Menu

12 nejčastějších omylů GDPR


GDPR, neboli nařízení o ochraně osobních údajů vyvolává silné pocity v mnohých z nás. Výsledky našich analýz však ukázaly, že mnohdy se obáváme až přespříliš nebo naopak váhu nařízení podceňujeme. Jak to je doopravdy?

1


ne

GDPR představuje revoluci v ochraně osobních údajů.

ano

GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech ČR zakotvena.

Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění.

gdpr1

2


ne

Nemáme prováděcí předpis, GDPR se v ČR odsouvá.

ano

NE, Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v ČR.

Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl v ČR přijat adaptační zákon o zpracování osobních údajů.

gdpr2

3


ne

Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy.

ano

NE, toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje.

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, se kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

gdpr3

4


ne

Chyby Vás přijdou na 500 mil. Kč!

ano

Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační.

Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter.

gdpr4

5


ne

Každá organizace má mít pověřence.

ano

Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti.

Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit.

gdpr5

6


ne

Potřebujeme certifikát, že jsme v souladu s GDPR.

ano

Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně.

S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje.

gdpr6

7


ne

Osobní údaj je jméno, adresa a rodné číslo.

ano

Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě.

Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě.

gdpr7

8


ne

Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme.

ano

Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí.

O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů.

gdpr8

9


ne

Osobní údaje musí být šifrovány.

ano

Nařízení GDPR neukládá povinnost použít nějaké specifické opatření.

Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje.

gdpr9

10


ne

Musí se hlásit každý ztracený papír.

ano

Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné.

Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat.

gdpr10

11


ne

Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů.

ano

Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů...

...a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů.

gdpr11

12


ne

Všechny naše výstupy musí být anonymní.

ano

U GDPR platí nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob.

Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo.

gdpr12

Co z toho všeho plyne?


 

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

 

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet.

 

Potřebujete pomoc s GDPR?

Kontaktujte našeho zástupce, ptejte se, domluvte si nezávaznou konzultaci. Jsme tu pro Vás.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet.

 

Potřebujete dohled nad svým IT?

Kontaktujte našeho zástupce, ptejte se, domluvte si nezávaznou konzultaci. Jsme tu pro Vás.

Petr-Nepustil
Ing. Petr Nepustil
IT konzultant
 
+420 734 686 014
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.