GDPR a dosavadní průběh kontrol

Úřad pro ochranu osobních údajů zveřejnil 15. listopadu 2019 přehled o počtu a výši pravomocně udělených pokut.

Po účelově vyvolané panice okolo GDPR lze dnes ze statistik jednoznačně vyčíst, jaký je skutečný stav věcí. A drobní podnikatelé se budou moci opět uklidnit.

ÚOOU od začátku platnosti GDPR (tedy za rok a půl) udělil 105 pokut v celkové výši 7,5 mil. Kč. Při počtu podnikatelských subjektů v ČR (více než 1,5 mil.) si lze tedy poměrně snadno představit, jaká je pravděpodobnost, že kontrola z ÚOOU dorazí právě k vám. Co je však ještě podstatnější, je skutečná výše udělovaných pokut. Nejsou to totiž žádné likvidační desítky milionů. Naopak, oproti jiným úřadům (např. inspektorátu práce) můžeme hovořit o velmi symbolických pokutách a to i v případě velkých firem a závažných porušení pravidel GDPR.

Příkladem budiž společnost Alza, největší český e-shop, který dostal pokutu 15 tis. Kč za to, že nereagoval na žádost o odvolání souhlasu s užitím osobních údajů, resp. údajů z občanského průkazu. Mnoho dalších subjektů pak nedostalo za svá porušení pokuty žádné a úřad prohřešky řešil pouze nařízením přijetí opatření k odstranění zjištěných nedostatků.

Závěrem si pojďme připomenout důležité body, informace a doporučení pro drobné podnikatele:

• Každý podnikatel by měl provést alespoň základní vyhodnocení, jaké osobní údaje spravuje, jakou formou je uchovává a jak je chrání.
• Nezbytné minimum, které by měl učinit každý, kdo osobní údaje spravuje, je vytvoření souhrnného dokumentu ‚Zásady zpracování osobních údajů‘, někdy nazývaného např. ‚informační memorandum‘ či ‚prohlášení o zpracování OÚ‘. 
• Pro drobného podnikatele je asi největším rizikem, jak se může dostat do křížku s GDPR, udání od naštvaného zákazníka, kterého např. spamuje proti jeho vůli. Je tedy vhodné brát požadavky klientů, např. na vyřazení z emailové databáze, vážně.
• Úřad pro ochranu osobních údajů se, s ohledem na svou kapacitu, soustředí na subjekty s mimořádně velkým objemem zpracovávaných dat. 
• Bez ohledu na GDPR, je na místě věnovat péči ochraně osobních údajů našich zákazníků a klientů. A to zejména v případě, že zpracováváme velmi citlivé údaje (např. rodná čísla, čísla osobních dokladů apod.)