Kontrola automaticky neznamená udělení pokuty
V Plzni se tento týden uskutečnil seminář na téma ochrany osobních údajů ve firmách v době účinnosti GDPR. Stejně jako na dalších podobných akcích, také zde měl Úřad pro ochranu osobních údajů svého zástupce. Ředitel odboru konzultačních agend ÚOOÚ Jiří Žůrek ve svém příspěvku seznámil přítomné s činnostmi a povinnostmi, které obecné nařízení přináší do fungování Úřadu. Velký zájem vzbudily informace k dozorové činnosti.
Jiří Žůrek ve svém příspěvku hovořil o některých aspektech očekávaného českého adaptačního zákona i k důsledkům, které jeho absence znamená pro činnost Úřadu. „Adaptační zákon bude doplňovat, nikoli nahrazovat GDPR nebo zákon č. 101/2000 Sb. Každá členská země si v adaptačním zákoně může, v některých oblastech, přijmout vlastní úpravu některých témat, která s GDPR souvisí. V ČR se jedná třeba o stanovení menší maximální výše pokut pro státní správu, o které se nyní v souvislosti s přijímáním adaptačního zákona diskutuje,“ uvedl.
Velký zájem publika vzbudilo téma dozorové činnosti a možných situací, v nichž bude jednání správce podrobeno kontrole ÚOOÚ. Kromě případů zvlášť významného společenského zájmu uvedených v kontrolním plánu se jedná o ad-hoc kontroly na základě podnětu či stížnosti,
kterou Úřadu pošle některý postižený subjekt údajů. „Přístup firem k subjektům údajů může situaci velmi pomoct. Jednejte s ním korektně, transparentně a důsledně se jeho stížností či žádostí zabývejte, čímž minimalizujete prostor pro to, aby si stěžoval na ÚOOÚ,“ vyzval Žůrek.
Panikařit by správci neměli ani ve chvíli, pokud k nim kontrola dorazí. „Kontrolující mají za cíl především zjistit faktický stav věci. To, že ji u vás ÚOOÚ zahájí, ještě neznamená, že musí být vždy nutně uložena pokuta,“ vysvětloval Jiří Žůrek s tím, že finanční postih nemusí automaticky přijít ani v případě, že Úřad nějaký závadný stav u správce odhalí. „GDPR obsahuje řadu nápravných pravomocí, které lze v případě zjištěného porušení uložit. Mezi nimi je například udělení napomenutí nebo nařízení, aby vyhověl žádosti subjektu údajů o výkon práva dle GDPR. Záleží na individuálním posouzení každého případu. ÚOOÚ musí vždy posoudit rozsah, povahu či délku porušení, ale třeba i jak správce pracuje na nápravě pochybení nebo jaká opatření přijal, aby se už v budoucnu neopakovalo. Cílem Úřadu není udělit co nejvíce pokut, ale především zajistit nápravu a zvyšovat povědomí o ochraně osobních údajů,“ zdůraznil.
Ve svém příspěvku se dotkl i konzultační činnosti Úřadu a jejího nárůstu po začátku účinnosti GDPR. „Například v období od 25. května do 25. srpna 2017 jsme zaregistrovali 531 dotazů, zatímco ve stejném období letos už to bylo okolo 1100 dotazů. V poměru podaných podnětů za toto období je situace obdobná,“ konstatoval Žůrek.
Akci pod patronací Ministerstva průmyslu a obchodu ve spolupráci s Technologickým centrem AV ČR hostil vědeckotechnický park v Plzni. Jednalo se o druhý z pěti tematických seminářů k GDPR, které v září a říjnu proběhly či proběhnou ještě v Brně, Hradci Králové, Ústí nad Labem a Ostravě. K těmto akcím naleznete informace zde: https://www.tc.cz/cs/akce/seminare-ochrana-osobnich-udaju-ve-firmach-v-dobe-ucinnosti-gdpr.
Seminář byl další osvětovou akcí k ochraně osobních údajů, které se aktivně zúčastnil některý z pracovníků Úřadu. Letos se číslo podobných účastí blíží již téměř sedmi desítkám.