GDPR už klepe na dveře, zachovejte paniku!

Likvidační pokuty, povinné šifrování, skartování všech záznamů v CRM? Aneb proč byste neměli věřit strašákům.
4. 4. 2018

Sdílet

Méně než dva měsíce zbývá do data, kdy začne v praxi fungovat evropské nařízení o ochraně osobních údajů. Stránky novin a zpravodajských serverů už několik týdnů vytrvale plní články vyzdvihující astronomické pokuty hrozící při porušení nařízení. Majitele menších firem a starosty obcí bombardují telefonáty společností, které se snaží vydělat na strachu z GDPR. A jestli jste to ještě neprokoukli, většina návodných článků na internetu vám ve skutečnosti v ničem neporadí, a končí výzvou ke koupi produktu. Nebo školení.

Málokde vám ale poradí, že pokud podnikáte, ohlídat byste si měli především následující – krok za krokem vás tím provede praktický návod na GDPR:

  1. Jaká osobní data zpracováváte a proč.
  2. Kdo má k datum přístup a kde přesně jsou uložena.
  3. Že jsou data zpracovávána na základě zákonné povinnosti, smlouvy, souhlasu či oprávněného zájmu.
  4. Veďte si dokument záznamů o zpracování, kde vše výše zmíněné shrnete, ideálně do tabulky
  5. Zrevidujte všechny stávající smlouvy, všeobecné podmínky a další dokumenty.
  6. A v neposlední řadě, prověřte zda GDPR dodržují i vaši zpracovatelé, například poskytovatelé hostingu.

Nejčastější mýty?

GDPR pro Česko neplatí

Z GDPR nejenže se stal business – a dobrý návod na GDPR aby jeden pohledal – ale šíří se kolem něj celá řada mýtů a zbytečných strašáků. Tím nejnebezpečnějším je bezesporu tvrzení: Nejsou hotové adaptační zákony, takže platnost GDPR pro Česko se odkládá. Nenechte se napálit! Termín
25. května 2018 platí pro celou Evropskou unii bez ohledu na to, že českým parlamentem ještě neprošly doprovodné zákony. Ani přechodné období, na které mnozí spoléhají, nemá žádnou oporu v nařízení. Nebude, smiřte se s tím.

Kupte software, který zvládne vše

Ale obraťme list na dobré zprávy. Nákup drahého všespásného šifrovacího software, který vyřeší implementaci GDPRjednou provždy? Radši ušetřete! Jednak žádný takový univerzální software neexistuje a jednak šifrování ani pseudonymizace údajů nejsou povinné. Šifrování lze správcům dat u citlivých údajů doporučit a bezesporu snižuje riziko úniku dat. V konkrétních případech skutečně dává smysl. Ale drtivá většina firmiček s jedním či několika málo zaměstnanci nejspíš nezpracovává natolik citlivé údaje, které by potřebovala šifrovat.

Certifikace, kam se podíváš

„Prý musíme mít nějaký certifikát GDPR. Že jsme připraveni. Nevíte, kde ho získáme,“ hlásila se nám nedávno jedna z partnerských společností. Nebojte, nic takového jako oficiální certifikace připravenosti GDPR neexistuje. Místo absolvování předražených školení, investujte svůj čas do analýzy rizik, proveďte si ve firmě audit osobních údajů a zpracujte dokument záznamů o zpracování. Stačí, když si sednete spolu s účetní a kolegy z IT. Naše současná právní úprava je už nyní nastavena poměrně přísně, takže těch pár změn souvisejících s GDPR jistě zvládnete!

Pověřenec povinný, do každé firmy i rodiny!

Že vás je ve firmě pár a začali jste na trhu práce kvůli GDPR shánět pověřence pro ochranu osobních údajů neboli DPO? Můžete zvolnit. Institut pověřence je sice jednou z novinek, kterou GDPR zavádí, ale zdaleka není povinný pro všechny. Pokud nejste orgán veřejné moci, nezpracováváte citlivé údaje takzvané zvláštní kategorie nebo pokud vaše hlavní činnosti zpracování nevyžadují rozsáhlé, pravidelné a systematické monitorování subjektů, pověřence jmenovat nemusíte!

Astronomické pokuty, bu-bu-bu

Obáváte se astronomických pokut v řádech milionů eur? I to je jeden z rozšířených strašáků. Pokuty by ze své podstaty neměly být likvidační a u malých subjektů se očekává, že budou úměrné jejich obratu. Podle vyjádření Úřadu pro ochranu osobních údajů by navíc pokuty měly být účinné, přiměřené a odrazující.

Superspeciální uzamykatelné skříně

Ani o povinných speciálních uzamykatelných skříních na dokumenty není v nařízení ani slovo. Pokud jste už podobně jako jeden z našich klientů poptal truhláře, můžete svou poptávku s klidem zrušit. Není potřeba vyhodit všechen kancelářský nábytek a nahradit ho uzamykatelným. Mějte na paměti, že obecné nařízení GDPR vyznává přístup založený na riziku. Pokud do skladu vašich faktur a objednávek má přístup jedna jediná osoba, opravdu nemusíte všechny šanony ukládat do nových skříněk.