Rekordní pokutou ve výši půl milionu korun tak Úřad pro ochranu osobních údajů (ÚOOÚ) „odměnil“ společnost, která pro vlastní potřebu nedovoleně překlápěla osobní údaje z veřejnoprávních rejstříků. Obdobné porušení práv úřad v jiném případě potrestal sankcí 300 tisíc korun. Zde si viník nechal od lidí zaplatit za zrušení registrace v seznamu vydaném společností, která vzbuzovala dojem, že jde o oficiální instituci k vedení seznamu dlužníků. „Od začátku účinnosti uložil úřad za porušení GDPR pokuty v celkové výši 2,9 milionu korun,“ řekl Deníku Vojtěch Marcin z tiskového oddělení ÚOOÚ.

Firmy se totiž na nová pravidla většinou dostatečně připravily, obvykle zřídily pozici specialisty na danou problematiku – takzvaného pověřence. „Většina z nich provedla potřebné úpravy jak ve smlouvách, tak v IT systémech,“ uvedla pro Deník Lucie Vojtíšková z Hospodářské komory. To by podle ní ovšem zdaleka nestačilo, protože výklad nařízení se stále vyvíjí. „Je důležité stále kontrolovat a vyhodnocovat nastavené procesy opatření,“ prohlásila.

Letos ÚOOÚ za porušení GDPR pokut udělil několik desítek. „Teprve v dubnu minulého roku byl přijat adaptační zákon, který dotvořil právní rámec ochrany osobních údajů včetně správního trestání,“ uvedl Jiří Žůrek z ÚOOÚ. Firmy si nestěžují, že by na ně proto úředníci „zaklekli“, jak to bylo před pár lety kritizovaným zvykem ze strany Finanční správy.

Lidé jsou opatrnější

Podle spotřebitelské organizace dTest si lidé po zavedení GDPR dávají větší pozor na svá data. „U spotřebitelů pozorujeme větší přehled o právech spojených s osobními údaji. To se projevuje například tím, že si spotřebitelé hlídají, zda podnikatel při ukončení smluvního vztahu vymaže také jejich údaje,“ uvedla ředitelka dTestu Eduarda Hekšová.

Podle zástupců spotřebitelů i firem se letos v souvislosti se současnou epidemií koronaviru prokázalo, že předpisy jako GDPR v podobných neočekávaných situacích narážejí na své limity. Zejména zmiňují případy a situace, kde se ochrana osobních údajů střetává s ochranou veřejného zdraví. „Na tuto výjimku sice GDPR pamatuje, ale ne zcela dostatečně to řeší právě pro soukromé subjekty, jako jsou firmy,“ řekla Deníku Eva Martinicová ze Svazu průmyslu a dopravy. „Z tohoto důvodu budeme samozřejmě neustále konfrontováni s novými situacemi, které se budou muset řešit,“ míní.

„Je zřejmé, že zaměstnavatel nemá právo informovat ostatní o konkrétním onemocnění zaměstnance, ovšem z přijatých opatření na straně zaměstnavatele lze s vysokou určitostí takovou informaci dovodit a přiřadit ji ke konkrétnímu zaměstnanci,“ řekla Deníku Hekšová.