3 pasti v souladu s GDPR, na které si dávat pozor

Každý, kdo se nachází v procesu dosažení souladu s GDPR nařízením Evropské unie, ví, že je to těžký úkol. Špatné pochopení GDPR může způsobit plýtvání časem a penězi na neúčinná opatření a pokud si své chyby nevšimnou, mohou se stát předmětem disciplinárního potrestání.

Zde uvádíme některé z chyb, které organizace dělají při přípravě na GDPR, spolu s doporučeními, jak se jim vyhnout.

1) „Neuvědomili jsme si, že se nás GDPR týká.“

Největší pastí GDPR, do které mohou lidé spadnout, je předpokládat, že se GDPR týká pouze velkých společností a ne naší firmy. Tito lidé se GDPR vůbec nezabývají a následně budou čelit nejpřísnějším trestům. Nejedná se však pouze o velikost organizace, čím lidé omlouvají svou nečinnost ve vytváření souladu s GDPR. Lidé se také vymlouvají, že jejich organizace se nenachází v zemi, která je členem Evropské unie nebo že provozují charitu a těch se nařízení netýká.

Tyto domněnky jsou irrelevantní. Nezáleží na tom, kde se vaše organizace nachází, jak je velká, kolik osobních informací sbírá nebo na co je používá. Jediná věc, na které záleží, je, zda sbírá data o občanech Evropské unie. Pokud ano, musí buď přestat tato data sbírat nebo vytvořit soulad s nařízením GDPR. Existují pouze dvě úlevy. GDPR se nevztahuje na aktivity v domácnostech, jako například osobní emaily jednotlivců nebo telefonní kontakty a požadavky na firmy s méně než 250 zaměstnanci jsou uvolněnější.

2) Souhlas nemusí být vždy povinný?

Většina organizací spoléhá na souhlas jako na formu zpracování údajů o lidech podle práva, takže mnoho firem se zaleklo přísných nových požadavků ohledně souhlasu. Kritici řekli, že pravidla zahrnující požadavek zřejmého souhlasného činu po jednotlivci velice ztěžují získání souhlasu. A bez něj organizace nebudou mít přístup k osobním údajům a některé z jejich nejdůležitějších činností selžou.

Je pravdou, že požadavky GDPR jsou záměrně postaveny tak, aby odradily organizace od vyhledávání souhlasu, ale to neznamená, že nemohou zpracovávat soukromé údaje. Souhlas je pouze jedním z šesti právních způsobů pro zpracování osobních údajů a je jasně tím nejméně upřednostňovaným. Pokud firma vše postaví na mylném předpokladu, že souhlas je jediná možnost, přinese jí to řadu další potenciálních problémů. Například pokud firma pro zpracování osobních údajů použila metodu souhlasu a poté chce tyto údaje použít za jiným účelem, bude muset znovu požádat všechny subjekty těchto údajů o souhlas. Každého, kdo odmítne nebo nebude reagovat na výzvu, bude muset ze záznamů odstranit.

Jednotlivci také mají právo vzít svůj souhlas kdykoliv zpět, což opět znamená odstranit je ze záznamů. Pokud tak organizace neučiní, riskuje disciplinární potrestání od oprávněné nadřazené autority.

Ostatní právní možnosti jsou mnohem stabilnější a poskytují organizacím zabezpečení v případě, že jednotlivec má námitky proti zpracování svých osobních údajů. Pokud organizace poskytne zdokumentovaný důkaz, že zpracování odpovídá zákonným požadavkům, žádost subjektu bude pravděpodobně zamítnuta.

3) Jsem kontrolor nebo zpracovatel?

GDPR rozděluje zákonné odpovědnosti za zpracování osobních údajů do dvou kategorií. Datoví kontroloři, kteří určují účel, za jakým jsou osobní údaje sbírány a jakým způsobem budou sbírány a datoví zpracovatelé, kteří provádějí samotný sběr údajů.

To může působit docela jednoduše, ale vztah mezi kontrolory a zpracovateli je jednoduchý pouze vzácně. V některých případech jsou organizace datovými kontrolory, v jiných zase datovými zpracovateli. Navíc stejné údaje mohou mít několik různých datových zpracovatelů. Například společnost zabývající se managementem IT služeb provozuje platformu, do níž zákazníci vkládají osobní údaje prostřednictvím help desku, to činí ze zákazníků kontrolory a z firmy zpracovatele. Tato cloudová platforma však běží na serverech webových služeb Amazonu, což z Amazonu vůči firmě dělá zpracovatele. Amazon dále kontroluje osobní údaje některých firemních zaměstnanců, například prostřednictvím CRM souboru nebo nákupního účtu Amazonu. Zde se už ovšem jedná o oddělené nesouvisející vztahy.

Zodpovědnosti datových kontrolorů a datových zpracovatelů se liší, proto je podstatné, aby všichni lidé zapojení do sběru dat chápali své role.

Napsat komentář