Osobní údaje přece řešit interně v rámci firmy nemusím, jen co máme od zákazníků!

MÝTUS

Ba naopak, GDPR jasně stanovuje povinnost správce osobních údajů, aby zmapoval všechny pohyby osobních údajů napříč celou společností, tedy v neposlední řadě osobní údaje všech zaměstnanců stejně jako jakékoliv osobní údaje zákazníků či dodavatelů.

Na vše potřebuji získat výslovný souhlas. To abychom šli vykácet další pralesy.

PRAVDA

Souhlas jako paušální záležitost pro vše není úplně nejvhodnější. Souhlas je jen jedním z několika právních základů, na kterých můžeme postavit zpracovávání osobních údajů. Souhlas jako právní základ se dá považovat jako nejslabší právní základ a má několik úskalí sám o sobě, příkladem je jeho odvolatelnost, a to kdykoliv, když si subjekt údajů řekne.

Zavést GDPR sami? MÝTUS i PRAVDA! Jedině právník či IT specialista.

V rámci nařízení není nikde uvedena povinnost na to, že zavést GDPR ve společnosti může jen právník či IT pracovník. Nicméně spolupráce právě s nimi může implementaci všech opatření a náležitostí značně zjednodušit a urychlit. Největší přidanou hodnotu ovšem má, když na zavedení pracuje zaměstnanec firmy, který dobře zná všechny procesy, které se dějí ve společnosti, ve spolupráci s odbornou osobou zabývající se problematikou GDPR.

Když GDPR nesplním na 110 %, tak dostanu pokutu 20.000.000 eur, to moje společnosti nevydělá ani za 10 generací přece?

MÝTUS

Je nemyslitelné strašit jen tím, že společnosti, které se dopustí malých prohřešků, dostanou likvidační pokutu. Předpokladem je plnit základní požadavky tohoto nařízení. Úřad na ochranu osobních údajů má i jiné cesty, jak donutit správce a zpracovatele, než jsou jen sankce. Možnými nástroji k uplatňování GDPR budou například různá varování, opravné příkazy či pokárání, po kterých ÚOOÚ nakáže případnou změnu nebo udá povinnost na zlepšení v dané věci.

Jeden proškolený u nás stačí, však on to sám nějak zvládne.

MÝTUS

Ne, jeden opravdu nestačí. Jednou z náležitostí GDPR je celkové povědomí o ochraně osobních údajů napříč všemi zaměstnanci společnosti. Mimo to má správce za úkol poučit své zaměstnance o jejich právech, ať už o právu na informace či jiné, a povinnostech správce.

Takže úplně stačí, když budu mít zabezpečený počítač.

MÝTUS

Zabezpečení není jen otázkou firemního notebooku. Nesmí se zapomínat na fyzickou bezpečnost dalších možných uložení osobních údajů, jako jsou tiskárny, scanner, fax, mobil, skříň a další.

Naše společnost má jen dvacet zaměstnanců, nemusíme vést záznamy o činnostech zpracování osobních údajů.

MÝTUS

Vést záznamy o činnostech zpracování nedoléhá na podnik nebo organizaci zaměstnávající méně než 250 osob jen tehdy, když jsou splněny podmínky níže:

• zpracování, které provádí, pravděpodobně nepředstavuje riziko pro práva a svobody subjektů údajů,
• zpracování je pouze příležitostné. Tato podmínka je pro většinu společností nesplnitelná!
• Nezahrnuje zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech.

To znamená, že když si nejsme jisti, zda ano či ne, volme vždy první možnost a tyto Záznamy o činnostech zpracování osobních údajů vytvořme nebo si s tím nechme pomoci.

Pověřenec pro ochranu osobních údajů musí být certifikovaný úřadem.

MÝTUS

Nařízení GDPR nestanovuje žádnou specifickou formu ověření nebo nutnost prokázání se profesní způsobilostí či určitými kvalitami, ve zkratce tedy neexistuje forma získaného certifikátu či osvědčení. Jediné, co je uvedeno je, že pověřenec by měl být zvolen zejména na základě jeho odborných znalostí práva a praxe v oblasti ochrany osobních údajů (stačí tedy proškolení v těchto oblastech).

Váháte, jak dál postupovat? Jde vám hlava kolem ze všech otázek kolem GDPR? Na našem školení o GDPR vás srozumitelnou cestou provedeme od výkladu teoretických požadavků nařízení GDPR, až k jejich převedení do praktické podoby u vás ve společnosti.