pojďme si stručně shrnout fakta:
- Nařízení GDPR jednoduše platí, je tedy vymahatelné. Žádné osvobozující výklady ani zákony nebyly vydány, a tedy jsme „v tom až po uši“. Jedním z úkolů státu je prosazovat dodržování platné legislativy – a GDPR na to má nástroje ve formě velmi tučných pokut. Zde bych rád citoval, že „pokuty nesmí být likvidační, ale musí být odstrašující“.
- Kontroly ÚOOÚ neprobíhají jen na udání, ale také podle stanoveného plánu a jsou pravidelné.
- ÚOOÚ má právo zmocnit k výkonu kontrolní činnosti také jiné útvary státní správy. To mohou být i takové útvary, které mají dostatek pracovníků i na okresní úrovni, dobře znají firmy ve svém regionu a mají zkušenosti s vyměřováním a výběrem pokut.
- Nemocné nohy GDPR jsou „strašně na očích“ a jejich diagnózu lze velmi dobře provést zvenku i bez návštěvy firmy i laicky, tedy bez náročné analýzy.
Závěrem nezbývá než popřát každému podnikateli, aby jeho GDPR mělo čtyři zdravé nohy.
Autor: Tým SEXTANCE
