GDPR popáté na konferenci společnosti Seminaria. Jaká je aplikační praxe a kontroly půl roku poté?

Ve středu 28. 11. 2018 uspořádala společnost Seminaria již 5. konání konference na téma GDPR. Mezi bezmála 200 účastníky byli zástupci ze soukromého a veřejného sektoru, ale i škol. Mezi přednášejícími byli i mimo jiné Oldřich Kužílek, poradce pro otevřenost veřejné správy a ochranu soukromí, a Jana Pattynová, jedna z nejlepších odbornic v oblasti práva technologií, médií a ochrany soukromí ve střední a východní Evropě.

První příspěvek se věnoval nařízení GDPR a českému tzv. adaptačnímu zákonu. Návrh je v aktuálním znění založen na koncepci systémových výjimek z pravidel stanovených nařízením GDPR. V současné době je adaptační zákon před třetím čtením a poslanci se mu budou věnovat na první prosincové schůzi. Pokud nebude provedena řádná adaptace na nařízení, může být České republice uložena například i finanční sankce.

Kromě GDPR je hodně diskutované i téma ePrivacy, kde je zejména kladen důraz na elektronickou komunikaci a data, která jsou jejím prostřednictvím vytvářena, shromažďována a nyní vcelku neřiditelně používána. Návrh nařízení vzbudil mezi odbornou veřejností velký rozruch zejména kvůli významnému omezení v oblasti přímého marketingu. V současné době probíhá třístranné vyjednávání, bylo prodlouženo legisvakanční období na 24 měsíců a účinnost nařízení tak nelze očekávat před koncem roku 2020.

Ale zpět k GDPR. Půl roku po účinnosti nařízení panují stále zbytečné zmatky jak v personalistické, tak i v IT praxi. Někteří personalisté nechávají zaměstnance podepsat i tzv. souhlas pro jistotu, nicméně k souhlasu by mělo docházet až v krajní možnosti. Stejně tak může docházet i k únikům nestrukturovaných dat v IT, uvedl Loužecký.

S ochranou osobních údajů se také potýká veřejný sektor, zejména malé obce, kde pověřenci naráží na problémy neexistence bezpečnostních prvků či se setkávají se zastaralými počítači. Ve veřejném sektoru také dochází k chybné či až přehnané implementaci, například zrušení vítání občánků, smazání školní fotodokumentace za více než deset let zpět či zrušení jmen dětí na šatních skříňkách.

Závěr konference byl věnován aktivitě dozorových úřadů a zkušenostem z již proběhlých a probíhajících kontrol ÚOOÚ. Mezi nejnovějšími případy se mimo jiné objevila společnost British Airways, kde došlo k hackerskému útoku a unikly platební údaje zákazníků, a Heathrow Airport, kde došlo ke ztrátě flash discu s osobními údaji.

Jana Pattynová přiblížila účastníkům průběh kontrolního šetření, kdy nejprve dochází k oznámení o zahájení kontroly. Šetření pak může probíhat i mimo sídlo a kontroloři tak mohou vzhledem k širokému oprávnění vstoupit i do jiných prostor i na pozemky, vyžádat si informace a dokumenty týkající se kontroly a mohou pořizovat i záznamy.

Cílem konference GDPR půl roku poté – aplikační praxe a kontroly bylo poskytnout aktuální stav českého legislativního vývoje a změn, které přinese ePrivacy, doporučit i tipy pro personální práci s osobními spisy či souhlasem zaměstnanců a poradit, jak na první hladký průchod kontrolou ÚOOÚ.*

 

Další informace o konferenci naleznete na našich webových stránkách www.seminaria.cz.

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *