Mýty a omyly, které v současné době o GDPR panují

Radoslav Sedlák 16. května 2018

Platnost GDPR se blíží, jste si jistí, že vaše podnikání je na to připravené? Podívejte se na 6 nejčastějších omylů, které pro nás shrnul Radoslat Sedlák ze Softec CZ. V praxi se běžně setkávám s množstvím nepochopení a mylných názorů týkajících se nařízení GDPR. Zvlášť nyní, kdy roste nervozita z blížícího se termínu vstupu nařízení v platnost. Namátkou z nich vybírám několik vskutku zajímavých:

Mě se GDPR přece netýká.
Pokud máte klienty, zaměstnance nebo obchodní partnery, tak se s velkou pravděpodobností mýlíte.

GDPR vyřeší nějaký IT nástroj (udělátko), který se dá určitě někde koupit.
Z vlastní zkušenosti můžu říct, že zhruba 50 % úsilí k dosažení souladu s GDPR jde mimo informační technologie, do organizačně-procesních opatření. Ve větších firmách může být toto procento ještě vyšší.

Mazat osobní data je potřeba ihned po vypršení účelu, odvolání souhlasu nebo žádosti subjektu, a to za pomoci robustních IT nástrojů.
Nemusí to tak být. Poraďte se se svým právníkem, kdy skutečně musíte mazat/anonymizovat osobní údaje. Možná Vám u většiny povinností postačí využít současné možnosti Vašich IT systémů, resp. jednoduchých doplnění (např. reportů, vyhledávacích funkcí, ticketing systémů, workflow nástrojů, apod.)

Všechny procesy spojené s obsluhou práv subjektů údajů a povinností firem, které přináší GDPR, musí být od 25. května plně automatizované.
Nemusí. V řadě oblastí postačí, alespoň v úvodu, již zmíněná organizačně-procesní řešení, ale mějte připravený plán zvýšení automatizace a monitoring na potvrzení potřeby aktivovat tento plán.

Právníci nám sdělí, jak to máme udělat.
Nesdělí. Právnický výklad je nutné přeložit do každodenní reality firmy. Řízení rizik je zodpovědností managementu společnosti.

Bude to stát hrozně moc peněz.
Nemusí. My v Softecu např. pracujeme s klienty tak, abychom minimalizovali celkové náklady a rozumně je řídili v čase. S trochou nadsázku hovoříme o tzv. „Smart Compliance“ přístupu. Ten je postavený na výše uvedených myšlenkách, že ne vše se musí uskutečnit okamžitě, ne všechny procesy musí být od prvního dne automatizované, apod. Právě v tom je určitá naděje i pro opozdilce, kteří se začali tématem GDPR zabývat se zpožděním, případně ještě vůbec ne.

Radoslav Sedlák