Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil 15. listopadu 2019 přehled o počtu a výši pravomocně udělených pokut za porušení GDPR od začátku jeho účinnosti. Z něj vyplývá, že k dnešnímu dni bylo uděleno celkem 105 pokut v souhrnné výši 7 467 000 Kč, z nichž nejvyšší zatím dosáhla 250 tisíc korun. Zjistilo se, že české firmy neví, co je balanční test nebo nedodržují dostatečná technicko-organizační opatření při zpracování osobních údajů.
Počty a výše pokut od začátku platnosti GDPR
| Počet nahlášených porušení GDPR od začátku platnosti zákona (25. 5. 2018 – 13. 11. 2019)
|
638 |
| Počet pravomocných pokut od začátku platnosti zákona (25. 5. 2018 – 13. 11. 2019)
|
105 |
| Souhrnná výše udělených pokut | 7 467 000 Kč |
Zdroj: Úřad pro ochranu osobních údajů ze dne 15. listopadu 2019
Sankce zatím nejsou v ČR vysoké. V Evropě však již dochází k zjištění závažnějších porušení zabezpečení a udělování mnohem vyšších pokut v řádu statisíců euro. Nejvyšší částky byly zatím nepravomocně vyměřeny britským společnostem Marriott International (110.390.200 euro) a British Airways (204.600.000 euro).
Český ÚOOÚ se zaměřil také na kvalitu vypracování balančního testu nebo na dostatečnost technicko-organizačních opatření při zpracování osobních údajů. Kontroly zjistily, že většina tuzemských firem neví, co je balanční test. Ten přitom spadá do kategorie povinných úkonů v rámci GDPR. Proč tomu tak je, vysvětluje konzultantka Renata Lukášová z poradenské firmy IDEAL a.s., která se touto problematikou zabývá.
V čem spočívá balanční test
„Test proporcionality (balanční test) je nástroj, který posuzuje, zda před oprávněným zájmem zpracovatele osobních údajů nemají přednost zájmy nebo základní práva a svobody toho, jehož osobní údaje jsou zpracovávány. Toto GDPR vyžaduje pro každé zpracování osobních údajů, které správce hodlá vykonávat na základě zákonného důvodu oprávněného zájmu správce,“ říká Renata Lukášová.
Test musí být proveden před započetím zpracování osobních údajů a je nutné ho pečlivě uchovávat pro případnou kontrolu ÚOOÚ. „Pouze na jeho základě může správce dospět k závěru, zda vůbec smí konkrétní osobní údaje zpracovávat,“ upozorňuje Lukášová.
Existuje pouze 6 podmínek (zákonných důvodů), na základě kterých je možné s osobními údaji nakládat:
- zpracovatel má souhlas se zpracováním osobních údajů
- zpracování je nezbytné pro splnění smlouvy
- zpracování je nezbytné pro splnění právní povinnosti
- zpracování je nezbytné pro ochranu životně důležitých zájmů
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany
„Právě šestý bod, tedy oprávněný zájem správce, je často brán jako univerzálně využitelný zákonný titul pro zpracování. Problémem však je, že GDPR výslovně stanoví, že při využití tohoto zákonného důvodu musí každý takový subjekt prokázat fakt, že před jeho zájmy nemají přednost zájmy a základní práva a svobody toho, jehož údaje jsou zpracovávány. To lze posoudit právě balančním testem,“ říká expertka na problematiku GDPR.
Jak vypadá test v praxi?
Jedná se o soubor 20-30 otázek pro každý účel zpracování (např. vlastní potřeby či manažerské rozhodování) a pro každý datový zdroj (např. životopis, či hodnocení pracovníka).
V závěrečné zprávě testu jsou posouzeny jednotlivé datové zdroje a účely zpracování s uvedením konkrétního výsledku posouzení, které jsou: a) bez dopadu, b) s opatřením a c) nepřípustné.
Součástí testu je navržení reakce v případě vznesení námitky proti tomuto zpracování a navržení takových opatření, aby předmětné zpracování osobních údajů bylo v souladu s GDPR.
„Jestliže balanční test dospěje k závěru, že převažují zájmy toho subjektu, jehož údaje jsou zpracovávány, musí správce zvážit jiné řešení nebo od zamýšleného zpracování osobních údajů zcela upustit,“ varuje Lukášová. Výsledek balančního testu může však přijetím vysokých záruk bezpečnosti zpracování či vyšší transparentnosti působit také ve prospěch správce.
Pozor na technicko-organizační opatření
Z provedených kontrol je také zřejmé, že se ÚOOÚ zaměřuje na dodržování dostatečných technicko-organizačních opatření při zpracování osobních údajů.
„Jedná se o způsob, jakým chráníme spravované citlivé údaje klientů, zaměstnanců či diskrétní zóny uvnitř firmy,“ říká IT specialista Petr Samek ze společnosti CNS a.s. Sem spadají například i přístupová práva, nastavení rozsahu oprávnění, způsob zálohování a podobně. Dále do těchto opatření náleží ochrana IT infrastruktury jako celku a ochrana osobních údajů v tištěné podobě. Například uzamykatelné kartotéky, kanceláře s omezeným přístupem či trezory. „Nesmíme zapomenout ani na opatření v rámci prostorového zabezpečení v místech s výskytem většího množství osob, což je nejčastěji označení diskrétních zón, přijímací místnosti, vyvolávací systém a podobně,“ dodává Petr Samek. Nastavení vhodných technicko-organizačních opatření je zcela na správci, kontrola posuzuje vždy jejich dostatečnost.