Mýty a omyly, ktoré v súčasnej dobe panujú o GDPR

Radoslav Sedlák 16. mája 2018

Platnosť GDPR sa blíži, ste si istí, že vaše podnikanie je na to pripravené? Pozrite sa na 6 najčastejších omylov, ktoré pre nás zhrnul Radoslat Sedlák zo Softec CZ. V praxi sa bežne stretávam s množstvom nepochopenia a mylných názorov týkajúcich sa nariadenia GDPR. Zvlášť teraz, keď rastie nervozita z blížiaceho sa termínu vstupu nariadenia do platnosti. Námatkovo z nich vyberám niekoľko vskutku zaujímavých:

Mňa sa GDPR predsa netýka.
Ak máte klientov, zamestnancov alebo obchodných partnerov, tak sa s veľkou pravdepodobnosťou mýlite.

GDPR vyrieši nejaký IT nástroj (výtvor), ktorý sa dá určite niekde kúpiť.
Z vlastnej skúsenosti môžem povedať, že zhruba 50% úsilia na dosiahnutie súladu s GDPR ide mimo informačných technológií, týka sa to skôr organizačno-procesných opatrení. Vo väčších firmách môže byť toto percento ešte vyššie.

Mazať osobné dáta je potrebné ihneď po vypršaní účelu, odvolania súhlasu alebo žiadosti subjektu, a to za pomoci robustných IT nástrojov.
Nemusí to tak byť. Poraďte sa so svojím právnikom, kedy skutočne musíte mazať/anonymizovať osobné údaje. Možno Vám u väčšiny povinností postačí využiť súčasné možnosti Vašich IT systémov, resp. bude stačiť jednoduché doplnenie (napr. reportov, vyhľadávacích funkcií, ticketing systémov, workflow nástrojov, a pod.)

Všetky procesy spojené s obsluhou práv dotknutých osôb a povinností firiem, ktoré prináša GDPR, musia byť od 25. mája plne automatizované.
Nemusia. V mnohých oblastiach postačia, aspoň v úvode, už spomínaná organizačno-procesné riešenia, ale majte pripravený plán na zvýšenie automatizácie a monitoring na potvrdenie potreby aktivovať tento plán.

Právnici nám oznámia, ako to máme urobiť.
Neoznámia. Právnický výklad je nutné preložiť do každodennej reality firmy. Riadenie rizík je zodpovednosťou manažmentu spoločnosti.

Bude to stáť veľmi veľa peňazí.
Nemusí. My v Softecu napr. pracujeme s klientmi tak, aby sme minimalizovali celkové náklady a rozumne ich riadili v čase. S malým nadhľadom hovoríme o tzv. “Smart Compliance” prístupe. Ten je postavený na vyššie uvedených myšlienkach, že nie všetko sa musí uskutočniť okamžite, nie všetky procesy musia byť od prvého dňa automatizované, a pod. Práve v tom je určitá nádej aj pre oneskorencov, ktorí sa začali témou GDPR zaoberať s oneskorením, prípadne ešte vôbec.

Radoslav Sedlák