Menu

Šéfka ÚOOÚ: Vysokými pokutami chceme firmy odrazovat, ne likvidovat

Po delší době JUDr. Ivana Janů, předsedkyně Úřadu pro ochranu osobních údajů, poskytla rozhovor, ve kterém mimo jiné v rámci příprav institucí na nová GDPR pravidla upozorňuje na řadu omylů, o nichž na našem webu dlouhodobě informujeme.

Prvním z nich je tvrzení, že GDPR je revolučním předpisem v oblasti ochrany osobních údajů. „Pokud podnikatel plnil své povinnosti podle zákona o ochraně osobních údajů, tak mu nehrozí žádné revoluční hnutí v jeho podniku, do 25. května se stihne zorientovat a stihne učinit takové kroky, aby ho obecné nařízení nezaskočilo. Pokud neplnil povinnosti a neznal zákon o ochraně osobních údajů, tak je pro něj nejsnazším způsobem udělat revizi povinností podle stávajícího zákona, který je s GDPR hodně kompatibilní.“

Paní předsedkyně rovněž nastínila, jak bude její úřad přistupovat k udělování pokut, které se účinností GDPR od příštího května posouvají do mnohem vyšších finančních částek. „Nově budeme moci ukládat pokutu až do čtyř procent hrubého celosvětového obratu firmy nebo do dvaceti milionů eur. Obecné nařízení říká, že pokuty musí být odrazující. Tím se budeme řídit. Pokuty mohou být velmi velmi vysoké, doteď nebyly. Při výpočtu výše sankce se ale budou zvažovat stejné okolnosti jako dosud. Záleží na závažnosti porušení, na kontextu. Jakýkoliv únik dat musí podnik oznámit do tří dnů Úřadu, ale i postiženým fyzickým osobám. Snaha o nápravu a okamžité ohlášení hraje velkou roli coby polehčující okolnost při stanovování sankce. Naopak pokud budou firmy vyčkávat s ohlášením až do doby, než začnou hackeři prodávat ukradená data na trhu, tak pak je to špatné, jak pro firmy, tak pro občany. Firmy musí být schopny dokázat, kdy se o úniku dat dozvěděly. Od tohoto okamžiku se počítá jejich 72hodinová lhůta na oznámení. Peníze vybrané na pokutách poputují, stejně jako je tomu nyní, do státního rozpočtu.“ Dr. Janů však zároveň vyvrátila jedno z nejvíce mylně interpretovaných tvrzení, že se bude jednat o pokuty likvidační. „Každá pokuta musí být obecně přiměřená, ne likvidační. O výši pokuty rozhoduje i to, jak si podnik ekonomicky stojí. Takže odrazovat, ale nelikvidovat.“

Paní předsedkyně vnímá přijetí nového předpisu v podobě nařízení jednoznačně pozitivně. „Jsme v digitálním věku prudce se rozvíjejících komunikačních technologií. S každou pracovní silou putují osobní údaje. Není možné, aby v EU, kde existují čtyři svobody – volný pohyb zboží, služeb, pracovních sil a kapitálu – nebyla sjednocená pravidla pro pohyb informací, které volně se pohybujícího člověka provázejí. To je významný přínos GDPR, kdy se ke zmíněným čtyřem svobodám musí nutně přiřadit jednotná úprava ochrany soukromí.“

Šéfka Úřadu se nevyhnula ani dalšímu často diskutovanému tématu, kterým je povinnost některých institucí jmenovat svého pověřence pro ochranu osobních údajů. Opětovně poukázala na zbytečnou hysterii, kterou je tato nová povinnost podle GDPR doprovázena. Veřejností a různými podnikatelskými subjekty marketingově podpořená tvrzení, že pověřenců bude obrovský nedostatek, a proto je třeba je rychle vyrobit, paní předsedkyně uvedla na pravou míru. „My jednoznačně zastáváme názor, že by to měl být interní pracovník, který zná firemní prostředí. Ani v menších podnicích nic nebrání tomu, aby to byl člověk zevnitř. Náklady nemusí být vysoké, protože lze funkce kumulovat. Vzniká tu nová profese, která je kombinací právníka a IT specialisty.“

V závěru svého rozhovoru se dr. Janů věnovala otázce přípravy jejího úřadu na novou roli, kterou účinností GDPR, jakožto jednotného souboru pravidel na ochranu osobních údajů v Evropě, bude spolu s dalšími evropskými dozorovými orgány mít. „Komplikaci vidíme v udržení odborně zdatných pracovníků a získání nových. Jde nám hlavně o to, abychom se platově dostali na úroveň ministerstev. Je vysoká poptávka po znalcích problematiky osobních údajů – právnících, IT specialistech, analyticích. Soukromé firmy mohou oproti nám nabídnout dvojnásobné peníze, hrozí nám odkrvení. Hlavně banky přichází s lukrativními podmínkami. Tenhle problém je prakticky stejný v celé Unii. Určité odbornosti v Úřadu musí být platově konkurenceschopné soukromému byznysu.“

Celý rozhovor zde >

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018