GDPR Urban Legends, true or lie?

Termín účinnosti GDPR se blíží a všichni, kteří jsme se točili na jeho implementačním „kolotoči“, máme spoustu zajímavých zkušeností a „historek z natáčení“.

Troufám si říct, že jsem za ten více než rok, co se kolem GDPR také pohybuji, už trochu pochopil jeho filozofii a jeho skutečné požadavky. A proto občas kroutím hlavou nad tím, co se stále ještě opakuje a objevuje. Níže je pár mýtů spojených s GDPR :-)

  • Pokud chcete zpracovávat osobní údaje, vždy musíte mít souhlas subjektu.

To není až tak docela pravda. GDPR stanoví nová pravidla, jak má uznatelný souhlas vypadat – musí být jednoznačný, srozumitelný atd., avšak souhlas není jediný způsob zajišťující vaše oprávnění zpracovávat osobní údaje. Skutečnost je, že sice musíte identifikovat právní základ, který vám umožňuje osobní údaje zpracovávat (právní titul), ale vyslovení (udělení) souhlasu je, jen jedním z šesti možných.

  • GDPR je „nová“ zátěž pro všechny organizace.

Tohle tvrzení zase není až tak docela pravda. GDPR samozřejmě přináší nezbytnou a také i novou administrativu pro správce a zpracovatele osobních údajů, nicméně máme už 18 let platný zákon o ochraně osobních údajů (Zákon č. 101/2000 Sb.). Problém nebo překvapení spíše tkví v tom, že tak nějak jsme někteří zmiňovanou „stojedničku“ ignorovali :-).

  • Všechny bezpečnostní incidenty musíme hlásit (ÚOOÚ).

Tohle tvrzení také není až tak docela pravda. Hlášení bezpečnostních incidentů je povinné jen v případě, že dojde k ohrožení zpracovávaných osobních údajů.

  • Máme souhlasy se zpracování osobních údajů, jsme tedy kompatibilní s GDPR.

Nevěřte, že výše uvedené tvrzení je až tak docela pravda. Souhlasy se zpracováním osobních údajů jsou jen malou částí požadavků GDPR (máte ošetřen právní základ pro zpracování osobních údajů). To podstatné však je, abyste byli připraveni (a byli schopni prokázat), že umožňujete výkon práv subjektů osobních údajů, to je právo subjektu být zapomenut, právo být seznámen s údaji, které správce či zpracovatel o subjektu má, právo mít možnost přenést své osobní údaje od správce k třetímu subjektu atd.

  • Musíme mít vytvořenou a obsazenou roli Pověřence ochrany osobních údajů (DPO).

To není až tak docela pravda. Role Pověřence ochrany osobních údajů je jedním z požadavků GDPR, ale vztahuje se na celkem přesně definované organizace a situace, kdy jej organizace musí vytvořit a obsadit v souvislosti se zpracováním osobních údajů.

  • Existuje produkt (třeba software), který zajistí kompatibilitu organizace s GDPR.

To není zcela rozhodně pravda. Takový produkt jsem neviděl a ani neuvidím. GDPR je zejména o procesech každé organizace – je nejenom o ochraně osobních údajů, ale hlavně o výkonu práv subjektů osobních údajů a to žádný produkt nezajistí. Můžeme vidět celou řadu produktů, které chrání osobní údaje, produkty, které podporují realizaci procesů, nicméně stejně si to budeme muset odpracovat.

Pokud se trápíte s GDPR, pokud hledáte radu co s GDPR, klidně se obraťte na AutoCont. Rádi vám poradíme a jak se říká za zeptání, nic nedáte :-). AutoCont ví jak.

Chcete více informací?