Pavel Nechala

Akých chýb sa vyvarovať pri zavádzaní GDPR?

Autor: Pavel Nechala
Publikované máj 16, 2018


Realita niekoľko dní pred začiatkom uplatňovania tohto nariadenia aj na Slovensku nie je príliš priaznivá. Na jednej strane získala ochrana osobných údajov pozornosť ako nikdy pretým, no na druhej strane je otázne, či sa ochrana skutočne aj zvyšuje.

Tento blog bol pôvodne zverejnený na portáli eTrend.

Podpredsedníčka Komisie a komisárka EÚ pre spravodlivosť Viviane Redingová (2010 – 2014), ktorá najvýraznejšie prispela k reforme ochrany osobných údajov, sa netajila ambíciou spraviť z pojmu GDPR výraz, ktorý bude poznať celý svet.

Realita niekoľko dní pred začiatkom uplatňovania tohto nariadenia aj na Slovensku nie je príliš priaznivá. Na jednej strane získala ochrana osobných údajov pozornosť ako nikdy pretým, no na druhej strane je otázne, či sa ochrana skutočne aj zvyšuje. Dobrou správou pre priaznivcov   väčšej kontroly nad vlastným súkromím je, že chyby, ktorých sa veľká skupina povinných subjektov dopúšťa, budú napravené.

Skúsme sa preto pozrieť na tie najzávažnejšie nedostatky:

  1. Dôvera v produkty označené ako GDPR – pojem GDPR počtom výskytu konkuruje na internete aj „viagre“. Napriek tomu má diametrálne odlišný význam, na jednej strane môžete nájsť vzory dokumentov, ponuku technických zariadení a softvéru, ale aj služby bezpečákov. GDPR je však súborom opatrení pokrývajúcich tak materiálnu (právnu), ako aj operatívnu (procesnú a bezpečnostnú) stránku.
  2. Analýza od „predajcov“ produktov – asi neprekvapí, že odporúčania presne korešpondujú s tým, čo má predajca v ponuke, a tiež že žiadne garancie o zabezpečení súladu nedostanete. Analýza nedostatkov (GAP analýza) je dôležitý a potrebný krok, ale vyžaduje aj pozornosť, ochotu a chuť sa témou zaoberať aj na strane objednávateľa.
  3. Podceňovanie problematiky – „Nemáte riešenie ako BOZP?“ Aj s takouto otázkou sme sa stretli. Práve zmena spôsobu uplatňovania povinností je najvýraznejším posunom v oblasti ochrany osobných údajov. Nestačí mať vyplnené „nejaké“ papiere, ale vedieť preukázať, že ochranu zabezpečujete.
  4. Ustanovenie zodpovednej osoby – subjekty, ktorým vzniká táto povinnosť, prirodzene siahajú po zamestnancoch z oblasti IT alebo ľudských zdrojov. Tieto osoby sa však priamo podieľajú na spracovateľských operáciách, a teda sú v konflikte záujmov. Inými slovami, ustanovenie tejto osoby priamo porušuje povinnosti uvedené v nariadení.
  5. Pokuty ako strašiak – sú nesprávnou motiváciou na zavádzanie akýchkoľvek opatrení. Až 17 európských dozorných orgánov indikovalo nedostatočné finančné alebo personálne zabezpečenie agendy. Bude preto chvíľu trvať, pokým sa stanú pokuty reálnymi. Väčším rizikom pre prevádzkovateľov sú práva dotknutých osôb. Okrem reputačného rizika môže nezvládnutie žiadostí dotknutých osôb spôsobiť aj priame materiálne škody. To, že to je reálne, preukazuje aj tento projekt: noyb.eu.
  6. Iba začiatok –  opakovaním termínu 25. mája 2018 sa vytvoril magický cieľ, ktorý sa mylne viacerí snažia dosiahnuť. Už dnes je zrejmé, že nič dramatické sa nestane. Ak sa vo veľa subjektoch roky ignorovala súčasne platná legislatívna úprava, prečo by sa to malo zmeniť za pár dní? Ak si však vyložíte túto skutočnosť tak, že netreba nič robiť, treba sa vrátiť k bodu 1.

Odborná debata sa v tejto problematike zatiaľ neotvorila s výnimkou témy otvorených údajov a fungovania katastra nehnuteľností. Na druhej strane, tém a otázok na diskusiu je pomerne veľa. Bývalej komisárke V. Redingovej sa podarilo zvýšiť záujem o problematiku, či sa podarí dosiahnuť aj zvýšenie dôvery verejnosti ako nevyhnutného predpokladu rozvoja digitálnej ekonomiky, závisí aj od každého podnikateľa. Prvým krokom je začať sa reálne o problematiku zaujímať.