Pokut za porušení GDPR přibývá, jak jim předejít?
Letos to budou tři roky od účinnosti nařízení GDPR a otázka možných sankcí je stále velice aktuální. Roste počet pokut i nahlášených případů v členských státech Evropské unie včetně České republiky.
Oproti loňskému roku evropské úřady zaznamenaly téměř o pětinu více porušení nařízení spojených s GDPR, rovněž byly uloženy i vyšší pokuty, a to i přes to, že velké množství pokut bylo nakonec sníženo úspěšnými odvoláními.
Doposud nejvyšší pokuta byla udělena francouzským úřadem CNIL v lednu 2019, která dosahovala 50 milionů EUR, následuje úřad v německém Hamburku, který v říjnu 2020 pokutoval nejmenovaný maloobchod za nedostatečný právní základ zpracování osobních údajů částkou 35 milionů EUR. Třetí je pak italský úřad Garante, který v lednu 2020 udělil pokutu telekomunikačnímu operátorovi za několik rozdílných prohřešků, zejména za neadekvátní technické a organizační opatření k ochraně osobních údajů, nedostatečný právní základ pro zpracování osobních údajů či nedostatečný „privacy by design“ – tato pokuta pak dosáhla výše 27 milionů EUR.
Jak se vyhnout pokutám?
Z nedávno zveřejněné studie vyplývá několik hlavních oblastí, kde správci osobních údajů nejčastěji chybují a kde je nutno dávat zvláštní pozor:
- Transparentnost – v praxi je nutné mít kompletní, přesné a přehledné oznámení o ochraně osobních údajů, ideálně se všemi potřebnými informacemi na jednom místě;
- Právní základ – jak je zjevné z krátkého shrnutí pokut výše – je nutné se vždy opírat o vhodný titul ke zpracování osobních údajů a ten dodržet, tedy například, pokud se jedná o souhlas, tak je nutné ho platně získat, vše se musí opírat o správně provedený data mapping a poctivé vedení záznamů o činnostech zpracovávání;
- Nedostatečná implementace zabezpečení– během posledních 12 měsíců bylo uloženo velké množství pokut právě pro to, že regulátoři došli k názoru, že nebylo dostatečně implementováno nutné zabezpečení, typicky:
- Monitoring administrátorských účtů;
- Monitoring přístupu do databází, které obsahují osobní údaje;
- Šifrování osobních údajů;
- Použití vícefaktorové autentizace k předejití neoprávněnému přístupu;
- Logování neúspěšných přihlášení;
- Manuální kontrola zdrojových kódů apod.
- Porušení zásady minimalizace dat a principů ukládání dat – zpracovávání příliš velkého množství dat (z nichž může být část i zcela zbytečná) a jejich ukládání na příliš dlouhou dobu zvyšuje riziko úniku, a proto i tato oblast byla regulátory často pokutována;
- Nedostatečné zajištění přenosu osobních údajů do zahraničí (třetích zemí) – ve velkém množství případů vůbec neprobíhá kontrola, mapping a zhodnocení, nakolik takový přenos představuje ohrožení pro subjekty přenášených osobních údajů. Je nutné rovněž správně implementovat standardní smluvní doložky.
Další články
Odpovědnost zaměstnanců za škodu při hackerských a phishingových útocích: kde leží hranice?
Kybernetické útoky v dnešním světě bohužel již nejsou otázkou „zda“, ale „kdy“.
Problém zneužití zranitelností nultého dne a možnosti jeho řešení nástroji mezinárodního práva veřejného
Jaké jsou možnosti mezinárodní spolupráce v oblasti kybernetické bezpečnosti při řešení problému zneužití zranitelností nultého dne?
Srovnatelné pracovní a mzdové podmínky po novém rozhodnutí Nejvyššího soudu – budou zahrnuty veškerá plnění a benefity?
Nejvyšší soud se v lednu tohoto roku zabýval otázkou, zda příspěvek na penzijní připojištění představuje součást „pracovních a mzdových nebo platových podmínek“ ve smyslu § 43a odst. 6 zákoníku práce, tedy zda musí být zohledněn při srovnání podmínek dočasně přiděleného zaměstnance a srovnatelného kmenového zaměstnance zaměstnavatele, ke kterému je zaměstnanec dočasně přidělen.
Mateřství jako překážka výkonu mandátu? Evropský parlament odpovídá změnou pravidel
Evropský parlament schválil změnu volebního aktu, která nově umožní poslankyním během těhotenství a krátce po porodu hlasovat prostřednictvím zmocněnce. Opatření reaguje na dosavadní praktické limity výkonu mandátu a usiluje o vyrovnání podmínek bez narušení jeho podstaty.
5 otázek pro Petra Kohouta: Jak AI mění pravidla veřejných zakázek?
Mgr. Petr Kohout, LL.M. není typický úředník. Jako vedoucí právního oddělení Krajského úřadu Středočeského kraje má na starosti mimo jiné metodiku veřejných zakázek – a zároveň patří k nejhlasitějším propagátorům umělé inteligence ve veřejné správě v Česku. Dvakrát po sobě získal titul Osobnost AI v kategorii veřejná správa, stojí u zrodu Platformy pro AI ve veřejné správě a je spoluautorem e-booku Nástroje AI ve veřejné správě. Na Kongresu Právní prostor 2026, který se konal 28.-29. dubna 2026, vystoupil s příspěvkem „Umělá inteligence ve veřejných zakázkách".
