Nejčastější pochybení při zpracování osobních údajů a jak jim předcházet
V roce 2021 provedl Úřad pro ochranu osobních údajů (ÚOOÚ) 43 kontrol souladu zpracování osobních údajů s GDPR. Pokutu uložil ve 40 případech. Na jaké povinnosti se zaměřuje ÚOOÚ, v jakých se nejčastěji chybuje a jak se těmto chybám vyhnout?
Na co se vztahuje GDPR?
Obecné nařízení o ochraně osobních údajů (GDPR) se použije až na pár výjimek na jakékoliv nakládání s osobními údaji člověka. Výjimkou je např. použití údajů pro osobní potřebu. Osobním údajem je v podstatě jakákoliv informace, kterou si umíme přiřadit k člověku, jehož identitu známe, anebo kterého dokážeme díky této informaci rozpoznat. Kromě klasického jména či kontaktních údajů může jít např. i o historii objednávek, aktivitu uživatele v herním účtu nebo o IP adresu.
Na dodržování jakých povinností se zaměřuje ÚOOÚ?
GDPR nám ukládá mnoho povinností, které bychom měli při nakládání s osobními údaji dodržovat. ÚOOÚ může kontrolovat dodržování jakékoliv z nich. Z dostupných informací ale vyplývá, že se zpravidla zaměřuje na základní povinnosti, které jsou pro ochranu osobních údajů nezbytné, a ve kterých se stále nejvíce chybuje.
Konkrétně jde o tyto povinnosti:
- zpracování osobních údajů s řádným právním titulem (oprávnění vymezeného v GDPR);
- užívání osobních údajů k účelům, za kterými byly získány nebo ke slučitelným účelům, a po dobu potřebnou k naplnění těchto účelů;
- řádné informování lidí o tom, jak se s jejich osobními údaji nakládá;
- umožnění lidem vykonat jejich práva (např. nechat údaje vymazat);
- uzavření zpracovatelské smlouvy se všemi náležitostmi stanovenými GDPR;
- přijetí organizačních a technických opatření k zabezpečení osobních údajů a
- řádné zapojení pověřence pro ochranu osobních údajů do kontroly nakládání s osobními údaji.
Další články
Co přináší nové jednotné měsíční hlášení zaměstnavatele
Jedno hlášení místo několika. Nový systém jednotného měsíčního hlášení zaměstnavatele má zjednodušit administrativu zaměstnavatelů, ale přináší i nové povinnosti a rizika.
Úplata za stejnokroj
Někteří zaměstnavatelé požadují po zaměstnancích platby za poskytnutý pracovní oděv, uniformu nebo firemní stejnokroj, resp. jim částky za jejich užívání sráží ze mzdy. Tento článek popisuje, proč je takový postup v rozporu s pracovním právem.
Řízení o stanovení cen a úhrad léčivých přípravků a překážka litispendence v nich
Problematika stanovení cen a úhrad léčivých přípravků představuje specifickou oblast správního práva, v níž se střetávají regulatorní požadavky, ekonomické aspekty i zájem na zajištění dostupnosti zdravotní péče. Jedním z dílčích, avšak v praxi významných problémů, je aplikace překážky litispendence v řízeních o stanovení cen a úhrad léčivých přípravků, a to zejména ve vazbě na jednotlivé indikace léčivého přípravku.
Omnibus I a náležitá péče: směrnice (EU) 2026/470 a klíčové změny v CSDDD
Před skoro 2 lety se Evropská unie vydala na cestu zmírňování dopadů podnikaní, a tak došlo k přijetí směrnice (EU) 2024/1760, o náležité péči podniků v oblasti udržitelnosti („CSDDD“), která poprvé na unijní úrovni systematicky upravila povinnou náležitou péči (due dilligence) v oblasti lidských práv a životního prostředí napříč hodnotovým řetězcem.
Rizika Shadow AI? Zaměstnanci mohou neúmyslně ohrozit firemní data, porušit dohody o mlčenlivosti nebo GDPR
S rozvojem AI rostou i rizika tzv. Shadow AI, používání neschválených nástrojů a aplikací umělé inteligence při práci s důvěrnými firemními informacemi, daty obchodních partnerů nebo s osobními údaji klientů a zaměstnanců. Zaměstnanci – obvykle v dobré víře a ve snaze zvýšit produktivitu práce – totiž svěří chráněná data nástrojům, nad kterými nemá firma kontrolu a slouží například ke zdokonalování umělé inteligence.
