GDPR – treba mať obavy? - gdpr-eu.sk

GDPR – treba mať obavy?

Aj Vás z každej stránky strašia, že potrebujete sa pripraviť na GDPR, lebo inak môžete dostať pokutu 20.000.000 eur alebo 4% z minuloročného obratu? Ale kde je pravda? Sú tieto strašiaky opodstatnené? Či iba niekto chce zarobiť na Vašom strachu a draho Vám predať konzultačné služby, ktoré sú viac menej zbytočné?

Prikladám zopár faktov i otázok na diskusiu ohľadom GDPR.

Q: 25. Mája 2018 bude platné nariadenie GDPR. Čo to pre mňa znamená? 

A: Podľa nariadenia by mali byť všetky systémy podnikom, ktoré spracúvavajú osobné údaje, náležite chránené alebo šifrované, osobné údaje možno spracúvať len v nevyhnutnej miere, možno ich spracúvavať len so súhlasom dotknutých fyzických osôb alebo na základe zákonných podmienok, vymazané v prípade nepotrebnosti alebo na požiadaní dotknutej osoby, do 72 hodín informovať, ak došlo k porušeniu ochrany osobných údajov a mnoho ďalšieho…

Q: Čo je osobný údaj? 

A: Môže to byť akýkoľvek údaj, ktorý jednoznačne vie identifikovať fyzickú osobu priamo i nepriamo, napríklad: Meno, priezvisko, rodné číslo alebo iné ID číslo, email, telefónne číslo, dokonca v niektorých prípadoch aj IP adresa, cookies…

Q: Mám sa obávať GDPR? Môžu ma skontrolovať?

A: Napísanie nariadenia je jedna vec. Úplne iná vec je zavedenie nariadenia do praxe. Toto nariadenie sa má týkať väčšiny podnikov na Slovensku. Týka sa IT systémov, procesov, interných politík v mnohých oblastiach firiem. Firiem sú na Slovensku desaťtisíce. Všetkých ich má skontrolovať jeden Úrad na ochranu osobných údajov. Je takmer isté, že úrad bude zo začiatku personálne poddimenzovaný. To znamená: Firma má čas na úpravu systémov aj po „deadline“ 25. Mája 2018. Hlavne musí začať.

Q: Môžu mi prísť likvidačné pokuty vo výške aj 20.000.000€?

Cieľom EÚ nie je zlikvidovať podnikateľov. Ak by EÚ dala mnoho pokút v maximálnej výške, aký to bude mať dopad? Získa peniaze na pokutách, ale stratí na hospodárskom raste skrachovaných firiem. Inými slovami strata. Aj s tým počítali v regulácii.

Príklad výňatkov z GDPR:

„Týmto nariadením sa má prispieť k dobudovaniu priestoru slobody, bezpečnosti a spravodlivosti a hospodárskej únie, k hospodárskemu a sociálnemu pokroku, k posilneniu a zbližovaniu ekonomík v
rámci vnútorného trhu a ku prospechu fyzických osôb.“

„Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu.“

„ …zabezpečiť voľný tok osobných údajov medzi členskými štátmi.“

Zopár výňatkov z tlačovej správy nášho Úradu na ochranu osobných údajov (link: https://dataprotection.gov.sk/uoou/sk/content/tlacova-sprava-k-pokutam-v-navrhovanom-zakone-o-ochrane-osobnych-udajov-reakcia-na),

  • „… pokuta je vždy uložená subjektu až po dôkladnom posúdení konkrétneho prípadu a zohľadnení všetkých okolností…“
  • „Nie je cieľom uloženia pokuty úradom…  aby bola likvidačná, mala by však mať preventívny a odstrašujúci charakter.“

Uloženie pokuty má byť až posledná možnosť. Úrad má možnosť i napomenúť spoločnosti, aby si dali do poriadku svoje firemné politiky ohľadom ochrany osobných údajov.

Je jasné, že mnoho „konzultačných“ spoločností chce vyťažiť z GDPR, využiť strach majiteľov a manažérov firiem, a predať im predražené služby aj nevhodné riešenia. Odporúčam si ich ponuky premyslieť bez strachu a s chladnou hlavou.

Môžem GDPR aj odignorovať?

Spoločnosť má viacero možností. Môže vyčleniť rozpočet na ochranu osobných údajov, ale môže aj ísť do rizika a túto službu aj odignorovať.

Pripomína to jazdu na diaľnici: Buď jazdíš podľa pravidiel, alebo výrazne prekročíš rýchlosť. Uvedomuješ si, že ťa môžu chytiť a zaplatíš pokutu. O koľko prekročíš rýchlosť? Je ti jasné, že policajných kontrol bude v budúcnosti iba viac.

Aj keď Vás Úrad po 25. Máji 2018 navštíviť nemusí, rozhodne neodporúčam GDPR odignorovať. Treba sa naň postupne pripravovať a uplatňovať ochranu osobných údajov v takej miere, v akej je to finančne, ekonomicky, technicky aj personálne možné. Kontrola môže prísť aj o dva roky. Rozhodne bude mať inú pozíciu firma, ktorá sa o ochranu osobných údajov aspoň snaží, oproti ignorantovi celej regulácie.

Koho sa najviac dotýka GDPR?

Najviac sa na reguláciu musia pripraviť veľké a stredné firmy, ako aj menšie spoločnosti ktoré pracujú s osobnými údajmi (eshopy, emailoví provideri, callcentrá).

Môže niekto nahlásiť, že nemám systém kompatibilný s GDPR? 

Dotknutá osoba (teda fyzická osoba, ktorej údaje spracúvavam) môže požiadať o informácie, akým spôsobom sú údaje o nej spracované. Firma má lehotu jeden, maximálne tri mesiace na odpoveď (čl. 12 GDPR).

V prípade nesplnenia týchto práv, dotknutá osoba má právo podať sťažnosť dozornému orgánu.

Určite sa nájdu hateri, ktorí budú písať mnoho sťažností. Je pravdepodobné, že sťažnosti môže účelovo písať aj konkurencia. Treba sa na to pripraviť a odstrániť nedostatky na najviac viditeľných miestach, napríklad oslovovanie zákazníkov mailom bez súhlasu s marketingovými účelmi v súlade s GDPR.

Please follow and like us:
RSS
Follow by Email
Facebook0
Google+
https://gdpr-eu.sk/gdpr-treba-mat-obavy/
Twitter
LinkedIn

Zdieľajte nás :)