Pokud správce jedná čestně, lze mnohé napravit
O minulých i současných povinnostech a cílech ÚOOÚ hovořil ředitel jeho sekce správní Josef Prokeš na listopadové konferenci „GDPR plus 180 dní“. Tam zároveň nabídl i první zkušenosti Úřadu s obecným nařízením po téměř půl roce účinnosti.
„Úřad se v současné době stále věnuje především konzultacím a poskytování rad v metodické oblasti. Pokutování novinek není na pořadu dne, mj. s ohledem na chybějící doplňující legislativu k GDPR,“ upozornil Prokeš. Podle jeho slov bylo v minulosti možno fungování ÚOOÚ přirovnat k úrovni malého ministerstva. „Před účinností GDPR vypracovával Úřad úkoly a psal návody správcům, což bylo v rozporu s posláním nezávislého dohledu nad zpracováním údajů. Dnes se snažíme striktně naplňovat působnost, která náleží dozorovému úřadu. V návaznosti na první zkušenosti s GDPR dochází k úpravě dosavadních forem poradenské činnosti a poskytování osvěty,“ uvedl s tím, že každý správce nalezne veškeré základní informace na webových stránkách ÚOOÚ. „Pracujeme nyní více s metodikami ústředních úřadů. Častým omylem správců však je, že přicházejí s popisem problému a chtějí po Úřadu komplexní řešení. Takto však dozorový úřad za správce konat nemůže. My nepečeme rohlíky, ale radíme s technologií, jak je péct,“ přirovnal ředitel sekce správní.
Účastníky konference seznámil se statistikou podnětů a stížností, kde Úřad eviduje téměř dvojnásobné množství oproti roku 2017. „Mnoho z nich se týká řešení soukromoprávních nároků dle občanského zákoníku, jejichž posuzování je mimo gesci ÚOOÚ,“ upřesnil.
„Trvalým tématem jsou nadbytečné souhlasy se zpracováním údajů. V České republice je přesouhlasováno. Úplně zbytečně, protože v mnoha případech je správci vyžadovat ani nesmí. Souhlasy mnohdy získávají dosti agresivním nebo zavádějícím způsobem, což je samozřejmě v rozporu s obecným nařízením,“ hovořil o oblasti, která je v popředí zájmu veřejnosti.
Josef Prokeš nastínil také nedostatky, se kterými se Úřad u správců potýká v nahlašování porušení zabezpečení a ve specializované konzultační činnosti. „U případů tzv. ,data breaches' od správců vyžadujeme popis přijatých opatření a odhad důsledků porušení zabezpečení. Překvapivě dostáváme velmi málo kvalifikovaných žádostí o předběžnou konzultaci týkající se posouzení vlivu na ochranu osobních údajů,“ uvedl.
V dozorové činnosti se Úřadu velmi osvědčily vytýkací dopisy, kterými správce upozorní na chyby, ale ještě neznamenají a ani vždy automaticky nevedou k udělení pokuty (svůj přístup k pokutování popsal ÚOOÚ zde). Co se samotné komunikace ohledně problematického zpracování týče, zdůraznil ředitel sekce správní potřebu férového, čestného a otevřeného jednání.
Odbornou konferenci „GDPR plus 180 dní” pořádal v Praze Spolek pro ochranu osobních údajů, sekce Compliance z Unie podnikových právníků a společnost Microsoft. Vystoupili na ní domácí i zahraniční odborníci ochrany dat spolu s bezpečnostními a právními experty.