Vo všeobecnosti existujú dva hlavné dôvody, prečo sa mylné predstavy o GDPR šíria a prečo sa predovšetkým u laikov ujali. Prvým dôvodom je naša náchylnosť veriť tomu, čo konzumujeme online. Médiá môžu ľahko zachytiť našu pozornosť a ovplyvniť naše rozhodnutia. To viedlo mnohých ľudí k tomu, aby prijali za pravdu aj názory neodborníkov namiesto skutočných faktov, ktoré majú oporu v samotnom nariadení GDPR, ako aj v novom slovenskom zákone o ochrane osobných údajov a ich správnom výklade. To nevyhnutne viedlo a vedie ku skepse. Na druhom konci spektra sú, naopak, tí ľudia, ktorí sa naučili striktne nedôverovať tomu, čo čítajú. A to kvôli obrovskému množstvu falošných informácií, ktoré dnes cirkulujú na internete. Spochybňujeme zdroje a predpokladáme, že za nimi stojí nejaký zištný či nekalý motív. To vedie k zmätku a mylným predstavám. A ku ďalšej skepse.
Vzhľadom na to, aké dôležité sú údaje pre podniky, vznikali obavy a pochybnosti o vplyve GDPR. Zachytili sme mnohé z týchto mylných predstáv a cítime preto potrebu odhaliť vám 7 najčastejších mýtov o GDPR.
Mýtus č. 1: GDPR môže poškodiť váš biznis
Pripraviť sa na zmenu legislatívy často vyžaduje, aby podniky znášali určité náklady. Mnohým spoločnostiam pôsobiacim v EÚ nie je ochrana osobných údajov cudzia. Prispôsobenie sa GDPR je záležitosťou implementácie a zmien existujúcich obchodných procesov. Na druhej strane však existujú podniky, ktoré si až teraz uvedomujú dôležitosť ochrany súkromia.
Táto druhá skupina má pred sebou prácu s implementáciou GDPR do svojho biznis modelu. Nariadenie GDPR bolo vytvorené rešpektujúc zákonitosti hospodárskeho rastu. Bolo navrhnuté tak, aby podporovalo zodpovedné zaobchádzanie s osobnými údajmi v rámci regulovaného digitálneho jednotného trhu. Európska komisia preto oprávnene tvrdí, že nariadenie GDPR podporuje dôveru v digitálnu ekonomiku. Dôveryhodná ekonomika je hybnou silou dlhodobého rastu a stability. Inými slovami, GDPR bolo vytvorené ako prostriedok na dosiahnutie dlhodobého rastu pre digitálnu ekonomiku.
Mýtus č. 2: Na použitie osobných údajov je potrebné získať súhlas
Hlavnou výhodou spočívajúcou v regulácii uzákonenej v nariadení GDPR je skutočnosť, že jednotlivci majú možnosť ľahko spätne kontrolovať, akým spôsobom sú spracúvané ich údaje, ale aj kto je ich príjemcom, kto s nimi pracuje a prichádza do styku atď.
Aj keď to v zásade platí, v praxi nie je vždy potrebné získať súhlas. GDPR rozoznáva rad situácií, v ktorých môže byť spracovanie údajov legálne aj bez súhlasu dotknutej osoby. V právnickej reči hovoríme o právnych základoch, na základe ktorých je možné spracúvať osobné údaje. Takýmto právnym základom môže byť napríklad plnenie zmluvy, alebo povinnosť vyplývajúca z nejakého iného zákona (napr. zákon o archívoch a registratúrach).
Súhlas je len jednou z niekoľkých alternatív. Súhlas je oproti predchádzajúcej legislatíve potrebný dokonca v oveľa nižšom počte prípadov. Nejde pritom o zmiernenie úlohy a vážnosti súhlasu so spracúvaním osobných údajov. Spoločnosti by mali pri nastavovaní svojej obchodnej politiky brať do úvahy právne základy spracúvania osobných údajov, ktoré umožňujú spracúvať osobné údaje bez súhlasu dotknutej osoby. Zároveň však stanovujú presný a prísny rámec, v rámci ktorého k spracúvaniu dochádza.
Mýtus č.3: Všetci podnikatelia potrebujú mať vymenovanú/najatú zodpovednú osobu (DPO = Data Protection Officera)
Ani toto sa vôbec nezakladá na pravde. Určenie zodpovednej osoby, či už z radov vlastných zamestnancov, alebo externým outsourcingom, nie je vždy potrebné. Európska komisia uvádza niektoré konkrétne prípady, keď organizácie musia vymenovať určeného "úradníka" na ochranu údajov - zodpovednú osobu. Okrem týchto prípadov sa odporúča, aby vaša organizácia určila osobu, ktorá bude zodpovedná za kontrolu a dodržiavanie pravidiel GDPR. Zodpovednú osobu si môže poveriť každý prevádzkovateľ alebo sprostredkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených osôb, a to bez ohľadu na ich počet. Poverenie zodpovednej osoby je právom prevádzkovateľa alebo sprostredkovateľa, na základe jeho rozhodnutia.
Mýtus č. 4: GDPR je celé o prevencii úniku alebo zneužitia osobných údajov
Bezpečnosť údajov je dôležitou súčasťou GDPR, ale jeho obsah rieši ďaleko viac, ako len toto. Napríklad GDPR pokrýva rozsiahle riziká neplnoletých osôb a stanovuje limity na zabezpečenie ochrany ich práv. Existuje veľa práv pripisovaných jednotlivcom, ktoré nemusia nevyhnutne spadať do oblasti bezpečnosti osobných údajov. Najpozoruhodnejším príkladom je právo byť zabudnutý. GDPR tiež očakáva, že politika ochrany osobných údajov bude zo strany podnikov transparentnejšia a jasnejšia vo vzťahu k dotknutým osobám.
Mýtus č. 5: Od podnikov sa vyžaduje, aby mali spravené DPIA (Data Protection Impact Assesment = Posúdenie vplyvu na ochranu osobných údajov)
Posúdenie vplyvu na ochranu osobných údajov (DPIA) pomáha firmám a organizáciám identifikovať potenciálne riziká a prijímať opatrenia na ich predchádzanie. Je dôležité si uvedomiť, že posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov je vyhradené pre konkrétne prípady, najmä ak spracúvanie predstavuje vysoké riziko pre práva a slobody jednotlivcov.
DPIA si musíte dať vo firme spraviť napríklad vtedy, keď spracúvate extra citlivé osobné údaje (napr. biometrické, genetické), alebo ak pri spracúvaní ide o systematické a rozsiahle hodnotenie osobných charakteristík dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby (napríklad prijatie do zamestnania).
Mýtus č. 6: Moja firma bude v súlade s GDPR po inštalácii správneho softvéru
Uvažujte o akomkoľvek softvéri na dosiahnutie súladu s nariadením GDPR len ako o nástroji. Teda napríklad ako o ekvivalente účtovného softvéru. Ak sa používa nesprávne, môže sa spoločnosť stále vystavovať porušovaniu zákona. Softvér môže vašej spoločnosti uľahčiť život, najmä ak pracujete s obrovským množstvom dátových bodov v rámci veľkej organizácie. Či vaša organizácia potrebuje špeciálny softvér, ktorý vám uľahči nastavenie spracovateľských operácií alebo nie, závisí teda väčšinou od veľkosti vašej firmy a komplexnosti procesov v nej prebiehajúcich. Každopádne, vždy však pôjde len o softvér, ktorý umožňuje ľahšie nastavenie spomínaných procesov, ale bez ľudského faktora to fungovať nebude. Podobne ako účtovný softvér bez šikovnej účtovníčky.
Mýtus č. 7: Moja firma nezodpovedá za informácie poskytnuté na báze outsourcingu tretím stranám
Zodpovednosť je jednou zo základných zásad a princípov GDPR. Zaručuje, že spoločnosti budú naďalej zodpovedné za spracúvanie osobných údajov aj po ich outsourcingu alebo ich externom zdieľaní.
Firmy by mali mať zavedené systémy, aby presne vedeli, aké údaje sa zdieľajú a prečo. Nariadenie GDPR bolo navrhnuté s ohľadom na tieto špecifiká. Podniky by mali vždy zaistiť, aby údaje, ktoré uchovávajú a zdieľajú s inými podnikmi, boli spracúvané spôsobom, ktorý je v súlade s GDPR.
Bohužiaľ, výskyt mylných predstáv je len jedným z vedľajších účinkov vždy, keď sa téma takej veľkosti, ako je GDPR, stane "virálnou". Dúfame, že tento článok pomohol v boji proti niektorým dezinformáciám šíriacim sa okolo nariadenia GDPR.
Autor: Bc. Rastislav Teplánský (Gdpr-Riešenie.sk)