Češi kvůli GDPR vyžadují souhlas i tam, kde ho nepotřebují a vlastně ani vyžadovat nesmí

První zkušenosti Úřadu pro ochranu osobních údajů nabídl účastníkům listopadové konference „GDPR plus 180 dní“ ředitel sekce správní ÚOOÚ Josef Prokeš. Jedním z „evergreenů“ jsou nadbytečné souhlasy se zpracováním osobních údajů. V České republice je přesouhlasováno! A úplně zbytečně, protože v mnoha případech správci souhlas nepotřebují a vlastně ho vyžadovat ani nesmí. Souhlasy správci také mnohdy získávají dosti agresivním nebo zavádějícím způsobem, což je samozřejmě v rozporu s obecným nařízením. Tato oblast je stále v popředí zájmu veřejnosti, i když nejen kvůli nim Úřad eviduje téměř dvojnásobné množství podnětů a stížností než bylo v roce 2017.

Problémových oblastí je více. Další nedostatky, se kterými se Úřad u správců potýká, vznikají při nahlašování porušení zabezpečení a ve specializované konzultační činnosti, jakou jsou předběžné konzultace týkající se posouzení vlivu na ochranu osobních údajů. Kvalifikovaných žádostí o předběžnou konzultaci je překvapivě velmi málo.

Pokutování za chyby a nedostatky však není na pořadu dne mimo jiné i s ohledem na chybějící doplňující legislativu ke GDPR. Úřad volí prozatím jiné přístupy. Kromě konzultací a metodické činnosti, se v rámci dozorové činnosti velmi osvědčily vytýkací dopisy, kterými je správce upozorněn na chyby. Pokud správce komunikuje a jeho jednání je férové, čestné a otevřené, nevedou tyto vytýkací dopisy automaticky k pokutě, ale spíše k nápravě protiprávního stavu, zajištění ochrany práv dotčených subjektů údajů a ke zvyšování povědomí o ochraně osobních údajů.

Více se dozvíte na webu ÚOOÚ.

Zdroj: Úřad pro ochranu osobních údajů, Svaz měst a obcí České republiky