GDPR nie je iba text v pätičke webu. Firma potrebuje vedieť, aké údaje spracúva, prečo a kto k nim má prístup.
Najčastejší omyl pri GDPR
Mnoho firiem si myslí, že GDPR majú vyriešené, ak majú na webe dokument o ochrane osobných údajov.
To je len časť problému.
GDPR nie je jeden dokument. Je to spôsob, akým firma pracuje s osobnými údajmi.
Čo by mala firma vedieť
Každá firma by mala vedieť odpovedať na jednoduché otázky:
aké osobné údaje spracúva,
na aký účel ich používa,
ako dlho ich uchováva,
kto k nim má prístup,
komu ich odovzdáva,
čo urobí, ak dôjde k incidentu.
Ak na tieto otázky nevie odpovedať nikto vo firme, dokument na webe problém nevyrieši.
Riziko nie je len pokuta
Pri GDPR sa často hovorí o pokutách. V praxi však býva väčším problémom chaos.
Napríklad bývalý zamestnanec má stále prístup do systémov. Klient požiada o výmaz údajov a nikto nevie, kde všade sa nachádzajú. Firma používa externé nástroje, ale nemá vyriešené zmluvy so sprostredkovateľmi.
Takéto situácie sú bežné.
Malá firma nepotrebuje korporátnu dokumentáciu
GDPR netreba robiť zložito. Menšia firma nepotrebuje stovky strán smerníc. Potrebuje primerané a použiteľné nastavenie.
To znamená:
jasné informačné dokumenty,
základnú internú evidenciu,
nastavené prístupy,
zmluvy s dodávateľmi,
postup pri žiadostiach dotknutých osôb,
postup pri bezpečnostnom incidente.
Formálny dokument bez praxe je slabá ochrana
Ak dokumenty nezodpovedajú realite, môžu byť skôr problém ako ochrana. Najhoršie je mať napísané niečo, čo firma v skutočnosti nerobí.
GDPR má byť nastavené tak, aby zodpovedalo skutočnému fungovaniu firmy — nie tak, aby len formálne vyzeralo splnené.
Dobré GDPR nie je o množstve dokumentov, ale o tom, či firma vie preukázať, čo s osobnými údajmi robí a prečo.