Nariadenie GDPR platí už nejakú dobu a ešte stále sa nájdu mnohí, ktorým táto problematika nie je jasná. Nová ochrana osobných údajov so sebou priniesla zopár noviniek, ale aj množstvo nejasností a nezmyslom, ktorým ľudia veria. Pozrime sa na zopár z nich.
Špeciálna oblasť pri spracovaní osobných údajov je zdravotníctvo. Tu sa objavila nejasnosť, že sestrička nemôže pacienta volať na vyšetrenie jeho celým meno. V tomto prípade ju však nebude nikto pokutovať a dôraz sa kladie na to, aby pred ostatnými v čakárni nehovorila o diagnóze daného pacienta, čo sa v súčasnosti bežne stáva.
GDPR žiadne takéto zákazy nedáva. Ide o to aby údaje fyzických osôb, teda aj detí, neboli nikde zverejňované a zneužívané. Každá škola by mala mať vytvorený dokument, aby činnosti, ktoré robí boli v súlade s týmto zákonom. Táto prezentácia v priestoroch školy s uvedením mena dieťaťa patrí do oprávneného záujmu školy. Jediná výnimka je pri zverejňovaní fotografií a videí, na ktoré musia dať súhlas rodiča dieťaťa.
Jedným z nových nástrojov na ochranu osobných údajov je vymenovanie zodpovednej osoby v jednotlivých prevádzkach. Prevádzkovateľ a sprostredkovateľ určujú zodpovednú osobu v prípade, že:
Nie každá spoložnosť a organizácia musí mať zodpovednú osobu.
GDPR neukladá povinnosť používať pre zabezpečenie spracovania osobných údajov nejaké konkrétne opatrenia. Nariadenie sa odvoláva na stav techniky, náklady na zavedenie a organizačné opatrenia, ktoré implementácia GDPR prinesie v jednotlivých firmách. To znamená, že GDPR nijako neurčuje aké opatrenia a aké techniky majú spoločnosti zvoliť na zabezpečenie osobných údajov. Šifrovanie je uvedené len ako jedno z vhodných opatrení.
Pri implementácií GDPR vo firmách je vhodné využiť projektové riadenie. Ide o spoločnú úlohu celej firmy cez prevádzku, obchod, financie, právne služby až k informačnej bezpečnosti jednotlivca. Takúto úlohu by jeden zamestnanec nezvládol. Je preto lepšie nasadiť tím zamestnancov, ktorí budú zodpovední za implementáciu GDPR na jednotlivých pracoviskách.
Ak o to zákazník alebo užívateľ požiada, firma je povinná odstrániť všetky jeho osobné údaje, ku ktorým udelil súhlas. To však ale neplatí pre údaje, ktoré sú firmy podľa platných zákonov povinné uchovávať. A to sú napríklad účely archivácie, reklamačné nariadenia a údaje pre účtovníctvo.
Medzi osobné údaje patria meno, priezvisko, pohlavie, vek, dátum narodenia, po novom aj IP adresa, fotografia a videozáznam, e-mailová adresa, telefónne číslo a rôzne iné identifikačné údaje vydané a evidované v krajine.
Niektorí menší podnikatelia si myslia, že sa ich GDPR netýka. GDPR sa vzťahuje na všetky podniky a organizácie, ktoré spracúvajú osobné údaje. Na veľkosti spoločnosti teda nezáleží.
Ak má firma vlastnú databázu kontaktov, do ktorej sa jej zákazníci slobodne prihlásili a udelili na to súhlas, v tomto prípade môže takúto databázu naďalej používať. Pokiaľ však pri tejto databáze nie je súhlas od jednotlivých zákazníkov, je nutné získať nový súhlas.
Cieľom nového nariadenia GDPR bolo priniesť ľuďom lepšiu ochranu ich osobných údajov. V súčasnosti si spoločnosť čoraz viac uvedomuje svoje práva pri ochrane osobných údajov. Spoločnosti, ktoré preukážu svoj súlad s týmto nariadením chcú chrániť klientske údaje a tým môžu získať konkurenčnú výhodu. Implementáciou GDPR sa zníži objem spracovaných údajov a hlavne sa zníži ich zneužívanie.