Pokut za porušení GDPR přibývá, jak jim předejít?
Letos to budou tři roky od účinnosti nařízení GDPR a otázka možných sankcí je stále velice aktuální. Roste počet pokut i nahlášených případů v členských státech Evropské unie včetně České republiky.
Oproti loňskému roku evropské úřady zaznamenaly téměř o pětinu více porušení nařízení spojených s GDPR, rovněž byly uloženy i vyšší pokuty, a to i přes to, že velké množství pokut bylo nakonec sníženo úspěšnými odvoláními.
Doposud nejvyšší pokuta byla udělena francouzským úřadem CNIL v lednu 2019, která dosahovala 50 milionů EUR, následuje úřad v německém Hamburku, který v říjnu 2020 pokutoval nejmenovaný maloobchod za nedostatečný právní základ zpracování osobních údajů částkou 35 milionů EUR. Třetí je pak italský úřad Garante, který v lednu 2020 udělil pokutu telekomunikačnímu operátorovi za několik rozdílných prohřešků, zejména za neadekvátní technické a organizační opatření k ochraně osobních údajů, nedostatečný právní základ pro zpracování osobních údajů či nedostatečný „privacy by design“ – tato pokuta pak dosáhla výše 27 milionů EUR.
Jak se vyhnout pokutám?
Z nedávno zveřejněné studie vyplývá několik hlavních oblastí, kde správci osobních údajů nejčastěji chybují a kde je nutno dávat zvláštní pozor:
- Transparentnost – v praxi je nutné mít kompletní, přesné a přehledné oznámení o ochraně osobních údajů, ideálně se všemi potřebnými informacemi na jednom místě;
- Právní základ – jak je zjevné z krátkého shrnutí pokut výše – je nutné se vždy opírat o vhodný titul ke zpracování osobních údajů a ten dodržet, tedy například, pokud se jedná o souhlas, tak je nutné ho platně získat, vše se musí opírat o správně provedený data mapping a poctivé vedení záznamů o činnostech zpracovávání;
- Nedostatečná implementace zabezpečení– během posledních 12 měsíců bylo uloženo velké množství pokut právě pro to, že regulátoři došli k názoru, že nebylo dostatečně implementováno nutné zabezpečení, typicky:
- Monitoring administrátorských účtů;
- Monitoring přístupu do databází, které obsahují osobní údaje;
- Šifrování osobních údajů;
- Použití vícefaktorové autentizace k předejití neoprávněnému přístupu;
- Logování neúspěšných přihlášení;
- Manuální kontrola zdrojových kódů apod.
- Porušení zásady minimalizace dat a principů ukládání dat – zpracovávání příliš velkého množství dat (z nichž může být část i zcela zbytečná) a jejich ukládání na příliš dlouhou dobu zvyšuje riziko úniku, a proto i tato oblast byla regulátory často pokutována;
- Nedostatečné zajištění přenosu osobních údajů do zahraničí (třetích zemí) – ve velkém množství případů vůbec neprobíhá kontrola, mapping a zhodnocení, nakolik takový přenos představuje ohrožení pro subjekty přenášených osobních údajů. Je nutné rovněž správně implementovat standardní smluvní doložky.
Další články
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
Nová „tlačítková” povinnost pro e-shopy
Od června 2026 budou muset provozovatelé e-shopů umístit na svůj web speciální tlačítko, jehož prostřednictvím bude moci spotřebitel jednoduše odstoupit od smlouvy. Tuto povinnost přináší připravovaná novela občanského zákoníku, která vychází z unijní směrnice. Jejím cílem je zajistit, aby bylo odstoupení od smlouvy pro spotřebitele stejně snadné jako její uzavření.
