Zpět na hlavní stranu

Upozornění na zavádějící sdělení ve vztahu ke zpracování zveřejněných údajů v souladu s GDPR

Upozornění na zavádějící sdělení ve vztahu ke zpracování zveřejněných údajů v souladu s GDPR

 

S blížící se účinností obecného nařízení o ochraně osobních údajů jsme zaznamenali v rámci marketingových kampaní a na sociálních sítích rostoucí počet zavádějících, zkreslených či dokonce zjevně nepravdivých sdělení týkajících se zpracování osobních údajů z veřejných rejstříků prostřednictvím databází některých společností působících jako datové agregátory.

 

Jelikož některá kategorická a zobecnělá sdělení mohou být způsobilá klamat uživatele s cílem získat neoprávněnou výhodu pro konkrétní subjekt na trhu a současně poškodit jeho konkurenci, to vše bez jakékoliv právní opory, rádi bychom v tomto textu upozornili na nejzásadnější výroky, které mohou působit velmi zavádějícím dojmem.

 

Zároveň žádáme členy spolku, aby se podobných aktivit sami vyvarovali a netolerovali případné zneužití svého jména ve vztahu ke zpracovaným auditním posudkům nebo zprávám souladu s GDPR.

 

Předně kategoricky odmítáme jakákoliv tvrzení uvádějící v rámci jednoho typu produktů, že „XY je jediný nástroj na trhu, který vyhovuje požadavkům GDPR“ apod.

 

Současně se také ostře stavíme proti vystupování některých auditorských, konzultantských či jiných poradenských společností nebo jejich zástupců, které by mělo u lidí vyvolávat dojem, že jde o oficiálně schválenou autoritu, která je způsobilá závazně posuzovat soulad s GDPR.

 

Upozorňujeme, že k současnému dni neexistuje v České republice žádný oficiálně akreditovaný subjekt, který by byl oprávněn vydávat závazné certifikáty schvalující soulad zavedených řešení a procesů s GDPR. Jedná se bohužel o situaci částečně také zapříčiněnou liknavým postupem a zdlouhavým legislativním procesem přijímání adaptačního zákona v České republice. Proto v rámci EU bude možné využívat certifikačního procesu od akreditovaných zahraničních subjektů, kterým již bylo příslušné oprávnění uděleno v jiné členské zemi EU a které bude platné také v ČR.

 

Obecně však platí, že veškeré certifikáty, auditní zprávy či podobné posudky od českých konzultačních firem mohou být pouze výsledkem výhradně vlastních vnitřních auditů správců nebo zpracovatelů osobních údajů, bez oficiální vypovídající hodnoty. Pokud tedy nějaký posudek tvrdí, že určitá společnost není ani správcem ani zpracovatelem osobních údajů, ale přitom je zjevné, že se na procesu zpracování osobních údajů evidentně podílí, potom je zřejmé, že konečná odpovědnost ve vztahu souladu s GDPR bude určena až případnou kontrolou takového tvrzení ze strany dozorového orgánu.

 

Prezentace jednotlivých společností logem či kulatým razítkem s označením „GDPR compliant“, „připraveni na GDPR“, „GDPR ready„, apod., či tvrzení, že „daná společnost či konkrétní produkt je plně a bezvýhradně v souladu s GDPR“, nelze považovat za nic víc, než za upozornění na skutečnost, že daná společnost vykonala vlastní audit osobních údajů, eventuálně přijala konkrétní opatření. Oficiální garanci souladu s GDPR však od těchto razítek, certifikátu či jiných tvrzení očekávat nelze.

 

Pro úplnost uvádíme, že jmenování akreditované osoby ponechal Úřad pro ochranu osobních údajů na Českém institutu pro akreditaci, přičemž ke jmenování žádné akreditované osoby doposud nedošlo a toto akreditování bude umožněno až po přijetí projednávaného zákona o zpracování osobních údajů.

 

Více informací k návrhu vodítek pro akreditaci subjektů vydávajících osvědčení podle nařízení (EU) 2016/679 naleznete zde.