Já měl na mysli praktičtěji zaměřený článek. U článků o GDPR si vždy vzpomenu na film Studujeme za školou, kde padla památná věta: "Co je platné, že umím 2 stránky o dodacím listu, když ho neumím vyplnit". Myslím, že článků o tématu bylo již dost, čtenář by jistě ocenil článek více k tématu (jak GDPR řešit). :-)
Problém je v tom, jak již sám název GDPR uvádí, že se jedná o OBECNÉ nařízení o ochraně osobních údajů. Tedy možnost psát o GDPR praktičtěji zaměřený článek je problém, neboť se nejedná o ten dodací list. Není možné zpracovat univerzální řešení, neboť u každého bude jiné.
Lze uvést, že je nutné analyzovat současný stav ochrany osobních údajů, tzn. zjistit s kterými osobními údaji se nakládá, jakým způsobem a kde; zjistit zda a proč je nutné je zpracovávat a na základě toho stanovit své povinnosti; zjistit nedostatky shody s GDPR, především ve vztahu k novým povinnostem (ustanovení pověřence atd.); stanovit si priority řešení zjištěných problémů; stanovit způsob ochrany (zabezpečení) osobních údajů (nejlépe v nějaké směrnici), provést školení osob nakládajících s osobními údaji.
Já myslím, že to prakticky jde. Příklad: Zaměstnanec přinese neschopenku, kde je rodné číslo. Co se s tím má stát? Odpověď: Převezme to odpovědná osoba a do spisovky udělá záznam, co kdo přinesl, kdo to převzal atd. Tím si začínáme hlídat "životní cyklus" a toky osobních údajů na neschopence, takže není nepořádek v tom, co se s neschopenkou děje a je přehled o tom, kdo k osobním údajům přistupoval. Samozřejmě, že dobrá spisovka by měla hlídat nejen to, co se nám s dokumenty děje, ale měla by včas upozornit i na to, že máme danou neschopenku skartovat. S tím souvisí doporučení pořídit si dobrý software pro spisovou službu. Také by šlo napsat, že se s neschopenkou zachází v souladu s koncepcí ochrany osobních údajů, kterou má firma zpracovanou. Zákon o zpracování osobních údajů se do 25.5. schválit vysoce pravděpodobně nestihne, takže v rámci přípravy jedeme podle toho, co je. Je tak třeba přeložit GDPR z právničtiny a obecných formulací do jednotlivých vnitropodnikových procesů a postupů - GDPR vyložit prakticky musí být možné.
Jde o nařízení, to se překlápět do české legislativy nemusí, to platí od 25.5. automaticky. Narozdíl od směrnice, kterou je třeba překlopit do legislativy. Vtip je v tom, že zákon o zpracování osobních údajů, který měl GDPR změkčit, se pravděpodobně schválit nestihne. Opravdu není na co čekat, začíná to platit za pár měsíců i přes to, že český zákon má zpoždění.