Názor k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo od Petr - Já se bojím, že to trochu mícháte s...
-
Petr (neregistrovaný)
Já se bojím, že to trochu mícháte s kritérii pro pověřence pro ochranu osobních údajů. Tam se posuzuje "core" aktivita atd. Jinak ale je fakt, že aktuální výklady této povinnosti resp. vyjímek jsou dosti extenzivní včetně onoho zpracování dat zaměstnanců v rámci běžné agendy. Vyjímkou je výklad viz Praktický průvodce GDPR od JUDr. Žůrka z UOOU říkající, že tyto dva faktory je nutné chápat propojeně tj. nepříležitostné A SOUČASNĚ představující riziko. S tím ovšem moc nekoresponduje spojka "nebo" která je v té větě použitá.
Problém je ale úplně jinde tj. JAK je tato povinnost prezentována či chápána tj. jako něco "navíc" ve stylu DPO a DPIA. Přitom je to spíš jen návod jak dosáhnout "accountability" (což české znění GDPR hoodně nepřesně překládá jako "odpovědnost", přitom to znamená "schopnost prokázat"). A pokud mám nějakou databázi kontaktů (typicky CRM) tak bez nějakého rozškatulkování a popisků "co, proč, jakým právem, jak dlouho, kdo k tomu má přístup a případné předání dalšímu subjektu" stejně compliance nedosáhnu. To, že to článek 30 taxativně vyjmenovává je v podstatě podaná ruka, bohužel jak je tam zmíněna ta vyjímka (s poměrně absurdním počtem 250 zaměstnanců) tak se do ní každý zkouší vejít. Ale i když má firma jen jednoho zaměstnance tak u něj všechny v rámci principů lawfulness/fairness/transparency a souvisejícím výkonem práv musí všechno z čl. 30 nějakým způsobem evidovat.
ČLÁNKY DO MAILU