Medzi najčastejšie GDPR mýty patrí, že na všetko treba súhlas, že malá firma nemusí nič, že výmaz je absolútny, že s bežným dodávateľom netreba zmluvu, že antivírus znamená hotovú bezpečnosť a že únik spôsobí len hacker. Realita je vždy triezvejšia a v tomto článku ju uvádzame na pravú mieru.

Obsah

Okolo GDPR sa za roky nazbieralo viac mýtov než okolo hociktorého iného predpisu. Časť z nich firmy zbytočne straší a núti robiť prácu, ktorú robiť nemusia. Časť naopak uspáva do falošného pocitu, že „to máme vyriešené“, ktorý pri prvej kontrole alebo úniku spľasne. Oboje stojí peniaze aj nervy.

Dobrá správa je, že väčšina chýb v GDPR nevzniká zo zlej vôle ani z hlúposti, ale práve z týchto rozšírených polopravd. Keď ich pomenujete, vyhnete sa im. Nasledujúci prehľad zhŕňa mýty, na ktoré v praxi narážam najčastejšie, a pri každom nájdete odkaz na článok, kde je téma rozobraná dopodrobna.

Trinásť mýtov, ktoré vás môžu stáť pokutu alebo zbytočnú prácu

Mýtus 1: „GDPR je hlavne o hrozbe pokút.“ Pokuta je až posledný dôsledok, nie podstata. GDPR je o dôvere a o poriadku vo vlastných údajoch, a firma, ktorá má poriadok, sa pokút nemusí báť. Celý rámec sme zhrnuli v úvodnom článku série.

Mýtus 2: „Sme malá firma, GDPR sa nás prakticky netýka.“ GDPR sa neriadi veľkosťou, ale činnosťou. Ak máte zamestnancov, zákazníkov alebo dodávateľov, spracúvate osobné údaje a vzťahuje sa na vás, len v rozsahu primeranom vašej veľkosti a riziku. Prečo je to tak, vysvetľujeme v pilierovom článku.

Mýtus 3: „Na spracúvanie osobných údajov treba vždy súhlas.“ Súhlas je len jeden zo šiestich právnych základov a často ten najkrehkejší. Väčšinu spracúvania kryje zmluva, zákonná povinnosť alebo oprávnený záujem, kde súhlas netreba a je dokonca nesprávny. Rozoberáme to v článku o právnych základoch.

Mýtus 4: „Súhlas raz daný platí navždy a predzaškrtnuté políčko stačí.“ Súhlas sa dá kedykoľvek odvolať, musí byť daný aktívnym úkonom a musíte ho vedieť preukázať. Predzaškrtnuté políčko ani mlčanie súhlasom nie sú. Viac v článku o súhlase.

Mýtus 5: „Keď niekto žiada výmaz, musíme vymazať všetko.“ Právo na výmaz nie je absolútne. Ak vám zákon ukladá údaje uchovávať, napríklad účtovné doklady, výmazu nevyhoviete a dôvod vysvetlíte. Práva dotknutých osôb a lehoty rozoberáme tu.

Mýtus 6: „Malá firma nemusí viesť záznam o spracúvaní.“ Výnimka pre subjekty do 250 zamestnancov je úzka a v bežnej firme takmer nikdy neplatí, lebo mzdy a zákazníkov spracúvate pravidelne. Prečo sa záznam oplatí viesť tak či tak, píšeme v článku o ROPA.

Mýtus 7: „S bežným dodávateľom ako účtovník netreba osobitnú zmluvu.“ Účtovník aj cloudová služba sú sprostredkovatelia a potrebujete s nimi sprostredkovateľskú zmluvu podľa čl. 28. Práve u samozrejmých dodávateľov chýba najčastejšie. Vysvetľujeme to v článku o prevádzkovateľovi a sprostredkovateľovi.

Mýtus 8: „Máme antivírus a firewall, bezpečnosť pre GDPR je vyriešená.“ Bezpečnosť podľa GDPR nie je nákupný zoznam, ale primeranosť k riziku a najmä organizačné opatrenia, ktoré technika sama nepokryje. Rozoberáme to v článku o bezpečnosti spracúvania.

Mýtus 9: „Únik znamená hacker a nám sa nič neunikne.“ Najčastejší únik nie je útok, ale ľudská chyba, zle poslaný e-mail alebo stratený telefón. A od chvíle, keď sa o ňom dozviete, beží 72 hodín. Postup pri úniku nájdete v článku o porušení ochrany údajov.

Mýtus 10: „Zodpovednú osobu môže robiť konateľ alebo šéf IT.“ Nemôže, bol by v konflikte záujmov, lebo zároveň rozhoduje o účeloch spracúvania. Zle obsadená zodpovedná osoba je neplatná. Kedy a kto ju môže vykonávať, píšeme v článku o zodpovednej osobe.

Mýtus 11: „Na kamery a monitorovanie zamestnancov stačí ich súhlas.“ Súhlas zamestnanca je pre nerovnováhu spravidla neplatný. Monitorovanie stojí na Zákonníku práce a oprávnenom záujme a vyžaduje prerokovanie a informovanie vopred. Podrobne v článku o monitorovaní zamestnancov.

Mýtus 12: „My nič do zahraničia neposielame.“ Ak používate americký cloud, analytiku alebo e-mailovú platformu, prenášate údaje do tretej krajiny, aj keď ste vedome nič neodoslali. Čo s tým, rozoberáme v článku o prenose do tretích krajín.

Mýtus 13: „Počkáme, kým sa GDPR zjednoduší, a dovtedy nič nerobíme.“ Nič z pripravovaných zmien zatiaľ neplatí a súčasné GDPR platí v plnom rozsahu. Základné povinnosti budete potrebovať tak či tak. Čo sa chystá, zhŕňame v článku o zjednodušení GDPR.

Čo majú tieto mýty spoločné

Keď sa na ne pozriete spolu, majú jeden koreň. Vychádzajú z predstavy, že GDPR je jednorazová papierovačka pre úrad, ktorú treba raz vybaviť a viac sa jej nedotknúť. Firmy, ktoré takto uvažujú, buď robia zbytočnú prácu zo strachu, alebo si namýšľajú súlad, ktorý nemajú.

Firmy, ktoré GDPR vzali ako poriadok vo vlastných údajoch, sa väčšine týchto mýtov vyhnú prirodzene, lebo majú prehľad a vedia, na akom základe čo robia. To je celé tajomstvo: nie dokonalá znalosť nariadenia, ale poriadok, z ktorého odpovede vyplynú samy.

Ak si nie ste istí, ktorý z týchto mýtov sa týka práve vás, a chcete mať istotu bez toho, aby ste sa GDPR museli sami preštudovať, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov.

Časté otázky

Treba na spracúvanie osobných údajov vždy súhlas?

Nie. Súhlas je len jeden zo šiestich právnych základov a často nie je vhodný. Spracúvanie kryté zmluvou, zákonnou povinnosťou alebo oprávneným záujmom súhlas nevyžaduje.

Musí malá firma dodržiavať GDPR?

Áno. GDPR sa vzťahuje na každého, kto spracúva osobné údaje, bez ohľadu na veľkosť. Rozsah povinností je ale primeraný veľkosti firmy a riziku spracúvania.

Musím vždy vymazať údaje, keď o to niekto požiada?

Nie. Právo na výmaz nie je absolútne. Ak zákon ukladá údaje uchovávať alebo sú potrebné na uplatnenie právnych nárokov, výmazu sa nevyhovie a dôvod sa dotknutej osobe vysvetlí.

Stačí na monitorovanie zamestnancov ich súhlas?

Nie. Súhlas zamestnanca je pre nerovnováhu voči zamestnávateľovi spravidla neplatný. Monitorovanie sa opiera o Zákonník práce a oprávnený záujem a vyžaduje prerokovanie a informovanie vopred.