GDPR – 10x mýtus a 1x řešení

29.11.2017

V poslední době se začínají množit diskuze na téma GDPR (General Data Protection Regulation), pokud budeme přesní, tak se správně jedná o Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016. Jak sleduji jednotlivé dění v této oblasti, tak se obávám, že se čím dál více „démonizuje“ a to od prezentované složitosti, přes vysoké finanční náklady na zavedení až po „vyhrožování“ extrémně velkými pokutami. Pojďme si v tom udělat trochu jasněji.

Obecné nařízení představuje nový právní rámec ochrany osobních údajů v evropském prostoru, které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak Obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

 

Mýtus č. 1 - Odkazování na obecné nařízení jako na směrnici

Jedna z „myšlenek“, které kolem sebe vidím je, že někdo napíše vnitropodnikovou směrnici, ve které se bude odkazovat na text uvedený v Nařízení. Odkazovat na obecné nařízení jako na směrnici o ochraně osobních údajů je nejen nesprávné, ale může být nevhodně zavádějící i proto, že současně s ním byla přijata opravdu také směrnice o ochraně osobních údajů, a to směrnice Evropského parlamentu a Rady EU 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů. Takže snadno může dojít k záměně.

 

Mýtus č. 2 – GDPR je „revoluce“ v ochraně osobních údajů

Tak v tomhle případě skutečně nedělejme „z komára velblouda“ – od roku 2000 je zde platný zákon 101/2000Sb. a tímto se již dnes řídíme. Jedinou skutečnou novinkou je právo na přenositelnost údajů podle čl. 20 obecného nařízení. Jako novinka v právech subjektu údajů je v současné době v České republice prezentováno právo na výmaz podle článku 17 obecného nařízení, často pod alternativním názvem „právo být zapomenut“. Prostě – žádná „revoluce“… spíše evoluce.

 

Mýtus č. 3 – Podle GDPR je osobním údajem cokoliv

Už podle původní úpravy osobní údaje nejsou omezeny na údaje přímo identifikující nějaký subjekt. Právní definice osobních údajů nemůže být výčtová, protože počet druhů osobních údajů je přirozeně neuzavřený a osobní údaje vznikají neomezeně nejen jako hodnoty vztažené k novým a novým konkrétním subjektům údajů, ale také s novými technologiemi zpracování osobních údajů, jako jsou např. právě internetové technologie. Takže skutečnost je taková, že osobní údaj nelze definovat jako „cokoliv“, ale vždy jako údaj směřující k identifikaci konkrétní osoby – příklad: jméno, datum narození, emailová adresa, číslo občanského průkazu atd.

 

Mýtus č. 4 – Náklady na zavedení principů GDPR je velmi vysoké

Kdo to už zrealizoval a může říci kolik to stálo? Pojďme si rozebrat co se musí ve skutečnosti udělat:

  • 1. fáze – analýza rizik – cca 20 až 50 tis. Kč
  • 2. fáze – implementace metodiky, principů a vnitropodnikových směrnic – cca 20 až 40 tis. Kč
  • 3. fáze – školení pracovníků, kteří přichází do styku s osobními údaji – max. 10 tis. Kč

Takže suma sumárum – nejlevnější varianta = 50 tis. Kč, nejdražší varianta = 100 tis. Kč. To jsou ty „velmi vysoké“ náklady? Navíc když jsou jednorázové a vznikají postupně v čase? A slušná firma je schopna se dohodnout na postupných úhradách, tak jak budou činnosti dokončeny a zrealizovány, takže skutečnost je, že náklady se mohou pohybovat na úrovni cca 10 až 15 tis. Kč měsíčně po dobu zavedení.

Pověřenec pro zpracování osobních údajů – když si ho najmete, očekávejte měsíční náklady na úrovni 3 až 10 tis. Kč podle velikosti firmy. Ale vyžadujte, aby k Vám pověřenec docházel a prováděl periodické kontroly zpracování osobních údajů.

 

Mýtus č. 5 – Šifrování dat je povinnost

V žádném případě! Nařízení neukládá povinnost použít pro zabezpečení zpracování některé specifické opatření. Dokonce se odkazuje na aktuální stav techniky a náklady na přijetí opatření pro zpracování osobních údajů.

 

Mýtus č. 6 – Každý musí mít pověřence pro zpracování osobních údajů

Pověřenec pro ochranu osobních údajů je jedním z nových nástrojů ochrany osobních údajů, které obecné nařízení zavádí. Správce je povinen jmenovat pověřence, ovšem pouze za splnění jedné ze tří podmínek. Těmi jsou:

  • zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
  • hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
  • hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

V jiných případech zpracovatel pověřence mít nemusí, ale tady je nutné říci, že s ohledem na dohled nad správností zpracování doporučuji pověřence mít. Najmout si jej a díky tomu klidněji spát s tím, že tuto oblast za Vás řeší znalá osoba, na kterou se můžete spolehnout a podle cen uvedených v mýtu č. 4 to není až tak drahá záležitost za to, že si můžete být jisti, že máte vše v pořádku...

 

Mýtus č. 7 – Pověřenec MUSÍ mít certifikát (osvědčení)

Povinností, kterou správci obecné nařízení ve vztahu k pověřenci pro ochranu osobních údajů ukládá, je pověřence jmenovat a učinit to na základě profesních kvalit jmenované osoby, zejména na základě jejích odborných znalostí a praxe a schopnosti plnit úkoly dále pověřenci uložené samotným obecným nařízením. Takže žádná certifikace není povinná.

 

Mýtus č. 8 – Nařízení klade na zpracovatele (organizaci) vysoké, obtížně splnitelné nároky

Mnozí podnikatelé si stěžují, že opatření je další administrativní a finanční zátěží, která je v záplavě dalších regulací a povinných výdajů postihne. Tak k tomuhle lze říci asi jen toto – mnozí se s principem neseznámili, nic nevyzkoušeli, nezavedli a už si stěžují na to jak obtížně to půjde splnit. Z praktické zkušenosti mohu říci, že zavedení principů ve firmě do 50 zaměstnanců je práce na 2 týdny – proces má 3 fáze:

  • 1. fáze – analýza rizik – max. 3 dny
  • 2. fáze – implementace metodiky, principů a vnitropodnikových směrnic – max. týden
  • 3. fáze – školení pracovníků, kteří přichází do styku s osobními údaji – max. 2 dny

To není tak dramatické, ne?

 

Mýtus č. 9 - Je lepší mít paušální souhlas subjektu údajů, než se zabývat jednotlivými zákonnými důvody

Tak tohle nedoporučuji, protože když si vezmeme jako model zaměstnance, tak u něj vykonáváte minimálně 2 právní tituly zpracování – jeden při uzavírání pracovní smlouvy, druhý při výpočtu mzdy – paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která budete provádět k různým účelům, by tak bylo v rozporu hned s několika ustanoveními obecného nařízení - počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů. Takže je potřeba se fakt dobře zamyslet jaké osobní údaje u Vás máte a jak s nimi nakládáte a podle toho připravit dokument k souhlasu se zpracováním osobních údajů.

 

Mýtus č. 10 – GDPR přináší až extrémně vysoké pokuty za porušení

Je pravdou, že v textu Nařízení se hovoří až o 20.000.000 EUR, ale v preambuli k obecnému nařízení je uvedeno, že pokuty mají být v každém jednotlivém případě účinné, přiměřené a odrazující. Obecné nařízení současně respektuje zásady správního trestání, včetně kritérií pro stanovení výše pokut i podmínek pro určení odpovědnosti i vyvinění se (z trestu). Horní hranice správních pokut, které ukládá Úřad pro ochranu osobních údajů, je v současné době 10 000 000 Kč, přičemž v minulosti (do 31. prosince 2004) dosahovala dvojnásobku. Nejvyšší dosud uložená pokuta za zjištěné a prokázané porušení povinností, za které se pokuty ukládají, nedosáhla ani polovinu sazby. Takže jak jsem psal na začátku – nedělejme „z komára velblouda“…

 

A teď pojďme na to jak situaci, která je pro nás všechny od 25.5.2018 povinná, vyřešit.

 

ŘEŠENÍ – zavolejte mě osobně na tel. 602 242 483 nebo napište na email vedl@edolo.cz – máme vlastní praktickou zkušenost, máme metodiku, máme vzorové dokumenty a směrnice  osobně přijedeme, zanalyzujeme, navrhneme a naimplementujeme. Jako bonus Vám budeme dělat pověřence pro zpracování osobních údajů..

Navíc máme i certifikaci – ale to je fakt navíc, abyste mi věřili, že to umíme… ;-))

PTEJTE SE

Ptejte se na vše, co vás zajímá. Odpovíme. Ukážeme. Poradíme. Jak nejlépe umíme. Vložte dotaz. Do 24 hodin jej zodpovíme.

*
*
*
  *