Nestresujte z GDPR

1) O některých nejasnostech rozhodne soud, ala EET

V Česku máme koucourkov a zákon není zákonem, dokud o jeho finální podobě nerozhodne soud.

Nasazení EET na eshopy bez kamenných prodejen, které umožňují platbu kartou, stálo jejich majitele desítky až stovky tisíc korun. Bylo potřeba upravit systémy, překopat platební brány, řešit nedostupnost státních serverů, atd.

Bylo zbytečné evidovat EET při platbě kartou, protože platba kartou je evidovaná v bankovním výpise a stát ji proto zaevidovanou už jednou má. Všem bylo jasné, že je to blbost, přesto to stát nařídil.

Aby to později napadl soud, který toto nařízení zase zrušil. Výdaje, stresy, potíže, vše bylo zbytečné.

Obdobně to dopadne s GDPR. Nad konkrétní podobou implementace panují vzrušené diskuse. Jsou nejasnosti a o některých z nich rozhodně opět soud.

Proto se zatím nestresujte s detaily a GDPR nasaďte v režimu dobré vůle. Udělejte všechno proto, abyste GDPR vyhověli. Nejasnosti si poznamenejte a sledujte vývoj. Zaimplementujte je, až se vše usadí.

2) Ne vše skončí pokutou 20.000.000 EUR

Firma, která něco v souvislosti s GDPR poruší, může být:

  • Upozorněna, že zamýšlené operace zpracování pravděpodobně porušují Obecné nařízení
  • Uděleno napomenutí, pokud operace zpracování porušily Obecné nařízení
  • Nařízeno, aby vyhověl žádosti subjektu údajů
  • Nařízeno uvést zpracování do souladu s Obecným nařízením
  • Udělena správní pokuta

Není tak pravdou, že každé porušení Obecného nařízení bude představovat uložení správní pokuty.

Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující.

Při posuzování bude bráno v úvahu, zda k porušení došlo z nedbalosti, nebo úmyslně. Na jaký počet subjektů má pochybení vliv. Míra technických a organizačních opatření, které firma zavedla. Kategorie dotčených osobních údajů. Zda se o porušení dozvěděl dozorující orgán od firmy, nebo od poškozeného subjektu. Atd. Přesný výčet je na http://www.privacy-regulation.eu/cs/83.htm, obdobný je Popis UOOU.

Takže pokud jste GDPR vzali vážně, udělali jste, co šlo, a přesto vám něco uteče. A máte vůli to dořešit, dostanete jen napomenutí, bez pokuty.

Ty horentní pokuty budou pro firmy, které budou hrát mrtvé brouky, nebudou s úřady komunikovat, a budou GDPR hrubě porušovat. Malý český eshop se ničeho z toho bát nemusí.