Obrázek dopravní značky, která označuje „špatnou cestu“

12 nejčastějších omylů GDPR

Obrázek dopravní značky, která označuje „špatnou cestu“
GDPR, neboli nařízení o ochraně osobních údajů vyvolává silné pocity v mnohých z nás. Výsledky našich analýz však ukázaly, že mnohdy se obáváme až přespříliš nebo naopak váhu nařízení podceňujeme. Jak to je doopravdy?
Omyl 1, žena sedící na hromadě knih

GDPR představuje revoluci v ochraně osobních údajů.

Green icon validation check

GDPR přináší minimum úplných novinek. Většina pravidel již byla v zákonech ČR zakotvena.

Nařízení GDPR je sice aktuálně nejucelenější soubor pravidel na ochranu osobních údajů na světě, avšak pro vás, kteří se řídili zákonem 101/2000 Sb. o ochraně osobních údajů se toho mnoho nemění.

Nemáme prováděcí předpis, GDPR se v ČR odsouvá.

Green icon validation check

NE, Nařízení GDPR nabylo účinnosti 25. května 2018 a platí v celé Evropské unii, tedy i v ČR.

Omyl 2, ilustrace soudce u soudu
Nařízením GDPR se musíme řídit, a to navzdory faktu, že dosud nebyl v ČR přijat adaptační zákon o zpracování osobních údajů.
Omyl 3, ilustrace průkazu s ikonou check

Databázi e-mailových kontaktů nelze použít, dokud nezískáme nové souhlasy.

Green icon validation check

NE, toto je jedna z nejrozšířenějších polopravd. Vždy je totiž potřeba sledovat účel použití daného osobního údaje.

Máte-li databázi kontaktů, do které se vám zákazníci sami svobodně přihlásili a udělili vám souhlas pro zasílání obchodních či marketingových sdělení, potom můžete tuto databázi dále používat. Jestli však svobodný souhlas nemáte nebo je vaše evidence zanedbaná, bude nutné získat souhlasy nové. Avšak jedná-li se o kontakty zákazníků či obchodních partnerů, se kterými aktivně spolupracujete, a účel zaslaného e-mailu se této spolupráce týká, není souhlas nutný, protože se jedná o váš oprávněný zájem. Což je případ tohoto sdělení, které právě čtete. Důležité však je, že ve všech případech musí mít adresát možnost se ze zasílání e-mailů odhlásit.

Chyby Vás přijdou na 500 mil. Kč!

Green icon validation check

Je pravda, že GDPR zavádí pokuty ve výši 20 mil. EUR nebo 4% z celosvětového obratu, avšak pokuty nemají být likvidační.

Omyl 4, muž způsobuje, že bankovky odlétají
Pokuty by dle Nařízení měly být účinné, přiměřené a odrazující. Dá se očekávat, že jako doposud bude Úřad pro ochranu osobních údajů posuzovat závažnost porušení a udělené pokuty budou mít spíše výchovný charakter.
Omyl 5, žena držící vlajku Evropské unie a GDPR

Každá organizace má mít pověřence.

Green icon validation check

Institut pověřence neboli DPO je jednou z mála novinek, kterou GDPR zavádí, ale rozhodně není povinný pro všechny společnosti.

Nejste-li orgán moci veřejné, veřejný subjekt, neprovádíte rozsáhlé, pravidelné či systematické zpracování osobních údajů, potom pověřence povinně jmenovat nemusíte (ovšem můžete na dobrovolné bázi). Nevíte-li, kde takového odborníka sehnat, neváhejte se na nás obrátit.

Potřebujeme certifikát, že jsme v souladu s GDPR.

Green icon validation check

Takový požadavek nemá oporu v Nařízení ani žádném platném zákoně.

Omyl 6, ilustrace osvědčení s mužem v popředí
S nabídkami certifikátů na GDPR nebo i pověřence se roztrhl pytel, nicméně aktuálně žádná oficiální forma ověření správnosti postupů či profesních kvalit neexistuje.
Omyl 7, žena obklopená ikonami telefonu, pošty, adresy

Osobní údaj je jméno, adresa a rodné číslo.

Green icon validation check

Osobní údaj je jakákoliv informace, která vede k identifikované nebo identifikovatelné fyzické osobě.

Kromě výše uvedených příkladů, může být osobním údajem také telefonní číslo, e-mailová adresa, IP adresa, fotografie či videozáznam nebo jakákoliv informace (pohlaví, věk, otisk prstu, podpis atd.), kterou lze přiřadit ke konkrétní osobě.

Každá fyzická osoba má právo na vymazání veškerých osobních údajů, které o ní v naší databázi vedeme.

Green icon validation check

Takové právo skutečně existuje, je však potřeba důsledně oddělit, co smazat lze a pro které údaje tato povinnost neplatí.

Omyl 8, krabice obsahuje osobní informace pod lupou
O provedení výmazu můžete být kdykoliv kýmkoliv požádáni. Ovšem je potřeba určit, co vymazat lze (obvykle údaje, které používáte na základě souhlasu, jež vám subjekt údajů udělil), a které údaje si naopak musíte ponechat. Například z důvodu smluvního plnění, uschování pro účely archivace (dle platných zákonů), účetnictví, reklamačního řízení atd. Mějte na paměti, že všechna práva, jež subjekt údajů bude chtít uplatnit, se týkají jak fyzických, tak elektronických záznamů.
Omyl 9, bodyguard před obrazovkou počítače a šifrované heslo

Osobní údaje musí být šifrovány.

Green icon validation check

Nařízení GDPR neukládá povinnost použít nějaké specifické opatření.

Povinností společností je zabezpečit osobní údaje proti zneužití. Šifrování je uvedeno jako jedna z možností, jak snížit riziko úniku dat, avšak není samospasitelné. A pokud vám někdo nabízí software, který vyřeší implementaci GDPR jednou pro vždy, nevěřte tomu! Nic takového neexistuje.

Musí se hlásit každý ztracený papír.

Green icon validation check

Je na místě posuzovat celou věc v širším kontextu. Nevzniklo-li riziko pro práva a svobody fyzických osob, ohlášení není nutné.

Omyl 10, počítač zobrazující výstrahu
Nařízení GDPR ukládá povinnost ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení osobních údajů do 72 hodin od zjištění takového porušení. Pokud případné zneužití uniklých údajů nezpůsobí závažnou újmu, nepoškodí či neohrozí práva a svobody subjektu údajů, hlášení Úřadu nebude provedeno. Avšak stále se jedná o porušení zabezpečení osobních údajů, tudíž doporučujeme tento incident nahlásit pověřenci nebo minimálně zaevidovat.
Omyl 12, žena analyzující data

Pro všechna zpracování musíme připravovat Posouzení vlivu na ochranu osobních údajů.

Green icon validation check

Posouzení vlivu na ochranu osobních údajů je potřeba zpracovat jen za určitých předpokladů...

…a to je-li pravděpodobné, že zamýšlené zpracování (zejména při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Součástí dokumentu potom bude posouzení rizika, hodnocení dopadů a popis přijatých technicko-organizačních opatření k zajištění ochrany osobních údajů.

Všechny naše výstupy musí být anonymní.

Green icon validation check

U GDPR platí nedělat z komára velblouda a spolehnout se na zdravý selský rozum. V tomto případě to platí dvojnásob.

Omyl 12, žena položí ruku na průkaz

Anonymizované výstupy by mnohdy postrádaly smysl své existence. K čemu by vám byl vystavený certifikát o vzdělání, pokud by na něm nebylo uvedeno jméno osoby, které byl udělen? Ovšem jako všude i zde platí zásada minimalizace. Tedy uvádět jen takové osobní údaje, které jsou pro dané zpracování nezbytné. Na certifikátu bude z osobních údajů figurovat jméno, příjmení, datum narození. Tyto údaje jsou zpravidla dostatečné k identifikaci osoby a není nutné uvádět ještě i adresu bydliště, místo narození, neřku-li rodné číslo.

Ve zkratce

Co z toho všeho plyne?

GDPR pro nás znamená nárůst administrativy, úpravy interních procesů ve společnosti a s tím spojené zvýšené náklady. To je bezesporu pravda, ale zkusme jednou najít na tom „zlém“ i něco dobrého!

 

Máte jedinečnou příležitost k inventuře, jaká data se u vás ve společnosti vyskytují a jak je o ně postaráno. A nejde jen o osobní údaje, ale i další informace, které každodenně využíváte. Jsou v bezpečí? Kdo k nim má přístup? Jak se zpracovávají? A určitě se u vás najdou i nějaké prohřešky proti bezpečnosti, nad jejichž nápravou by bylo vhodné se zamyslet.

Potřebujete pomoc s GDPR?

Kontaktujte našeho zástupce, ptejte se, domluvte si nezávaznou konzultaci. Jsme tu pro Vás.
Kontaktujte Nás
Zpět na stránku GDPR

Zásady používání souborů cookies

Zásady zpracování osobních údajů

Copyright © K-net 2019. Všechna práva vyhrazena