Menu

ÚOOÚ

Téměř s ročním zpožděním byla v České republice přijata adaptační legislativa k GDPR. Dnem 24.4. 2019 vstoupil v účinnost nový zákon č. 110/2019 Sb. o zpracování osobních údajů a další doprovodný zákon č. 111/2019 Sb.

Adaptační legislativa nezavádí převratné změny oproti GDPR, jednu naprosto zásadní však ano. Čeští zákonodárci se rozhodli stanovit nulové sankce za porušení GDPR pro orgány veřejné moci a veřejné subjekty a tímto diskriminačním přístupem vůči soukromoprávním subjektům, které investovaly nemalé prostředky do implementace požadavků GDPR, dali jasně najevo, jakou váhu přikládají našemu ústavním zákonem deklarovanému právu na ochranu soukromí a osobnosti. Přitom z praxe víme, že subjekty veřejného práva zpracovávají enormní množství osobních údajů včetně těch nejcitlivějších a tak se mohou dopustit porušení požadavků GDPR v mnohem závažnějším rozsahu než subjekty práva soukromého.

Na druhou stranu je pravdou, že dozorový úřad pořád může nařídit podle čl. 58 odst. 2 GDPR další nápravná opatření, jakým je právo upozornit správce či zpracovatele, že zamýšlené operace zpracování pravděpodobně porušují nařízení, udělit mu napomenutí nebo nařídit provedení nápravy, což v samotném důsledku může být pro danou veřejnoprávní organizaci mnohem dražší a časově náročnější proces než úhrada jednorázové pokuty.

Kromě správních sankcí za porušení GDPR veřejnoprávním institucím hrozí ještě další neopomenutelné postihy, a to zejména:

  • § 180 trestního zákoníku -neoprávněné nakládání s osobními údaji, jehož první odstavec specificky míří na veřejné instituce.
  • dalším případným negativním důsledkem porušování GDPR  je občanskoprávní odpovědnost, resp. odpovědnost podle zákona o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem.
  • nedodržením pravidel stanovených v právních předpisech, tedy v předpisech vztahujících se k ochraně osobních údajů, dojde současně k porušení povinnosti jednat s péčí řádného hospodáře.

K lepší vymahatelnosti našeho práva na ochranu soukromí by měl přispět i institut hromadných žalob, který přináší do českého procesního práva menší revoluci.

Je tedy jenom na nás, subjektech údajů, jak urputně si budeme naše zákonem garantovaná práva bránit a jejich dodržování důsledně vymáhat. Praxe bohužel ukazuje, že i téměř po roce od účinnosti GDPR není uplatňování práva na přístup dle článku 15 GDPR příliš ze strany subjektů údajů využíváno, což logicky vede k laxnímu přístupu organizací k důslednému zavádění pravidel s ochranou našeho soukromí souvisejících. Kde není žalobce, nemůže být ani soudce.

V tomto odkazu najdete přehled adaptační legislativy v rámci celé EU.


18. dubna

ÚOOÚ vydal upřesnění k zasílání obchodních sdělení

Čtěte dál


13. března

Fotky v éře GDPR. Co můžete bez obav zveřejnit?

Fotku nebo video může pořídit a zveřejnit prostřednictvím internetu v podstatě každý. Do hry se přitom nedostává jen GDPR. Na co si dát pozor?

Čtěte dál


17. ledna

Koho se týká evropský kodex pro elektronické komunikace?

Bez větší pozornosti prošla Evropským parlamentem a Radou v závěru loňského roku směrnice (EU) 2018/1972 o evropském kodexu pro elektronické komunikace. Jaký bude její dopad na ochranu osobních údajů?

Čtěte dál


Poslanci v prosinci konečně schválili tzv. adaptační zákon. Jeho úplné znění je zde.  Nebudu komentovat fakt, že jsme jednou z posledních, ne-li úplně poslední EU zemí, která ho nebyla schopna přijmout do účinnosti GDPR. Jsem stále ve svátečním režimu, takže jsem jeho znění podrobně nezkoumala, ale nejvíce mne zaujal paragraf 63, odst. 3, který stanoví maximální výši pokuty za porušení zákona, tj. i GDPR, na 10 mio CZK. Čtu a vykládám si tento poslanecký počin správně, že pokuty, které stanoví GDPR jakožto nařízení, z jehož mantinelů se lze vychýlit pouze na základě zmocňujícího se ustanovení, se České republiky vůbec nebudou týkat?

Znamená to, že článek 83, odst. 7 GDPR si naši poslanci samovolně rozšířili i na soukromoprávní subjekty? Pokud je můj výklad správný, tak se účinného zákona jen tak rychle nedočkáme. A vůbec nechci komentovat tu obrovskou disproporci v možnostech pokutování veřejnoprávních a soukromoprávních subjektů. Takové fakultní nemocnice nebo řada ministerstev zpracovává naše velmi citlivé údaje a za porušení zákona mají být trestány nepoměrně nižší sankcí než např. soukromá nemocnice? Pokud byl úmysl zákonodárce nejvyšší možnou pokutu sjednotit, tak se měl poučit o tom, jaký je rozdíl v aplikaci nařízení a směrnice EU.


Řešíte GDPR prakticky na pokročilé úrovni? Právě pro vás rozjíždíme cyklus celodenních GDPR seminářů u kulatého stolu, které vám umožní se dále vzdělávat a zlepšovat. V rámci každého setkání představíme novinky v oblasti ochrany osobních údajů a vybrané hosty k probíranému tématu — GDPR experty a zástupce významných institucí či firem.

GDPR semináře u kulatého stolu


Často kladené otázky ve školství

Úřad na ochranu osobních údajů zveřejnil odpovědi na nejčastěji kladené otázky týkající se zpracování osobních údajů ve školství. Nemohu si pomoc, ale jejich čtením  se jenom potvrzuje neustále se opakující fakt, že až do účinnosti GDPR nebyla dodržována stávající legislativa, v tomto případě školský zákon, jeho prováděcí předpisy a hlavně občanský zákoník. Když si vzpomenu na tu květnovou hysterii okolo zveřejňování fotek žáků při různých činnostech, v řadě případů vyvolanou i politiky v podobě pana Václava Klause ml. a stovkami „GDPR expertů“, kteří nejenom, že nařízení nikdy nečetli, ale hlavně z důvodu neznalosti několik let platné legislativy ani nepochopili, že tato zpracování s GDPR nemají nic společného, tak mne napadá jen jedno řešení. Začít nejprve dodržovat sektorovou legislativu a nechat si poradit především od skutečných odborníků, kteří se v dané oblasti pohybují několik let. Je třeba zastavit šíření nesmyslů a polopravd od rádoby expertů, kteří se ještě na začátku tohoto roku živili všemi možnými formami poradenství, pak si zaplatili jednodenní kurs na GDPR a s vidinou snadných zisků začali pod pohrůžkou astronomických pokut vyhrožovat, že je tím GDPR klackem všichni včetně ÚOOÚ umlátí. Je mi líto těch, kteří jim uvěřili a teď v podstatě mohou začít GDPR implementovat znovu.


Úřad pro ochranu osobních údajů pravidelně zodpovídá dotazy k aplikaci GDPR pravidel v různých oblastech a činnostech zpracování osobních údajů. V drtivé většině kladených otázek se na našem blogu s výkladem nařízení s ÚOOÚ shodujeme a budeme rádi za vaše podnětné připomínky a sdílení zkušeností s dodržováním nových pravidel na ochranu osobních údajů, se kterými ve svých organizacích bojujete.


10. června 2018

ÚOOÚ reaguje na nesprávné používání souhlasu

Úřad pro ochranu osobních údajů upozorňuje v souvislosti s GDPR, že udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost.

Čtěte dál


30. dubna 2018

Zvládnete se vypořádat se žádostmi osob o přístup k jejich osobním údajům?

Zašlete mi údaje, které o mně zpracováváte. Poradíte si s podobnou žádostí, anebo bude 25. květen pro vaši organizaci začátkem administrativního hororu?

Čtěte dál



Hlavní partneři