Je nařízení GDPR dalším z dlouhé řady malých hřebíčků do rakve vašeho podnikání, nebo jde jen o nafouknutou bublinu? Názory se i pár měsíců před datem jeho účinnosti různí, ačkoli panické hlasy jsou vždy slyšet nejhlasitěji. K druhému názoru se přiklání Zdeněk Vesecký ze serveru Podnikatel.cz, který se ve svém článku ujal úkolu vyvrátit rozšířené mínění, že GDPR je revolucí v ochraně osobních dat.
Jak Veseckému potvrdil mluvčí Úřadu pro ochranu osobních údajů, pro ty podnikatele (resp. správce dat), kteří již dnes poctivě plní povinnosti, jež jim ukládá aktuální podoba zákona o ochraně osobních údajů, by GDPR nemělo představovat problém ani důvod k novým vysokým investicím. Přesto se správcům osobních údajů doporučuje důkladně zanalyzovat současnou úroveň zabezpečení dat i právní ošetření souvisejících dokumentů, jako je např. souhlas se zpracováním osobních údajů. S tím souvisí i nutnost povinnosti vyplývající z nařízení GDPR podrobně prostudovat: ne na každého budou totiž dopadat ve stejné míře (např. některé povinnosti dopadají výhradně na tzv. riziková zpracování).
Vesecký upozorňuje, že jednou z povinností, která se s příchodem GDPR vůbec nezměnila, je povinnost mít písemně uzavřenou smlouvu o zpracování osobních údajů třetím subjektem. Tuto smlouvu dnes velká část podniků nemá a to už dnes představuje přestupek podle stávajícího zákona o ochraně osobních údajů. S příchodem GDPR se ale právě na tento dokument upře ještě větší pozornost, a tak není divu, že si řada podnikatelů povinnost disponovat jím spojuje právě s GDPR.
Pokud smlouvu o zpracování osobních údajů nemáte, jak tento rest dohnat? Zdeněk Vesecký přidává třeba tip pro uživatele služeb Google Analytics nebo MailChimp, kteří si smlouvu mohou stáhnout přímo z jejich webu. Smlouva může být vyhotovena jak papírově, tak elektronicky, a měla by obsahovat mj. předmět a dobu trvání zpracování, typ osobních údajů, kategorie subjektů údajů a práva a povinnosti správce. Povinnosti zpracovatele, které smlouva stanovuje, je možné najít ve článku 28 Obecného nařízení o ochraně osobních údajů.
Jak Vesecký podotýká, je zpracovatelská smlouva zcela zásadní –správce totiž nese odpovědnost za výběr takového zpracovatele, který umí zpracovávaná data dostatečně zabezpečit v souladu s požadavky nařízení. To nevylučuje využití zdarma dostupných cloudových nástrojů a software, i když podle Veseckého nařízení de facto nesplňují – pokud totiž jde o široce využívané poskytovatele, jako je třeba Google, toto užití by se postihovalo leda ve výjimečných a skutečně závažných okolnostech.