Názor k článku Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR od Tomáš Neugebauer - Váš příspěvek je značně podnětný. Navíc, jako mnohé...

Váš příspěvek je značně podnětný. Navíc, jako mnohé příspěvky prokazuje neznalost požadavků GDPR. Proč je, podle vás, tak zásadní rozdíl mezi možností zneužití databází velkých společností a malých živnostníků? Snad jen v objemu dat, jinak je to stejné. Po živnostníkovi není požadováno, aby ovládal právnické vzdělání.

Na váš dotaz, proč je ochrana osobních údajů, resp. požadavky na ni, na základě GDPR taková, jaká je, vám mohu jen uvést, že byl zvolen systém, který Evropské společenství zvolilo v 80. letech pro oblast bezpečnosti práce. Je to systém postavený na principu analýz rizik. Předností tohoto systému je to, že umožňuje stanovit potřebná opatření na zcela konkrétní podmínky u jednotlivého subjektu. Tedy přesně vyhovuje konkrétní situaci v místě a času. Na druhou stranu, díky tomu, vyžaduje zvýšenou časovou a administrativní zátěž na koncový článek, neboť ten je tím, kdo stanovuje podmínky. Proto tyto podmínky nejsou a, vzhledem k principu, ani být nemohou v právním předpise. Jedná se tedy o vysoce efektivní princip, který však pro více než 90 % firem v ČR (mikrofirmy) je nevyhovující. Čím je firma větší, je pro ni výhodnější. Není to však z důvodu, že má větší kapacity, ale z důvodu, že má sofistikovanější systém řízení společnosti. Celý problém je založen na systému řízení, které u živnostníka je velice jednoduché, a to i v případě, že zaměstnává dva, tři zaměstnance.

Nevím, zda z uvedeného je vám jasné o co jde, ale to je podstata problému. Stále méně a méně právních předpisů stanovuje vámi požadované MUSÍ. Vrátím-li se k GDPR, tak ono si opravdu ukouslo obrovské sousto. Rozhodlo se stanovit pravidla pro ochranu osobních údajů téměř bez jakýchkoliv omezení (časových, dislokačních, objemu zpracovávaných dat atd.). Za této podmínky je prakticky nemožné stanovit jednotlivá konkrétní opatření. Uvědomte si, že GDPR je vytvořen tak, aby byl použitelný na Microsoft, jako i OSVČ bez zaměstnanců, jedno, zda data zpracovávají v EU nebo mimo ni.

Nemáte pravdu v tom, že státní aparát bují, neboť ÚOOÚ zůstává nezměněn (alespoň zatím má mít i nadále jen sedm inspektorů), jakož i, že český národ vymýšlí pitomosti, neboť se jedná o přímo použitelný předpis EU. ČR se na jeho tvorbě podílela, ale není to její předpis.

Co se týče vámi uváděných opatření, tak zásadní připomínka je ta, zda budou vyhovovat vašim zákazníkům. To je určující. Například neuvádíte, jak budete mít zabezpečen transport dat obsahujících osobní údaje mezi nimi a vámi. Dále, proč by zaměstnanci museli podepsat souhlas se zpracováním jejich osobních údajů. To by bylo porušení systému nastaveného GDPR (naopak nemají podepsat!). Vámi navrhovaný návrat ke klasickému zpracování dokumentů zas toho tak moc nevyřeší, neboť i na něj se vztahuje GDPR, pokud dokumenty obsahují osobní údaje! Je jednot, zda je máte uložené v počítači nebo v šanonu.