GDPR: Dva roky v praxi

25. května 2020 to bylo přesně dva roky, co vstoupilo v účinnost Obecné nařízení o ochraně osobních údajů, anglicky GDPR. Jeho zavádění v praxi doprovázela téměř panika, ještě pár týdnů před jeho účinností na něj spousta firem a podnikatelů nebyla dostatečně či vůbec připravená. Situace se po dvou letech sice výrazně zlepšila, ale správné používání tohoto nařízení Evropské unie je pro firmy stále problém. Vysoké pokuty zatím podnikatelé v České republice nedostávají. Jak reálně GDPR funguje v praxi?

Před dvěma lety měli podnikatelé se zaváděním GDPR velké problémy, řada z nich ani nevěděla, co má vlastně změnit. „Situace se určitě zlepšila, ale stále se lze setkat s podnikateli, kteří GDPR ignorují nebo ho nepochopili, a uplatňují pouze některá pravidla pro zpracování osobních údajů. A to ještě špatně nebo nedostatečně,“ tvrdí Klára Valentová, advokátka společnosti Vilímková Dudák & Partners. Například plnění informační povinnosti vůči subjektům osobních údajů stále v praxi působí problémy. Informace jsou nepřehledné, dlouhé a nesrozumitelné, a navíc nejsou předávány včas a adresně.

Firmy si často některá ustanovení GDPR vykládají špatně, tudíž nařízení porušují. „V podstatě jsem se ještě nesetkala s firmou, která by implementaci GDPR provedla zcela bezchybně a do všech důsledků. To je totiž v podstatě nesplnitelný úkol vzhledem k tomu, jak je GDPR obecné. Na jeho dodržování totiž neexistuje žádný jednotný návod,“ dodává Valentová.

Největší problémy před dvěma lety a dnes

„V počátku se pochopitelně nejvíce řešily „nešťastné“ souhlasy se zpracováním osobních údajů, které se dodnes objevují v naprosto nesmyslných situacích a textacích. Nadbytečnost souhlasů byla jednou z nejčastějších chyb,“ tvrdí ředitel cloudových služeb společnosti Algotech Petr Loužecký. Informovanost se podle něj během dvou let hodně zlepšila, je již dost konkrétních případů pochybení, na kterých se firmy mohou poučit. Navíc jsou dostupná kvalitní školení a podklady, jejichž kvalita byla z počátku hodně kolísavá.

V praxi ale i po dvou letech zůstává řada problémů, především s poskytováním jasných informací o prováděném zpracování osobních údajů a uplatňováním dalších práv subjektů údajů. Například řada systémů stále neumí definitivní výmaz údajů tam, kde to GDPR vyžaduje, mnohdy se také podceňuje oblast zabezpečení. „V praxi se také často setkávám s nelegálním sledováním zaměstnanců a nekontrolovatelným sdílením osobních údajů v rámci skupiny podniků, kdy osobní data končí v oblastech, kde není jejich ochrana dostatečně regulována,“ doplňuje advokátka Klára Valentová.

Odborníci se shodují v tom, že si podnikatelé uvědomují důležitost osobních údajů a začali se k nakládání s nimi chovat zodpovědněji. Organizace, které tuto problematiku dříve vůbec neřešily, se nyní snaží dodržovat alespoň základní pravidla. „Firmy si uvědomují důležitost ochrany osobních údajů i díky medializaci kybernetických útoků, které často úniky údajů provází. Důležité je si přiznat, že GDPR nebyla jednorázová akce a ochranu údajů je třeba neustále rozvíjet a upravovat. Adaptace bude trvat ještě hodně let a bude se vyvíjet i s ohledem na nové technologie a přístupy k datům,“ myslí si Petr Loužecký.

Velké rozdíly mezi velkými a malými firmami

Podle expertů jsou velké rozdíly mezi velkými firmami a malými podnikateli. Velké firmy řeší GDPR zodpovědněji, především ty, které mají oddělení nebo osobu, která má ochranu osobních údajů jako součást pracovní náplně. Malí podnikatelé sice GDPR zaznamenali, ale velmi často ho ignorují.

Nehrozí jim totiž tak vysoké pokuty jako velkým firmám. A nepodstupují tak velké riziko, protože jejich zpracování osobních údajů zpravidla nikoho zásadním způsobem neohrožuje, a nebudou tak často terčem stížností. Záleží také na oboru podnikání, např. malá marketingová firma bude ve větším riziku než živnostník – instalatér.

Velká část firem vnímá GDPR negativně jako zbytečnou administrativní zátěž. „V některých případech jim lze dát za pravdu, protože většina povinností se vztahuje i na malé živnostníky, kteří provádějí jen základní zpracování osobních údajů, s nimiž je spojeno minimální riziko,“ souhlasí Valentová.

Vysoké pokuty zatím podnikatelé nedostávají

Ačkoli GDPR umožňuje ukládat za jeho porušení velmi vysoké pokuty, a v okolních státech již byly uloženy v miliardové výši, český Úřad pro ochranu osobních údajů zatím ukládá nízké pokuty, nejčastěji v řádu desítek tisíc, výjimečně v řádu stovek tisíc korun. A pokud kontrolovaná osoba sjedná rychle nápravu, Úřad od uložení sankce často upouští.