Poznatky Úřadu k používání GDPR
Úřad pro ochranu osobních údajů informoval ústy vrchního rady pro vládní agendy Miroslavy Matoušové veřejnost o některých svých poznatcích a zkušenostech k používání obecného nařízení. Stalo se tak na konferenci ČCA Compliance, která se konala tento týden v Praze.
Ve své prezentaci vycházela Miroslava Matoušová mimo jiné také z výsledků dotazníkového průzkumu mezi účastníky konzultací a seminářů pro pověřence, které Úřad pořádal v létě a na podzim (Zprávu o jedné z těchto akcí si přečtěte zde).
V této souvislosti hovořila o některých statistických údajích ohledně jmenování pověřenců: „Bylo nám doručeno více než 16500 oznámení o jmenování a přes 200 zpráv o změně pověřence nebo kontaktu na něj. Zajímavostí je fakt, že velký počet z nich ustanovili správci čistě na dobrovolné bázi, tedy že jim to zákon vzhledem k jejich činnosti ani neukládá. Registrujeme také velký podíl externě působících pověřenců,“ uvedla Matoušová.
Přítomným představila i některé chyby správců, se kterými se ÚOOÚ ve své praxi setkává. „Mnoho nejasností panuje třeba u jmenování pověřenců. Stává se, že ten nám své ustanovení do funkce ohlásí sám, což je samozřejmě špatně. Setkáváme se však naopak i s tím, že pověřenec neví, kdy a kdo jeho jmenování oznámil či na jakém základě byl jmenován. Narazili jsme na organizace, které ustanovily více než jednoho pověřence i na ty, kde oproti povinnosti nebyl zatím jmenován žádný. Registrujeme také první stížnosti na nedostatečnou dostupnost pověřence působícího pro více správců současně,“ shrnula Matoušová. Zároveň připomněla povinnost správců zveřejnit kontaktní údaje pověřenců na svých webových stránkách: „V našem nedávném průzkumu u šedesáti náhodně vybraných webových vývěsek, kde tato povinnost je, jsme bohužel zjistili, že podobný údaj v mnoha případech chybí.“
V dalším průběhu uvedla i další časté chyby, na které Úřad naráží. Mimo jiné došlo například na špatně vykládaný pojem „zpracování osobních údajů“, z čehož pramení časté ohlašování incidentů, které ÚOOÚ vůbec nepřísluší, či nadměrné vyžadování souhlasu se zpracováním.
O všech těchto tématech Úřad dlouhodobě informuje na svých webových stránkách, vyjadřuje se v médiích či prostřednictvím svých expertů hovoří na seminářích a konferencích. Takových odborných akcí letos proběhlo již přes sedm desítek.
Komplexní informace k pověřencům naleznete v sekci GDPR (obecné nařízení).
Tiskovou zprávu s vyjádřením předsedkyně Úřadu k souhlasům vydal Úřad na svém webu zde.
Níže ve formátu PDF jsou k dispozici také kompletní výsledky dotazníkových průzkumů, ze kterých Miroslava Matoušová v některých bodech své prezentace vycházela.
Dvoudenní ČCA Compliance konference, nad kterou převzal záštitu ministr spravedlnosti ČR Jan Kněžínek, přivítala odborníky z České republiky i ze zahraničí zastupující regulatorní orgány, podnikatelské subjekty, poradenské společnosti i akademickou sféru. Příspěvky a diskuze se týkaly cílů a zaměření compliance programů ve firmách i veřejnoprávních institucích za účelem předcházení porušení právních povinností vyplývajících z obecně závazných právních předpisů, včetně aktuálních legislativních změn.
Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions...