Nejčastější chyby a omyly v GDPR. Aneb pravda nebo lež?
O GDPR toho bylo napsáno mnoho. Přesto nebo právě proto existuje spousta nepravd či nepřesností, které bychom rádi uvedli na pravou míru.
 |
GDPR představuje revoluci v ochraně osobních údajů. |
 |
GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech České republiky zakotvena. |
| Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění. |
|
Nemáme prováděcí předpis, GDPR se v ČR odsouvá. |
|
Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v České republice. |
| Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl přijat adaptační zákon o zpracování osobních údajů. |
|
Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy. |
|
Toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje. |
| Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili Vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, s kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit. |
|
Chyby vás přijdou na 500 mil. Kč! |
|
Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační. |
| Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter. |
|
Každá organizace má mít pověřence. |
|
Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti. |
| Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit. |
|
Potřebujeme certifikát, že jsme v souladu s GDPR. |
|
Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně. |
| S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje. |
|
Osobní údaj je jméno, adresa a rodné číslo. |
|
Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě. |
| Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě. |
|
Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme. |
|
Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí. |
| O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů. |
|
Osobní údaje musí být šifrovány. |
|
Nařízení GDPR neukládá povinnost použít nějaké specifické opatření. |
| Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje. |
|
Musí se hlásit každý ztracený papír. |
|
Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné. |
| Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat. |
|
Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů. |
|
Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů… |
| …a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů. |
|
Všechny naše výstupy musí být anonymní. |
|
U GDPR platí, nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob. |
| Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo |
GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!
Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet. 😉