Od zavedenia nového európskeho nariadenia o ochrane osobných údajov (GDPR) v roku 2018 sa téma ochrany údajov stala jednou z najdiskutovanejších oblastí v biznise, ako aj medzi bežnými občanmi. Napriek širokej medializácii však koluje okolo GDPR množstvo mýtov a dezinformácií. Tieto mýty môžu viesť k nesprávnemu výkladu zákona, zbytočnému strachu, ale najmä k chybným rozhodnutiam firiem a organizácií. V tomto článku preto rozoberieme najčastejšie mýty, ktoré sa šíria o GDPR, a vysvetlíme, prečo sú tieto presvedčenia nesprávne. Na základe aktuálnych právnych výkladov a praktickej skúsenosti vám ukážeme, že GDPR nie je prekážkou rozvoja podnikania, ale skôr nástrojom na budovanie dôvery a zodpovedného prístupu k údajom klientov.
1. mýtus: GDPR zakazuje spracúvať všetky osobné údaje
Toto je jeden z najčastejších a zároveň najškodlivejších mýtov o GDPR. Mnoho podnikateľov sa mylne domnieva, že po prijatí GDPR je spracúvanie osobných údajov prakticky nemožné. Pravdou však je, že GDPR spracovanie údajov neobmedzuje, ale ho len reguluje.
GDPR určuje jasné právne základy
Podľa nariadenia môžete spracúvať osobné údaje, ak je splnený aspoň jeden z právnych dôvodov:
- súhlas dotknutej osoby
- plnenie zmluvy
- plnenie zákonnej povinnosti
- ochrana životne dôležitých záujmov
- verejný záujem alebo výkon verejnej moci
- oprávnený záujem
Súhlas teda nie je jediný spôsob, ako legálne spracúvať údaje. V praxi sú časté prípady, kedy je spracovanie legitímne aj bez súhlasu, najmä pri uzatváraní zmlúv či plnení zákonných povinností.
2. mýtus: Na všetko potrebujem súhlas
Mnohí sa domnievajú, že na akékoľvek spracovanie údajov – napríklad pri zasielaní faktúr, vedení dochádzky, vyhotovovaní zmlúv – musia mať výslovný súhlas. Toto je významný omyl, ktorý vedie k zbytočnému zbieraniu súhlasov a zložitej dokumentácii.
Kedy súhlas nepotrebujete:
Podnikatelia často spracúvajú údaje v rámci zmluvného vzťahu alebo zo zákona (napríklad zákon o účtovníctve). GDPR v takých prípadoch súhlas nevyžaduje.
- Pri registrácii zákazníka na odber produktu
- Pri vystavení faktúry a plnení zákonných účtovných povinností
- Pri správe zamestnaneckých údajov v rámci pracovnoprávneho vzťahu
Súhlas je vhodný najmä pri marketingových činnostiach alebo tam, kde neexistuje iný právny základ.
3. mýtus: GDPR sa týka len veľkých firiem
Ďalší častý omyl je, že GDPR musí dodržiavať len veľké spoločnosti, korporácie či globálne platformy. V skutočnosti sa GDPR vzťahuje na každého, kto spracúva osobné údaje občanov EÚ – bez ohľadu na veľkosť organizácie.
GDPR sa týka aj:
- malých živnostníkov a remeselníkov
- fyzických osôb – podnikateľov
- neziskových organizácií
- školských inštitúcií
Aj keď niektoré povinnosti môžu byť zjednodušené (napr. neexistuje povinnosť viesť záznamy o spracovateľských činnostiach pri malej miere rizika), základné princípy – transparentnosť, zodpovednosť, informovanie a zabezpečenie údajov – platia pre všetkých rovnako.
4. mýtus: GDPR bráni podnikaniu
V počiatočných fázach po zavedení nariadenia zaznievali názory, že GDPR spomaľuje výkon podnikateľských aktivít či dokonca komplikuje rozvoj technológií. Tento postoj však odráža skôr obavy z neznalosti než realitu.
Ochrana údajov ako konkurenčná výhoda
Správne zavedenie ochrany údajov zvyšuje dôveru klientov a obchodných partnerov. V ére častých únikov dát a kybernetických útokov je práve dôveryhodnosť kľúčovým faktorom v rozhodovacom procese zákazníkov.
GDPR umožňuje podnikanie, pokiaľ sú naplnené princípy férovosti, minimalizácie údajov, obmedzenia uloženia, integrity a dôvernosti. Pre mnohé firmy sa stala ochrana údajov integrálnou súčasťou ich obchodnej stratégie – a nie brzdou.
5. mýtus: Zabezpečenie údajov znamená len IT ochranu
Veľa ľudí si pod ochranou údajov predstavuje iba šifrovacie systémy, antivírusy alebo brány firewall. Technická ochrana však predstavuje len časť celkovej politiky ochrany osobných údajov.
Bezpečnosť je kombináciou technických a organizačných opatrení
- Technické – šifrovanie, zálohovanie, ochrana prístupu k dátam
- Organizačné – školenia zamestnancov, interné smernice, kontrola prístupu, správna konfigurácia softvérov
Napríklad aj nezabezpečený prístup k dokumentom v kanceláriách alebo stratený USB kľúč s údajmi môže viesť k porušeniu GDPR. Preto je dôležité myslieť komplexne a neobmedzovať sa len na IT riešenia.
6. mýtus: Za porušenie GDPR sú vždy pokuty
Hoci médiá radi informujú o miliónových sankciách, realita je komplexnejšia. Sankcie sú len posledným krokom a nie automatickým riešením. Úrad pre ochranu osobných údajov má viacero nástrojov, ako riešiť nedostatky.
Možnosti dozoru:
- výzva na nápravu
- odporúčania a upozornenia
- zákaz spracovania konkrétnych údajov do nápravy
- uloženie pokuty ako krajné opatrenie
Úrad často rešpektuje mieru spolupráce, prejavený záujem o nápravu a celkový postoj k ochrane údajov. Pokuty sa ukladajú skôr v prípadoch závažných, úmyselných alebo opakovaných porušení.
Záver – GDPR nie je strašiak ale príležitosť
Po prečítaní najčastejších mýtov o GDPR a ich vyvrátení je zrejmé, že mnohé obavy sú spôsobené nepochopením alebo nesprávnym výkladom. GDPR nie je opatrením, ktoré má brzdiť podnikanie, ale reguláciou, ktorá vnáša do oblasti spracúvania osobných údajov poriadok a pravidlá. Tie pomáhajú zabezpečiť väčšiu transparentnosť, ochranu práv jednotlivcov a dôveru v digitálnej dobe.
Spracovanie osobných údajov je možné – a často nevyhnutné – pokiaľ je uskutočňované na základe jedného z legálnych dôvodov. Nie je nutné (ani vhodné) všetko riešiť prostredníctvom súhlasov. GDPR sa týka každého podnikateľa, nielen veľkých hráčov. A namiesto toho, aby sa stalo prekážkou, môže byť GDPR impulzom k zlepšeniu vnútornej organizácie, bezpečnosti dát a budovaniu dôveryhodnej značky.
Záverom možno povedať, že demystifikácia mýtov o GDPR je základným krokom k jeho efektívnemu dodržiavaniu. Ak si rozumieme pravým princípom nariadenia, môžeme GDPR implementovať účelne, jednoducho a výhodne – pre podnik, jeho klientov aj spoločnosť ako celok.
