Názory k článku GDPR rok poté: Nesplnitelná právní norma stále nahrává obchodníkům s deštěm

Možná by stálo za to napsat článek o reálné vymahatelnosti GDPR. Moje osobní zkušenost je taková, že i ÚOOÚ na to z vysoka kálí... Co je ovšem největší drzost, že na ÚOOÚ vám řeknou, že tu firmu znají, a že nejste jediní, kteří si stěžují. No a když jim dle pokynů dáte na zlatém podnose všechny možné důkazy, tak se na to ÚOOÚ stejně vyprdne. Tak k čemu tu ten úřad je?!? Uměle zaměstnává lidi, aby bylo méně nezaměstnaných? Prosím, pokud je zde někdo, kdo má jinou, kladnou zkušenost s ÚOOÚ při vyřizování opakovaného porušování GDPR, moc by mě to zajímalo.

On už byl zákon č. 101/2000 docela striktní, takže se mi skoro zdá, že GDPR skoro nic nového nepřináší, kromě slibů vysokých pokut. Bohužel ty pokuty hrozí i těm, co mají bohulibý záměr "Jeden metr", pěkně to bylo v článku popsáno.
Bohužel také zaznamenávám paradoxní situaci, že GDPR chrání lumpy. Pokud by fotbalový nebo hokejový stadion chtěl nevpustit identifikované hříšníka, musel by ho mít uloženého v databázi, ale jsem si jistý - a je to logické - že vám to lump nepodepíše, byl by sám proti sobě.

Vzhledem k ujeté praxi, která u nás v oblasti osobních údajů odjakživa panovala, a vzhledem k tomu, že tu ta úprava vlastně nikdy nikoho ani nezajímala (doprovodný zákon byl ve sbírce uveřejněn až dnes, 11 měsíců po účinnosti GDPR, a to kolem něj bylo před rokem nějaké hysterie!), naprosto chápu, proč si to myslíte, ale k vedení seznamu uličníků, které na stadion vpustit nechcete, nepotřebujete a nikdy jste nepotřeboval jejich souhlas. Titulů ("právních důvodů") ke zpracování osobních údajů je šest a jedním z nich je oprávněný zájem - ten se použije zde.

Podepsat nemusí. Existují i jiné povolené důvody, kde není souhlas potřeba - tj. zákon a oprávněný zájem. "Jen" je důležité správně informovat a zdůvodnit.

V případě, že si tedy někdo v rámci svého povolání schovává vizitky či si ukládá telefonní čísla, měl by při jejich získání od subjektu údajů řádně splnit informační povinnosti dle čl. 13 či čl. 14 GDPR, vést o tomto zpracování záznamy o činnostech zpracování dle čl. 30 GDPR (výjimka dle čl. 30 odst. 5 GDPR se neuplatní, jelikož se jedná o systematickou činnost) a plnit všechny povinnosti v oblasti zabezpečení osobních údajů.

Tohle je nesmysl. Článek 30 říká, že povinnosti vést záznamy o zpracování "... se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, [b]zpracování není příležitostné (...)[/b]"

Když vám dá někdo vizitku, jde jednak o příležitostné zpracování (jednáte na základě toho, že se vyskytla příležitost) a navíc předání vizitky (pokud vám ji dala osoba, jejíž údaje jsou na vizitce uvedeny) lze považovat za souhlas se zpracováním osobních údajů.

Podobných nepřesností je v článku více - ten problém ale u většiny případů není GDPR samotné, nýbrž způsob, jakým způsobem ji naši političtí představitelé (resp. odborná veřejnost) prezentovali běžné veřejnosti tzn. buď žádný, nebo si na tom přihřáli svou polívčičku. A když došlo na lámání chleba, vypukla panika a spousta lidí se na tom pokusila nakapsovat (což je typicky české), jak článek správně poznamenává - přitom na většinu uvedených případů by stačilo zpracovat jen malou část normy a rozebrat několik vzorových příkladů a žádná panika by se nekonala. Jenže to by zase někteří přišli o kšeft, či politické body.

Normu můžete nastavit sebelépe (čímž netvrdím, že GDPR nemá své mouchy), ale jak s ní bude naloženo a k čemu bude využita, už pak těžko ovlivníte.

GDPR se sportovních klubů týká. Ale některé údaje evidují ze zákona a některé další na základě oprávněného zájmu. No a na zbytek si mohou získat souhlas.

S výsledkovými listinami je ale opravdu potíž, jsou totiž na hraně toho oprávněného zájmu. I když FAQ na stránkách ÚOOÚ to jako oprávněný zájem uznává: https://www.uoou.cz/casto-kladene-otazky-k-cinnosti-spolku/ds-5084/p1=3938&archiv=1

Právo není exaktní věda, že se určitě jedná o můj subjektivní názor.

Ta přiměřenost se vztahuje k technickým a organizačním opatřením a nikoliv k tomu, jaké všechny formální povinnosti máte plnit.

Souhlasím s tím, že určitě není nic špatného na nápadu, který "říká, že každý kdo osobní údaje sbírá by měl vědět jaké, proč, kde je má a jak s nimi zachází." Neuváděl jsem, že je to špatné. Nicméně to platilo již za předchozí právní úpravy.

Mám zkušenost že ÚooÚ chodí na kontroly a to i na kontroly souladu GDPR. Moc se jim do toho nechtělo, protože nebyl hotový zákon, ale už i před platností zákona chodili na kontroly. Teď díky 110/2019 možná i zvýší intenzitu.
Velmi částo společnostem zasílají výtky, v případě podezření, že něco není v pořádku.
Podezření vzniká, pokud si více než jeden člověk stěžuje na nesoulady. Tedy pokud Vám řekli, že o tom vědí atd., pravděpodobně již výtku odeslali, pokud se jim společnost k problému rozmně do určité doby nevyjádří, naplánují a provedou kontrolu.
Na druhou stranu musíte pochopit, že ÚOOÚ přijal logické stanovisko, že s ohledem na určité nejasnosti při výkladu GDPR a času potřebného na dosažení alespoň částečného souladu, nebude firmy při identifikovaném nesouladu automaticky trestat vysokými pokutami, ale pouze napomenutím a nebo pokutami, které povedou k odstranění nedostatku. Samozřejmě, že některé firmy nesoulady přijímají jako riziko a s nedostatkem nic neprovedou, po určité době pak ÚOOÚ pokutu zopakuje a zvýší.
Z tohoto postupu logicky vyplývá, že odstranění nedostatku nemusí být okamžité, a může trvat určitou dobu a to i v řádu mesíců či let.
Některé firmy totiž s ohledem na náklady pro dosažení souladu s GDPR (a ty rostou s velikostí firmy a s požadovanou úrovní souladu) zvolili postup ignorace nařízení. Ono totiž může být pro některé firmy výhodnější právní normu ignorovat a nést finanční následky, než investovat nemalé prostředky do právních a procesních analýz, které povadou k dosažení souladu. Dokonce existuje i "pojištění na GDPR", které je také určitou cestou řešní problému jménem GDPR pro firmy...
Můžeme tak říci, že GDPR nemusí plnit to co plnit mělo, ale na druhou stranu si je třeba uvědomit, že k některým konkrétním aspektům nařízení se nechce vyjádřit ani ÚOOÚ, protože vhodné postupy ochrany ososbních údajů nejsou "binárním" problémem. Na některé problémy najdete X právních názorů renomovaných právních kanceláří a úřadů pro ochranu ososbních údajů (různých zemí), a stačí pozměnit jednu okolnost zpracování a je třeba problém analyzovat znovu.

Je a funguje to. Několikrát jsem dostal od různých nezajímavých firem nezajímavý spam; stačilo ohrozit GDPRa ÚOOÚ a okamžitě ticho po pěšině.

To už i na Lupě začínají vycházet články o blížícím se konci světa? :)

BTW, jestli autorovi někdo opakovaně posílá nevyžádané nabídky, není GDPR mj. k tomu, aby mohl požádat o zrušení takového obtěžování?

Srandovní je, že sportovních organizací se GDPR netýká, co se týče členské evidence. Asi že by pak mělo MŠMT problém při poskytování dotací. Přitom je v členské evidenci i citlivý údaj o invaliditě. Holt si jsou někteří rovnější.

Článek zcela subjektivně popisuje osobní názor autora bez ohledu na realitu. Každá právní norma má své chyby, ale podstatná je idea, která říká, že každý kdo osobní údaje sbírá by měl vědět jaké, proč, kde je má a jak s nimi zachází. Je na tom něco špatně? Srovnávat Facebook, ministerstvo a krejčího? Nařízení jasně mluví o přiměřenosti opatření v kontextu dané organizace a nikdo nenutí krejčího přijímat nákladná opatření na stejné úrovni jako má Facebook. Jediné s čím souhlasím je mlhavost kolem této právní normy, které zneužívají rádoby odborníci a které přispívají i takového články.