GPDR a doprovodná úprava už ukázaly, jak moc si stát váží práv občanů a jak zákonodárci chápou smysl státních dozorových orgánů. Pro firmy je ale podstatné, že zákon musí plnit denně, s každou smlouvu a každým produktem.
S GDPR už máme máme zkušenost jak z opravdu velkých organizací, tak z malých firem. Hlavní poznatky jsou:
- Velkým problémem jsou dodavatelé IT systémů, kteří si vykládají nařizení příliš volně. Často sami sebe definují jako zpracovatele, i když jím dle zákona nejsou. Chtějí tím argumentovat svůj přístup k údajům, protože mít přístup je pohodlnější, než jej nemít. A odpovědnost za problémy nechávají na vlastníkovi dat, tj. uživateli jejich systému.
- Ve výkladu a opatrnosti stále zůstávají mezi stejnými organizacemi veliké rozdíly. (Stačí porovnat např. přístupy různých škol.) Stále na mnoho otázek není jednotný právní názor a vyjádření ÚOOÚ je příliš málo. Největší rozpory panují v otázkách.
- Co je to oprávněný zájem
- Kdy je dodavatel IS zpracovatelem
- Jaké fotky se smí zveřejnit na pozvánce na akci, nebo na webu
- Na co skutečně organizace potřebuje souhlas
- GDPR v praxi mnoho nezměnilo, firmy, které ve velkém data sbíraly, to dělají i nadále, protože oprávněné zájmy a souhlasy jsou napsané tak, že většinu služeb nelze bez souhlasu používat. A žádný úřad nemůže mít kapacitu, aby se s tím pral.
- Nelze než i podotknout, že česká implementace v podobě zákona č. 110/2019 Sb., který hlavní zpracovatele osobních údajů – státní správu – generálně pardonoval, hodil do celé logiky vidle. I když zákon zůstal pro komerční svět platný, fakt, že hlavní zpracovatelé jsou nad zákonem, pochopitelně nejenom výrazně snižuje smysl GDPR nařízení, ale velmi demotivuje i ty, kteří z postihu vyjmuti nejsou.
- Když se nařízení a český zákon vezmou vážně a jejich aplikace se dělá s rozmyslem, není plnění velký problém.
- K ochrané údajů skutečně ve většině firem GDPR přispělo, a to nejvíce údajů o zaměstancích.
Jakkoli jsou zkušenosti s GDPR rozporuplné, zákon se zabydlel, a většina organizací jej bere vážně. I nyní firmám a organizacím pomáháme, protože s každou změnou procesů, služeb, nebo IT systému je plnění GDPR legislativy nutné ošetřit.