TOP

Platforma kybernetické bezpečnosti

GDPR v praxi #1: Roční zhodnocení

Už je to téměř rok, co vstoupilo ve všeobecnou platnost nařízení GDPR. Přesto ani po tak dlouhé
době nebyly některé s ním spojené problémy zcela vyřešeny. Tyto “kostlivce ve skříni” můžeme
jednoduše roztřídit do tří oblastí: 

Legislativní rovina

Poslanecká sněmovna schválila 12. března 2019 změny v oblasti GDPR. Zejména šlo o zrušení pokut pro města,
obce a kraje za porušování tohoto nařízení. Ačkoliv se může na první pohled zdát, že se poslancům povedlo zbavit
samosprávné celky zavádění GDPR, opak je pravdou. Poslanecká novela může způsobit více problémů než užitku

První problém představuje rozdílné postavení evropského a národního práva. Evropská nařízení, včetně zmíněného GDPR,
jsou zavedeny do práv všech členských státu v plném schváleném znění. Národní úprava na míru toho či onoho členského
státu není přípustná. Zároveň nemůže docházet k tomu, aby členský stát obcházel nařízení vydáváním vlastní legislativy
v dané oblasti.
Členský stát by se tak vystavil riziku penalizaci ze strany unijních institucí.

Kontrolní rovina 

Starostové, tajemníci či hejtmani, kteří propadli omamnému kouzlu poslanecké novely a myslí si, že jejich úřadu
za porušování GDPR nic nehrozí, se velmi zmýlili. Pokud úřady budou porušovat GDPR, obrátí se poškození lidé
přímo na soud
, který jim s velkou pravděpodobností dá za pravdu, protože se bude řídit přímo zmíněným nařízení GDPR.
Částky, které mohou poškozené osoby v rámci kompenzací získat, se tak budou odvíjet přímo od rozhodnutí soudu.
Nikoliv kontrolního orgánu, kterým jen v této oblasti Úřad na ochranu osobních údajů (ÚOOÚ). 

Na samotný ÚOOÚ chodí každý den od občanů podněty pro kontrolu různých organizací. V minulém roce úřad zjistil
pochybení v systému zpracování a ochrany osobních údajů například u Ministerstva vnitra ČR, pojišťovny Uniqa či společnosti O2.
Všechny tyto organizace zjištěné nedostatky odstranily a proto nemusel úřad přikročit k pokutě. Opačná situace ovšem nastává
v případě nevyžádaných obchodních sdělení, kde úřad ve většině případů alespoň nějakou pokutu udělil. Ovšem ani v této oblasti
částky nedosahují takových rozměrů jako v obdobných kauzách v zahraničí nebo v případě, že by spor mezi občanem a organizací
poškozující jeho práva skončil u soudu. 

Praktická rovina 

Je třeba si přiznat, že mnoho organizací stále neví, jak splnit různé povinnosti, které po nich nařízení GDPR vyžaduje.
Problémy nastávají především v oblasti plnění práv subjektů údajů (občanů, zákazníků, obchodních partnerů…),
ale také v oblastech vyřizování žádostí, hlášení bezpečnostních incidentů či vedení evidence zpracování osobních údajů.
Se všemi těmito nástrahami se snadno vypořádáte pomocí nástrojů, které naše platforma pomáhala vyvíjet.
Nicméně každá organizace je zcela unikátní a proto vyžaduje specifické řešení svých problémů. 

Právě na to, jakými praktickými způsoby lze řešit různé každodenní problémy v oblasti GDPR, se zaměříme v dalších dílech tohoto seriálu.

Doporučujeme: 

Analýza kybernetické bezpečnosti #1: Začínáme

Proč je nutné chránit svěřené osobní údaje? A jak postupovat, když uniknou?

3 největší výzvy kybernetických školení