Zjišťujeme informace o GDPR všude kde můžem, snažím se z nich dozvědět nové informace, nové pohledy na toto evropské nařízení a začlenit je do našeho řešení. Jako Internetový poskytovatel s tímto mám bohaté zkušenosti a i jako jedni z mála za sebou máme kontrolu od úřadu na ochranu osobních údajů. Podle stávajícího zákona, ale tak moc rozdílů mezi GDPR a současným zákonem není. Největší rozdíly jsou tři, jeden nemusíte se nikde dopředu registrovat, za vše odpovídáte vy. Druhý je ve výši pokut a třetí je zavedení funkce pověřence pro osobní údaje.

1. drahá lež: V jednom článku na serveru www.podnikatel.cz, který je o pokutách jsem četl Jak se blíží schválení GDPR …. Evropské nařízení je schválené a bude platit 25. května 2018 ať se děje co se děje. Dokonce i v Anglii, která vystupuje z EU. Prostě je to předpis, který platí v celé EU od stejného data ve stejném znění. Zjednoduší to Vaše podnikání po celé Evropě. Nic na tom nezmění ani prohlášení pana Babiše, že schválí zákon, který to změní. První věc je, že nic schválit nestačí a je to jen prováděcí zákon, který může měnit některé nepodstatné parametry. Například za dítě se považuje osoba mladší 14 let, výši postihů a podobně. Podoba GDPR musí zůstat zachována. Evropské nařízení je nad Českým zákonem. Neschválení zákona navíc velmi komplikuje například fungování SVJ.

2. drahá lež: Mně se to netýká. Bohužel či pro zákazníka a obchodního partnera bych řekl bohudík se to týká téměř všech. Máte zaměstnance – týká se to i Vás. Nakupujete od fyzické osoby i podnikající? Týká se to i Vás, máte osobní údaje zákazníků? Týká se Vás to také. Vedete osobní marketing? Týká se Vás to velice. Zatím mi napadlo jen několik málo příkladů, kdo může vyklouznout z tohoto nařízení a to živnostník, který prodává koncovým zákazníkům, nemá kamery a podobné věci a prodává jen za hotové. Dodavatel je právnická osoba a vše si dělá sám. V případě že má například kameru se záznamem, občas mu něco opraví soused řemeslník na fakturu, tak se ho to týká také.

3. drahá lež: Koupím si krabicové řešení, absolvuji pár drahých školení a jsem v pohodě. Krabicové řešení téměř nemůže existovat, protože každá firma, každý dům, každý spolek, každá obec či škola jsou originál. Podle našich zkušeností se musí u každého udělat opravdu kvalitní hloubková analýza získávání, zpracování, ukládání, používání a likvidaci osobních údajů. Promluvit se všemi zainteresovanými lidmi. Na základě této analýzy zpracovat potřebné podklady a na základě těchto podkladů opět po konzultaci vytvořit všechny potřebné dokumenty. Nastavit výpočetní techniku, zálohování, mazání dat, logování přístupu k osobním údajů a nejlépe celého provozu firmy z Internetu nebo do internetu. Toto vše se v krabici kupuje blbě. A hlavně máte dostatek znalostí a zkušeností vše nasadit do provozu a kontrolovat?

4. drahá lež: Pověřence mi bude dělat Franta, dám mu za to pár korun. Pověřenec je osoba, která by měla o GDPR vědět vše. To Franta nejspíš nebude. Ale to není vše. Měl by vědět i vše o osobních údajích ve Vaší organizaci vědět o všem co se s osobními údaji vědět. Mít znalosti z počítačů, databází, sítí. Na cokoliv se ho zeptáte bude umět kvalitně a pravdivě odpovědět. Vymyslet řešení daného problému, v případě že přijde kontrola, bude první na ráně při kontrole.

Ale co je podstatné. Za nic nezodpovídá. V případě, že s ním nebudete mít takto nastavenou smlouvu. Za Vše zodpovídá statutární zástupce. Proto je důležité, aby jste si dobře vybraly, kdo Vám celou agendu osobních údajů zpracuje a hlavně kdo bude dělat zmocněnce pro osobní údaje, v případě že ho musíte mít.

5. drahá lež: Nic neukážu, nic nemáme, nic nedáme. Kontroloři na osobní údaje jsou podle vlastní zkušenosti velice vzdělaní a připravení odborníci. Ví o tom Vše, mají zkušenosti na rozdíl od Vás z mnoha dřívějších kontrol a co na ně zkusíte vy, zkusily již před Vámi mnozí další. A kupodivu se jim to většinou nepovedlo. A v současné době to bude mnohem dražší než dříve. Nejlepší a nejlevnější řešení je mít vše připravené od opravdových odborníků, ne právníků. Samotný papír Vám sice trochu pomůže, ale nespasí. Vzhledem ke komplexnosti problému, je nutno si vybrat firmu, která má kvalitní lidi, jak právníky, tak analytiky tak IT odborníky. Ochrana osobních údajů je velice komplexní od jejich získávání v papírové či elektronické podobě, po jejich zpracování, kdy musíte vědět co se kdy dělo s kterým osobním údajem po jeho vymazání. Nejlepší řešení je vybrat firmu, která vše připraví na klíč a hlavně se zárukou. Bude vše pravidelně kontrolovat a v případě kontroly se před Vás postaví a provede kontrolu za Vás. Zná dokonale nařízení GDPR, správní řád a další zákony. Jedna z mála takových jsme my, Česká síť s.r.o.

6. drahá lež: mít pověřence pro osobní údaje musí mít jen velké firmy. Na jednu stranu ano, v GDPR je povinnost mít pověřence až od 250 zaměstnanců. Ale i všichni, kteří provozují pravidelné a systematické monitorování. Do tohoto spadají kamery, sledovaní polohy například GPS ve vozidlech, věrnostní programy ale i třeba automatizace v oblasti bydlení a provozu areálů. Takže jednoduše, máte kamery musíte mít pověřence, máte sledování aut, musíte mít pověřence, máte vstupní systém, například na evidenci zaměstnanců musíte mít pověřence, máte chipy na dveře v domě, je nutno dobře vědět jak je používáte a co ukládáte a zpracováváte. V případě, že nic tak jej nepotřebujete, v případě, že ukládáte který člověk kdy otevřel dveře pověřence potřebujete. Používáte mail marketing pověřence potřebujete. Nejste si jisti, uděláte dobře když pověřence budete mít.

Jen pro Vaší informaci. Existuje dokument Pokyny k uplatňování a stanovování správních pokut pro účely nařízení 2016/679 od PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 o výši pokut. Zde jen pro zajímavost několik heslovitých bodů:

1. Porušení nařízení by mělo mít za následek uložení „rovnocenných sankcí“.

2. Stejně jako všechna nápravná opatření zvolená dozorovými úřady by i správní pokuty měly být „účinné, přiměřené a odrazující“

3. Harmonizovaný přístup ke správním pokutám v oblasti ochrany údajů vyžaduje aktivní účast dozorových úřadů a výměnu informací mezi nimi. To znamená pokuta v ČR by měla být za stejný přestupek stejná jako v Německu a stejně velké firmy se stejným přestupkem.

A pří výši stanovení případné pokuty se přihlíží k dalším okolnostem:

a) povaha, závažnost a délka trvání porušení

b) zda k porušení došlo úmyslně, nebo z nedbalosti

c) kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů

d) míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32

e) veškerá relevantní předchozí porušení správcem či zpracovatelem

f) míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků

g) kategorie osobních údajů dotčené daným porušením

h) způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře

i) jakákoli jiná přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení

Toto je pár základních vodítek, podle kterých by jste se měly řídit při práci s osobními údaji a hlavně při výběru partnera. Důležité je nestrkat hlavu do písku, ale připravit se co nejdříve. Bohužel včas už bylo. A k Vašemu poškození stačí tak málo, stačí dát podnět na úřad pro ochranu osobních údajů.

TOPlist