Vlákno názorů k článku Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo od Mfrd - Výjimka je definovaná jasně. Jen právnici v tom...

Výjimka je definovaná jasně. Jen právnici v tom hledají nesmysl. Bohužel jen kalí vodu, ale už neřeknou co a jak.

99% firem je do 250 zaměstnaců dle ČSU. Teoreticky 99 % firem spadá do výjimky, to však není pravda neboť mnoho z nich se např. živý zpracováním osobních údajů atp.

Mýtus uváděný v ČR je, že když mám zaměstnance tak systematicky zpracovávám osobní údaje. To však dělám i pro jediného zaměstnace a tedy výjimka do 250 zaměstnanců by pak byl nesmysl.

A proč v tom není nejasnost? Protože jednotlivé články nařízení je nutno vykládat v souvislosti s jejich recitály. Tedy pokud recitál hovoří o ulehčení firmám do 250 zaměstnanců tak, určitě nebudu počítat jako systematické zpracovávaní osobních údajů jejich personální a mzdovou agendu.

Já se bojím, že to trochu mícháte s kritérii pro pověřence pro ochranu osobních údajů. Tam se posuzuje "core" aktivita atd. Jinak ale je fakt, že aktuální výklady této povinnosti resp. vyjímek jsou dosti extenzivní včetně onoho zpracování dat zaměstnanců v rámci běžné agendy. Vyjímkou je výklad viz Praktický průvodce GDPR od JUDr. Žůrka z UOOU říkající, že tyto dva faktory je nutné chápat propojeně tj. nepříležitostné A SOUČASNĚ představující riziko. S tím ovšem moc nekoresponduje spojka "nebo" která je v té větě použitá.

Problém je ale úplně jinde tj. JAK je tato povinnost prezentována či chápána tj. jako něco "navíc" ve stylu DPO a DPIA. Přitom je to spíš jen návod jak dosáhnout "accountability" (což české znění GDPR hoodně nepřesně překládá jako "odpovědnost", přitom to znamená "schopnost prokázat"). A pokud mám nějakou databázi kontaktů (typicky CRM) tak bez nějakého rozškatulkování a popisků "co, proč, jakým právem, jak dlouho, kdo k tomu má přístup a případné předání dalšímu subjektu" stejně compliance nedosáhnu. To, že to článek 30 taxativně vyjmenovává je v podstatě podaná ruka, bohužel jak je tam zmíněna ta vyjímka (s poměrně absurdním počtem 250 zaměstnanců) tak se do ní každý zkouší vejít. Ale i když má firma jen jednoho zaměstnance tak u něj všechny v rámci principů lawfulness/fa­irness/transpa­rency a souvisejícím výkonem práv musí všechno z čl. 30 nějakým způsobem evidovat.

Ta core aktivita není míchání jablek s hruškami, ale upozornění nato, že když jsem malá firma a bavím se zpracováním OU (např. obchod s malým počtem zaměstnanců, provozující věrnostní systém), tak určitě ta výjimka na mě neplatí. Mám možnost konzultovat tyto věci i s právníkem ze SRN, kde je jejich pohled na věc již dávno přísnější. To co se v ČR bohužel děje, je dle pravidla, že v německu vynalezli byrokracii, ale v ČR jsme ji dovedli k dokonalosti. Ten " absurdní" limit 250 zaměstnanců vychází z definice EU viz. https://www.czechinvest.org/cz/Sluzby-pro-male-a-stredni-podnikatele/Chcete-dotace/OPPI/Radce/Definice-maleho-a-stredniho-podnikatele

Samozřejmě každý malý podnik může zpracování OU přehánět a dělat voloviny a pak musí vést záznamy. Pokud se však věnuje své hlavní aktivitě a nějaký manažer se místo práce nesnaží zavádět šmírovací a jiné systémy a věnuje se výrobě a obchodu a dejme tomu, že hlavně s jinými podnikajícími subjekty, pak opravdu, žádná rizika nemá a zpracování provádí jen ze zákona.

Jiný problém v Č je ten, že státní úředník někdy vymýšlí blbosti. Konkrétní příklad: Zaměstnanci zaměstnavateli podepisují PROHLÁŠENÍ poplatníka daně z příjmů fyzických osob ze závislé činnosti, zde se vyplňují údaje o dětech. A někteří úředníci některých FÚ požadují po firmách aby kopírovali rodné listy dětí k tomuto prohlášení. Což zákon nevyžaduje a úředník tedy nesmí požadovat. No a společnosti to kopírovali aby měli klid, a teď zpracovávají údaje i o osobách, které nemají mít. Např. druhý rodič či prarodič.

Můžu se zeptat jakým způsobem chcete zajistit právo na přístup subjektu údajů na přístup se VŠEMU náležitostmi a nevést žádné záznamy? Vezmu-li jako příklad úplně "obyčejnou" firmu co má nějakou CRM databázi a v ní "naházené" zákazníky, dodavatele, partnery a uchazeče o zaměstnání v řádu stovek až tisíců záznamů (za pár let činnosti nasbírá i celkem malá firma "lehce patkou").

Jinak tím "absurdní" jsem mířil na to, že si nedokážu představit firmu ani s 50 zaměstnanci, která by do toho nespadla. Fakt nevím co by musela dělat za aktivitu (možná někde v horách kácet stromy).

Tady je spíše otázka co si představujete pod tím vést záznamy o zpracování ? Tedy co je výstupem.

Co si pod tím představuje Anglický UOOU viz. https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx