Článek
Vyplývá z něj například, že zasílat e-mailem firemní sdělení zákazníkům lze jen s jejich jasným souhlasem. A tak společnosti napříč obory hlavně během posledního týdne zasílají současným i bývalým zákazníkům e-maily, v nichž je upozorňují, že je třeba „zmáčknout“ tlačítko v e-mailu, pokud si přejí i nadále zasílat sdělení.
„Děkujeme, že jste s námi byli až doteď v kontaktu. Jak od nás již víte, od pátku 25. 5. 2018 se odmlčíme. Toto je poslední newsletter, který od nás dostanete,“ rozeslala všem, koho má v databázi, například společnost Maxima Reality. A pokračuje: „Kvůli novému nařízení EU o ochraně osobních údajů vám již nemůžeme posílat žádné další zajímavé novinky z naší nabídky bez vašeho souhlasu. Pokud byste přece jen změnili názor, stačí jen jedno kliknutí na tlačítko níže.“
V obdobném znění rozesílala e-maily i společnost Naturhouse nebo už zhruba před měsícem banky svým klientům.
Řada firem nebyla na toto nařízení EU připravena, a proto musely nechat své e-mailové databáze znovu tzv. přesouhlasit.
„Díky novým pravidlům vám po 25. květnu 2018 bez vašeho výslovného souhlasu žádné newslettery, pozvánky ani další obsah zasílat nemůžeme. Udělte nám prosím souhlas ještě dnes,“ rozeslala e-mail poradenská firma Deloitte.
„Řada firem nebyla na toto nařízení EU připravena, a proto musely nechat své e-mailové databáze znovu tzv. přesouhlasit,“ řekla Kristýna Vlčková z firmy Clever Monitor.
Podle ní musejí firmy počítat s tím, že zhruba polovina kontaktů v databázích nový souhlas neudělí. „Budou to ale pravděpodobně zákazníci, kteří u vás ani pravidelně nenakupují,“ dodala.
Společnost Bureau Veritas odhaduje, že na GDPR není připraveno 85 procent povinných subjektů.
Předpokládá se minimálně dvouletá benevolence ze strany Úřadu pro ochranu osobních údajů, který bude na dodržování dohlížet a který se na GDPR musí rovněž aplikačně připravit.
Obecná ustanovení v GDPR se již v mnoha směrech promítají v současném zákoně o ochraně osobních údajů, ovšem přesto bude muset ke GDPR vzniknout ještě národní norma.
Jak už Právo psalo, revizi, jaké údaje, o kom, proč a na jak dlouho ukládají, by si měla udělat třeba bytová družstva a společenství vlastníků.
Jde o to, že když jakákoliv instituce zjistí, že byla data třeba někam omylem odeslána nebo zmizela nebo že se do databáze někdo naboural, tak podle GDPR to musí subjekt nahlásit Úřadu pro ochranu osobních údajů (ÚOOÚ). Společnosti třeba napadení hackery většinou tutlaly, aby si nepokazily reputaci.
Existuje řada mýtů
Než ovšem v malé firmě či na obci utratíte desetitisíce za často samozvané poradce/specialisty na GDPR, je dobré si přečíst rady na stránkách ÚOOÚ. Nutno zdůraznit, že žádná státem ani Unií certifikovaná autorita neexistuje a ke GDPR hlavně v posledních dnech řeční kdekdo.
Jak zaznělo na konferencích, ke GDPR se vážou jedny z největších kšeftů, které kdy vznikly s evropským nařízením. Přitom není důvod panikařit. ÚOOÚ rozepisuje desatero omylů.
Mezi ně podle něj patří domněnka, že lepší je, když firma či instituce získá paušální souhlas od lidí, než aby se zabývala zákonnými důvody v jednotlivostech. Tak by to být nemělo, souhlas by měl být skutečně jen tam, kde je nutný.
Dalším mýtem je podle úřadu to, že GDPR zavádí pro všechny subjekty povinné šifrování. Obecné nařízení GDPR ale neukládá povinnost použít pro zabezpečení zpracování nějaké specifické opatření.
Ačkoli je GDPR v tom, jak s osobními údaji nakládat, obecné, je velmi konkrétní v pokutách za opakované a hrubé porušení pravidel.
Obří pokuty míří na světové hráče
Výše sankcí směřuje zjevně hlavně na nadnárodní korporace. Pokutu lze udělit do 10 miliónů eur nebo až do dvou procent celkového ročního celosvětového obratu. V některých případech dokonce do výše 20 miliónů eur či čtyř procent celkového ročního celosvětového obratu.
„Do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů,“ uvádí ÚOOÚ.