Obecné nařízení o ochraně osobních údajů (GDPR) je v Evropské unii účinné od roku 2018. Za tu dobu české úřady rozdaly pokuty v celkové výši stovek milionů korun. Jaké jsou nejvyšší pokuty? A hlavně – jak se jim vyhnout?
Kolik činí pokuty za porušení GDPR?
GDPR umožňuje dvě úrovně pokut:
Nižší stupeň
Až 10 milionů EUR nebo 2 % celosvětového ročního obratu (podle toho, co je vyšší)
Vyšší stupeň
Až 20 milionů EUR nebo 4 % celosvětového ročního obratu (podle toho, co je vyšší) V praxi české úřady zatím udělují nižší částky – ale i statisíce korun můžou pro menší firmy znamenat problém.
Největší pokuty v ČR
1. České aerolinie (ČSA) – 3,2 milionu Kč
Důvod: Únik e-mailových adres zákazníků. Firma nedostatečně zajistila ochranu dat při mailingové kampani.
2. Státní Oblastní Archiv – 200 000 Kč
Důvod: Nedostatečné zabezpečení archivovaných dokumentů s osobními údaji.
3.VELOPACKA – 150 000 Kč
Důvod: Neoprávněné sdílení osobních údajů zaměstnanců.
4. Mall.cz – 200 000 Kč
Důvod: Nedostatečná informovanost uživatelů o zpracování osobních údajů. *Poznámka: Toto jsou příklady. Konkrétní případy se mění a ÚOOÚ pravidelně zveřejňuje aktualizované statistiky.*
Nejčastější důvody pokut
1. Chybějící souhlasy
Pokud zpracováváte osobní údaje bez právního důvodu (souhlas, smlouva, oprávněný zájem), vystavujete se riziku pokuty.
2. Nedostatečné zabezpečení
Slabá hesla, nezabezpečené systémy, žádné šifrování – to vše může vést k pokutě, pokud dojde k úniku dat.
3. Chybějící informace pro subjekty
Lidé musí vědět, jaké údaje o nich sbíráte, proč je sbíráte, jak dlouho je uchováváte, a komu je předáváte.
4. Neexistence procesů pro výkon práv
Pokud vám někdo napíše a požádá o výmaz jeho údajů, musíte mít proces, jak na takovou žádost reagovat do 30 dnů.
5. Neuplatnění pseudonymizace
Tam, kde to jde, byste měli data pseudonymizovat – tedy oddělit identifikátory od ostatních údajů.
Jak se pokutám vyhnout?
Krok 1: Provedťe audit
Zjistěte, jaké osobní údaje sbíráte, kde jsou uloženy, kdo k nim má přístup, a jak jsou chráněny.
Krok 2: Zajistěte právní základ
Pro každé zpracování musíte mít právní důvod:
– Souhlas – uživatel souhlasí
– Plnění smlouvy – údaje jsou nutné pro splnění smlouvy
– Oprávněný zájem – vaše potřeba převažuje nad právy subjektu
– Zákonná povinnost – ukládá vám to zákon
Krok 3: Implementujte technická opatření
– Šifrování dat
– Silná hesla
– Pravidelné zálohování
– Omezení přístupu
– Monitoring
Krok 4: Připravte dokumentaci
Mějte připraveny:
– Zásady zpracování osobních údajů
– Informační povinnost pro uživatele
– Formuláře pro souhlas
– Evidence činností zpracování
Krok 5: Stanovte odpovědnost
Jmenujte osobu odpovědnou za GDPR – ať už interního zaměstnance, nebo externího konzultanta.
FAQ
Jaká je maximální pokuta za porušení GDPR?
Až 20 milionů EUR nebo 4 % celosvětového ročního obratu – podle toho, co je vyšší.
Kdo uděluje pokuty v ČR?
Úřad pro ochranu osobních údajů (ÚOOÚ).
Může být pokuta uložena i malé firmě?
Ano. Pokuta se odvíjí od obratu firmy – ale i malé firmy mohou dostat pokutu v řádu statisíců korun.
Co když už k úniku dat došlo?
Do 72 hodin musíte nahlásit únik ÚOOÚ. Pokud únik ohrožuje práva subjektů, musíte informovat i dotčené osoby.
Musím mít pověřence pro ochranu osobních údajů (DPO)?
Povinnost mají pouze veřejné instituce a velké společnosti zpracovávající velké množství dat. Menší firmy to mít nemusí, ale mohou ho jmenovat dobrovolně.
GDPR není nepřítel – je to příležitost, jak budovat důvěru zákazníků. Naše advokátní kancelář ModerniPravnik.cz vám pomůže s auditem, přípravou dokumentace i školením zaměstnanců. Potřebujete pomoc s GDPR? Jsme tu pro vás. *Autor: Mgr. Petr Uklein, vedoucí advokát advokátní kanceláře ModerniPravnik.cz*
Všechny tyto služby a produkty vám pomohou snadno zvládnout. Neváhejte nás kontaktovat a objednejte si naše služby, smlouvy či produkty přímo na webu.