10 mýtů, na které můžete narazit v souvislosti s GDPR

25. prosinec 2017  JUDr. Lenka Veberová  komentáře (0)  1026 objevných slov

GDPR vstoupí v platnost už v květnu 2018. V souvislosti s ním bylo napsáno už hodně polopravd a mýtů. Pojďme se nyní podívat na ty nejzásadnější. Aneb opravdu je třeba se GDPR tolik obávat?

10 mýtů, na které můžete narazit v souvislosti s GDPR10 mýtů, na které můžete narazit v souvislosti s GDPR

1)      GDPR není český předpis, vyčkám na úpravu v rámci českého právní řádu.

Tak tento přístup je velmi špatný a může mít fatální následky. GDPR je vydáno Evropskou unií jako nařízení, což znamená, že je přímo závazné pro všechny členské státy a jejich občany. Tedy na GDPR se musíme připravit všichni, kdo spadáme do kategorie správce nebo zpracovatel osobních údajů.

2)    Po nabytí účinnosti musím smazat veškerou svou databázi osobních údajů?

Takovýto přístup není dle mého úsudku nutný. Je třeba si provést  analýzu dat, která nám zodpoví, zda uvedené osobní údaje uchováváme a zpracováváme řádně, máme k tomu právní důvod. Pokud však zjistíme, že žádný právní důvod k jejich zpracování nemáme, je nutné si obstarat souhlas se zpracováním, příp. určit nový právní důvod. Pokud sed tak nestane, pak teprve musíme uvedená osobní data smazat.

3)     Nemám žádné zaměstnance, tedy nezpracovávám žádné osobní údaje.

Je velkou mýlkou, pokud za osobní údaje považuji jen ty zaměstnanecké. I organizace, která nemá zaměstnance zpracovává osobní údaje svých odběratelů (např. kontaktní osoby, IČO a další) a stejně tak svých dodavatelů.

4)    DPO musí být fyzická osoba s certifikátem uděleným ÚOOÚ.

Žádná oficiální certifikace není v současné době upravena. Tedy DPO nebo-li pověřenec pro ochranu osobních údajů je fyzická osoba s odbornými znalostmi v oblasti právních předpisů a postupů týkajících se ochrany osobních údajů.

5)     Od května 2018 musím šifrovat veškeré údaje.

Šifrování je jednou z možností, jak zabezpečit ochranu osobních údajů. Nejedná se však o jedinou metodu. Je nutné si provést analýzu rizik a dle rizika určit jednotlivé postupy a způsoby ochrany osobních údajů. #gdpr #10mytu

6)    Zajištění si paušálního souhlasu od všech subjektů údajů

Chcete řešit GDPR tím, že si necháte na všechny osobní údaje vystavit souhlas? Nečiňte tak, i kdyby Vám to všichni čerti radili. GDPR stojí na zásadě, a to zásadě minimalizace osobních údajů. Tedy souhlas by měl být teoreticky ten  poslední právní důvod, proč osobní údaje uchovávat. Zkuste nahlédnout i do dalších důvodů, jako třeba zákonný důvod zpracování, kam spadne většina zaměstnanecký dat užívaných pro potřeby účetnictví, nebo třeba smluvní důvod.

7)    Každý správce musí mít pověřence pro ochranu osobních údajů

Tento institut je sice nový, avšak neznamená, že každý si musí ustanovit tzv. DPO. Tuto osobu je nutno určit v případě, že splňujete podmínky:

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů
  • hlavní činností správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Nespadají na Vás uvedené podmínky, pak DPO mít nemusíte. Máte-li problém určit, zda rozsáhle zpracováváte osobní údaje, příp. systematicky? Ráda Vám na toto odpovím.

8)    Zpracuji si tabulku KDO-CO-KDE-PROČ-JAK s osobními údaji zacházím a mám splněno.

Toto je bohužel mylný přístup, neboť z tabulka určitě neobsáhne analýzu rizik a na to navazující povinnosti k implementaci. Pokud přijde regulátor na kontrolu, jste to Vy, kdo bude muset prokázat splnění povinností, které pro Vás plynou z nařízení GDPR.

9)     GDPR je revoluce, která přináší jen nepřiměřené povinnosti likvidující běžného podnikatele.

Slovo revoluce, příp. katastrofa jsou často užívaná slova ve spojení s GDPR, bohužel však zbytečně vzbuzují paniku. Kdo do dnešní doby měl zpracovanou ochranu osobních údajů dle platných českých předpisů, tak pro něj zapracování povinností plynoucí z GDPR nebude představovat takovou časovou i finanční zátěž. Pokud však do dnešní doby správci porušovali své povinnosti a nedodržovali to, co měli, pak je čas se na příchod GDPR poctivě připravit.

10)    Společnosti s méně jak 250 zaměstnanci mají výjimku a nemusí zpracovat tzv. Záznamy o činnostech zpracování


Samozřejmě, že i v GDPR jsou výjimky a to znamená, že např. Záznamy o činnostech zpracování nemusí zpracovávat každý. Stačí se jen začíst do nařízení a zjistíme, že to taková pohroma není.

Tedy máte-li méně jak 250 zaměstnanců a nezpracováváte velký objem dat, neprovádíte vysoce rizikové zpracování pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo nezahrnuje zpracování zvláštních kategorií údajů nebo údajů týkajících se rozsudků v trestních věcech, pak můžete plnění této povinnost s úsměvem přeskočit.

Chcete se o GDPR dozvědět více od specialistů z oblasti práva, marketingu a IT?

Přijďte na školení!

Autor JUDr. Lenka Veberová

Autor: JUDr. Lenka Veberová

Autorka působí jako advokátka v Plzni se zaměřením na právo občanské, obchodní a rodinné. V současné době se zabývá ochranou osobních údajů a s tím spojené zavádění opatření do společností. Služby poskytuje jak v českém, tak německém jazyce.



Hodnocení

3.29 hvězdiček / Hodnoceno: 7x


Přidat komentář (0)

Jak citovat tento obsah?

Veberová JUDr. Lenka. 10 mýtů, na které můžete narazit v souvislosti s GDPR. In: Obsah na dosah [online], 2017 [cit. 2018-05-21]. ISSN 2570 – 7825. Dostupné z: https://www.obnd.cz/10-mytu-na-ktere-muzete-narazit-v-souvislosti-s-gdpr

Čtěte také...

GDPR: Již včera bylo pozdě aneb Co je to za novoty

GDPR: Již včera bylo pozdě aneb Co je to za novoty

Nařízení GDPR (General Data Protection Regulation) vstoupí v účinnost dne 25. 5 .2018 a je vnímáno jako revoluční předpis, jenž zavádí povinnosti ohledně postupu a způsobu zpracování osobních údajů. Toto vnímání však není přesné. V české legislativě totiž existuje platný zákon č. 101/2000 Sb. o ochr…

E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?

E-maily, cookies, remarketing: Jak vyřešit GDPR na webových stránkách?

GDPR nebo-li General Data Protection Regulation je chystané obecné nařízení EU o ochraně osobních údajů. Na první pohled nevinné nařízení, které má výrazně zvýšit ochranu osobních údajů občanů žijících na území Evropské unie, s sebou nese řadu komplikací, které je potřeba začít řešit s dostatečným p…

Free online nástroje, které vám usnadní marketingový život

Free online nástroje, které vám usnadní marketingový život

Přináším vám přehled free online nástrojů, které se mi při práci v online marketingu osvědčily tak, že mi usnadňují můj marketingový život. Největší výhodou těchto nástrojů je, že jsou alespoň do nějaké míry k užívání zdarma. Nezatíží tak váš firemní ani osobní rozpočet a zároveň díky nim ušetříte (…

6 změn, které na nás čekají na sociálních sítích v roce 2018

6 změn, které na nás čekají na sociálních sítích v roce 2018

Všichni vnímáme, že se na Facebooku či Instagramu stále něco mění. Trendy ukazují, že podoba reklam na sociálních sítích, jako ji známe dnes, může být za rok radikálně jiná. Rok 2018 přinese například nárůst vlivu Instagramu, aplikací na zasílání zpráv nebo virtuální reality, která se vkrade do kla…


Komentáře