GDPR – kontrola UOOU a pokuty – 8. část

GDPR vstoupí v platnost příští čtvrtek 25.5.2018 a většinu lidí asi trápí zejména vysoké sankce za případné porušení ochrany osobních údajů. Jak ale bude postupovat kontrolní orgán ( u nás Úřad na ochranu osobních údajů www.uoou.cz)? Kdy a proč k vám přijde na “návštěvu” a co budou největší přestupky?

Z rozhovorů s našimi klienty a návštěvníky různých akcí, kterých se účastním vyplývá, že v první řadě se nejvíce bojíme udání! Hodně lidí mi říká: “Jestli na mě přijde kontrola, může za to udání od konkurence a bude to… (ten a ten)”. Je to divné, ale nebojíme se většinou našich zákazníků nebo potenciálních zájemců o naše služby, ale především konkurence. Nikdo moc neřeší to, že přijdeme o citlivá data (myšleno obchodní informace), ale kontroly samotné a sankce, která hrozí za porušování pravidel.

Osobně se jim nedivím a nejvíce mě mrzí to, že mám dodržovat pravidla, která dodnes nejsou přesně stanovena a i právníci se v mnoha věcech teprve “domnívají”, “předpokládají” a “odhadují” výklad směrnice EU týkající se GDPR.

Kdy a proč hrozí kontrola

Po prostudování stránek Úřadu na ochranu osobních údajů jsem zjistil, že úřad buď kontroluje náhodně dle určitého vlastního plánu kontrol nebo na tzv. podněty z venčí. Dá se předpokládat, že se práce a přístup úředníků po 25.5. nezmění. Na stránkách úřadu jsem tedy hledal určité výstupy a závěry z již uskutečněných kontrol abych našel, jaké jsou největší přestupky a pokuty z reálné praxe. Našel jsem zajímavou sekci týkající se přehledu kontrol za 2. pololetí roku 2017.

Porušení zákona při zasílání obchodních sdělení

Ať už jste realitní makléř, investor, prodáváte auta, mobilní aplikaci nebo prací prášky, k obchodu potřebujete kontakt se zákazníky a to ať mailem, poštou nebo telefonicky.  Logicky se dá předpokládat, že k největším “třecím plochám” bude docházet právě v případě kontaktování lidí, kteří si nepamatují nebo zapomněli, že vám někdy souhlas k zasílání obchodních sdělení dali.

Chybějící souhlas

Asi nejhorším přestupkem bývá samozřejmě zasílání obchodních sdělení lidem, kteří vám souhlas nikdy nedali nebo jej dokonce odvolali. První případ je typický pro nákup databází a hromadné sbírání kontaktů z internetu (to už snad neděláte). Zaslání obchodních sdělení lidem, kteří souhlas odvolají přisuzuji spíše špatně nastaveným procesům ve firmě nebo chybějícímu či špatně nastavenému technickému řešení.

Mimochodem na zasílání nabídek a obchodních sdělení emailem doporučuji využívat placené nástroje. Ty vám umožní pomocí šablon nejen hezké emaily připravit, ale také dokáží zaznamenávat souhlasy se zpracováním osobních údajů, poradí si s dvoufázovým ověřením (double opt-in) a právě umí řešit automatizované odhlášení z rozesílky (tzv. blacklisty).

Označení obchodního sdělení

Dalším častým prohřeškem je to, že odesílatel neoznačí zasílanou zprávu jako “obchodní sdělení”, čímž poruší § 7 odst. 4 písm. a) zákona č. 480/2004 Sb. Takové označení by dle úřadu mělo být “jasné a zřetelné”. Navíc by měla zpráva obsahovat informaci o tom, kdo je odesílatelem takové zprávy - společnost, OSVČ atd.

Nemožnost odhlášení zasílání

Podobným prohřeškem, na který odkazuje stejný paragraf zákona, je také nemožnost zrušení zasílání obchodních sdělení. V několika případech udělil úřad sankci za to, že sdělení neobsahovalo adresu, na kterou je možné adresovat žádost o zrušení takového zasílání obchodních nabídek. Tento problém právě může vyřešit nějaký placený nástroj.

V posledních týdnech jsem byl překvapen tím, že stále existují společnosti, které takovéto obchodní sdělení posílají a zásadně ignorují platné zákony. Stalo se mi, že:

  • email neobsahoval vůbec odkaz na možnost zrušení zasílání (při odpovědi na email s žádostí o zrušení zasílání mi dorazila informace o nedoručitelnosti emailu)
  • email neobsahoval informaci, že se jedná o obchodní sdělení
  • email obsahoval odkaz na zrušení zasílání emailů, ale podmínkou bylo přihlášení se k uživatelskému účtu, ke kterému jsem si nepamatoval heslo
  • odhlášení z rozesílky nabídek bylo podmíněno tím, že jsem byl nucen uvést důvody odhlášení, kde daný formulář byl v anglickém jazyce (toto asi není prohřešek, ale určitě to nepůsobí dobře na uživatele)

Ukázka odhlašovacího formuláře

Běžná kontrolní činnost

V rámci běžné kontrolní činnosti vybírám z jednotlivých závěrečných zpráv body, které se týkají toho, co úředníci prakticky kontrolovali

  • rozsah a forma zpracování osobních a citlivých údajů, jejich anonymizování a předávání,
  • logování jednotlivých operací s osobními údaji, a evidence přístupů a oprávněnosti přístupů
  • existence poučení v pracovních smlouvách se zaměstnanci o možnosti pořizování fotodokumentace a videa za účelem plnění a dodržování podmínek pracovněprávního vztahu
  • existence souhlasů s předáváním osobních údajů 3. stranám (pohledávkové agentury, finanční služby) atd.

Výše pokut

U případů, které jsem procházel na www.uoou.cz, kde byly uloženy peněžité sankce, nepřekročila výše pokut většinou 20-30.000,- Kč. Pokuty často bývají i v řádech jednotek tisíců korun. Pouze u jednoho případu byla stanovena pokuta na hranici 200 tis. Kč. Zde ale bylo zřejmé, že bylo téměř 50 stěžovatelů, kteří dali podněty na úřad pro porušení ochrany osobních údajů...

Tak hlavu vzhůru...

Sdílejte článek na sociálních sítích
  •  
  •  
  •  
  •  
  •  

Comments are closed.

Menu
ADOL
Přihlášení