GDPR IS NOT DEAD: 3 důkazy, že GDPR neumřelo
Nařízení GDPR nedávno slavilo šesté narozeniny. Pro některé možná staré dokola opakované téma, které už nikoho moc nezajímá. Omyl. Pokud vás poslední vývoj minul, tady jsou tři čerstvé důkazy, že GDPR rozhodně neumřelo – a že na něj pořád hodně firem tvrdě doplácí
1. TikTok: 530 milionů důvodů, proč brát přeshraniční přenosy vážně
Začátkem května dostal TikTok od irské komise pro ochranu osobních údajů (DPC) pokutu 530 milionů eur. A k tomu příkaz: do šesti měsíců uvést přenosy dat do Číny do souladu s GDPR – jinak přenosy rovnou zakáže.
A co udělal TikTok špatně? TikTok přenášel data z EHP do Číny bez odpovídající právní ochrany. Neposkytl "vhodné záruky" podle čl. 46 GDPR. Ve svých zásadách nezmiňoval, že data míří do třetích zemí (porušení čl. 13 GDPR). Během vyšetřování navíc tvrdil, že v Číně žádná data nejsou, avšak později sám přiznal, že tam uložená byla. TikTok má čas do října 2025. Pokud do té doby neupraví způsob zpracování, hrozí mu zákaz přenosů dat z EU do Číny.
Co to pro nás znamená? GDPR není jen o formulářích. Při přenosu dat mimo EU by každá firma měla vědět, kam její data míří, kdo k nim má přístup a jestli jsou chráněna alespoň stejně dobře jako v EU.
2. Když malá firma pochybí, platí celý holding
Soudní dvůr EU ve svém nedávném rozhodnutí (C-383/23) dal jasně najevo, že za GDPR prohřešek se pokuta vypočítá z obratu celé skupiny, ne jen porušitele.
GDPR stanoví, že pokuta může činit až 10 mil EUR nebo jedná-li se o podnik až do výše 2 % celkového ročního obratu podniku. Ale co je "podnik"? To ve svém rozhodnutí vyložil SDEU. Rozhodl, že podnik je celá ekonomická entita, tedy celá skupina firem pod jedním řízením. A i když poruší GDPR jen jeden článek této skupiny, sankce se bude řídit obratem celku. Například pokud dceřiná společnost v ČR poruší pravidla, výše pokuty se bude počítat z obratu celé mezinárodní skupiny.
Dle SDEU je cílem zajistit, že pokuta bude účinná, přiměřená a odrazující. Žádné "skrývání" se za menší firmy. GDPR vidí, kam sahá vlastnická struktura – a jedná podle toho.
3. Monitorování zaměstnanců? Ano, ale s pravidly
Zatímco pokuty TikToku a rozhodnutí SDEU už jsou na světě, další výzva je zatím jen na cestě. Ale rozhodně stojí za pozornost.
Do konce roku 2025 by měl být přijat nový zákon o kybernetické bezpečnosti, který pravděpodobně zavede povinnost sledovat chování zaměstnanců – např. jejich pohyb po internetu, e-maily, přístup k citlivým datům, a dokonce i stisky kláves. Jenže... GDPR pořád platí.
Co z toho plyne pro zaměstnavatele?
Transparentnost: Zaměstnanci musí vědět, že jsou sledováni, proč a jak.
Nezbytnost a úměrnost: Ne všechno sledování je v pořádku. Musí být účelné.
Právní základ: Bez něj je jakékoliv sledování nelegální.
Zároveň pokud je sběr dat rozsáhlý, zahrnuje citlivé údaje nebo hrozí riziko diskriminace, pak je potřeba provést DPIA (posouzení vlivu na ochranu osobních údajů).
GDPR neumřelo. GDPR dospělo.
Možná už o něm tolik nemluvíme, ale regulátoři nespí. A firmy, které podcení přenosy dat, vlastnickou strukturu nebo vnitřní monitoring, mohou být nepříjemně překvapeny. Jinými slovy GDPR je zpátky ve formě. GDPR neumřelo. Jen dospělo
Možná už o něm tolik nemluvíme, ale regulátoři nespí. A firmy, které podcení přenosy dat, vlastnickou strukturu nebo vnitřní monitoring, mohou být nepříjemně překvapeny. Jinými slovy GDPR je zpátky ve formě.
📩 Chcete si ověřit, jestli máte vše v pořádku?
Pomáháme firmám s právním nastavením GDPR procesů, včetně:
- zásady zpracování osobních údajů,
- posouzení dopadů (DPIA),
- interních směrnic a transparentnosti vůči zaměstnancům,
- školení o kyberbezpečnosti,
- AI compliance.