Menu

Deset mýtů o GDPR z pohledu ÚOOÚ

Přesně jeden rok před nabytím účinnosti GDPR vydal Úřad pro ochranu osobních údajů desatero nejčastějších omylů či zavádějících tvrzení o obecném nařízení pro ochranu osobních údajů. Je to vůbec první oficiální vyjádření českého regulátora k novému evropskému předpisu na ochranu osobních dat. Na základě zkušeností pracovníků Úřadu z odborných akcí a zjištění z veřejně dostupných zdrojů byl sestaven přehled opakovaně se vyskytujících nepravd a nepřesností.

Prvním zásadním omylem je nepřesné označení správné formy právního předpisu, který bude nově upravovat právní rámec ochrany osobních údajů. GDPR není směrnicí, ale nařízením. Obecné pravidlo říká, že nařízení platí v celém svém rozsahu ve všech zemích Evropské unie a je přímo použitelné. Naopak směrnice jako právní akt stanovující cíl, který musí všechny členské státy EU splnit, ponechává na členských státech, jak formulují vnitrostátní zákony a jak těchto cílů dosáhnou.  Obecné nařízení o ochraně osobních údajů je ale příkladem nařízení, které současně poskytuje členským státům určitý prostor ke stanovení vlastních pravidel, včetně přesnějšího určení některých podmínek.

Dalším zásadním mýtem, který se často veřejně publikuje, je tvrzení, že je lepší mít paušální souhlas fyzických osob, než se zabývat jednotlivými zákonnými důvody zpracování osobních údajů. Souhlas osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků, nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování (s nimiž nelze souhlas zaměňovat), např. sjednávání a plnění smluv, plnění povinností plynoucích ze zákona či ochrana práv a právem chráněných zájmů. V obecném nařízení je udělení souhlasu se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dnes je alespoň dle textu zákona důvodem/titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky.

Řada nepravdivých tvrzení se objevuje v souvislosti s povinností jmenovat pověřence pro ochranu osobních údajů. O roli pověřence neboli DPO jsme již na našem webu několikrát psali, nicméně je důležité znovu připomenout fakt, že povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí práva a praxe v oblasti ochrany osobních údajů. Žádná specifická forma ověření nebo prokázání profesních kvalit pověřence stanovena není, tedy ani forma externě získaného osvědčení nebo certifikátu. V současné době hojně nabízené kurzy DPO spojené s udělením certifikátu jsou pouhým marketingovým počinem společností, které je nabízejí, ale nemají žádnou oporu v zákoně.

ÚOOÚ rovněž vyvrací nepravdivé tvrzení, že správce nemůže pověřenci ukládat úkoly. Není tomu tak, naopak, úkoly může správce nebo zpracovatel ukládat, a to dokonce i jiné úkoly a povinnosti než ty, které stanoví obecné nařízení a které přímo s obecným nařízením souvisejí, např. podílet se na testování, posuzování a hodnocení opatření k zabezpečení osobních údajů u správce. Právě pro tyto další úkoly a povinnosti je stanovena omezující podmínka, že žádné z nich nesmí vést ke střetu zájmů pověřence.

Úřad vyvrací často zmiňovaný fakt, že pokuty udělené podle GDPR jsou likvidačními. Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, nedosáhla ani polovinu této sazby. Horní hranice pokut podle GDPR je nová, ale jak je opakovaně v preambuli k obecnému nařízení uváděno, pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující, nikoliv však likvidační.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018