GDPR - zamotávate sa v pavučine?

Autor: Miro Veselý | 7.5.2018 o 9:41 | Karma článku: 4,91 | Prečítané:  1833x

Termín 25. 5. 2018 sa blíži a ako sledujem rôzne diskusné skupiny ohľadne tvorby webov, čoraz viac sa debatuje o GDPR. No a sú to debaty vzrušené. Buď sú nekvalifikované, ​alebo sú prekvalifikované. 

Ja sám som tiež chcel mať po tejto stránke všetko tip-top v poriadku. Nielen na svojich weboch, ale aj na tých, čo spravujem pre zákazníkov. Preto som prešiel klasickou cestou. Čítanie, konzultácie s právnikmi a následná panika, že to predsa nie je možné zvládnuť.

Rozhodol som sa prečítať si nariadenie GDPR

Keď sa ním musím riadiť, mal by som vedieť, čo tam stojí. 

Nariadenie GDPR nikde neuvádza, čo presne musíte spraviť. Právnici vám vysvetlia čo všetko potrebujete. Každý to vysvetlí a odporučí trocha inak. Práve tu vzniká chyba. 

Ak chcete ošetriť veci dokonale a tip top, práve ste stúpili do pasce. Dokonale sa to nedá. Dokonalosť neexistuje v ničom. Akonáhle začnete rokovať s právnikom, rokujete s profíkom. Profesionál musí dodržiavať etické princípy a tie mu velia zaistiť klienta dokonale. Spraviť všetko tak dobre, ako sa len dá. Najlepšie. A šup - ste zas v pasci dokonalosti. Odrazu už neošetrujete len osobné údaje, ale aj menšie nepravdepodobné riziká. Zrazu zaisťujete dokumentáciu určenú na dokázanie, že ste inú dokumentáciu vypracovali. 

Našťastie nariadenie od nás nechce, aby sme dáta chránili dokonale - stačí primerane. Primerane riziku, primeranie možnostiam. 

Je to ako pavučina do ktorej sa chytíte. Najskôr jedným prstom. Potom druhá ruka. Potom sa zrazu nemôžete hýbať. To už prichádza práv...úk a vysaje vás dosucha. Takže:

  • Skôr, než zaplatíte za nejaký brutálne predražený infoprodukt...
  • Skôr než kúpite lákavo zabalenú sadu vzorových dokumentov...
  • Skôr, než zaplatíte za sadu špičkových kravaťákov...

Prečítajte si ono nariadenie GDPR. 

  • Skúsený živnostník vie, čo má spraviť, aby chránil dáta svojich klientov a zákazníkov. Tak ich ochráňte a bez zbytočných právnických trikov (zložité vety, malé písmenká) to svojím zákazníkom zrozumiteľne vysvetlite. To je GDPR. Aby osobné údaje boli v poriadku. Pre prípad kontroly o tomto procese spracujte dokumentáciu.
  • Ak máte firmu s viacerými zamestnancami, asi je situácia zložitejšia. Tomu ale zodpovedá aj väčší rozpočet. Tam už sa bez právnika a analytika asi nezaobídete. 

Samotné nariadenie GDPR som podrobil analýze

Je celkom jasné, že nikomu sa to nechce čítať. Prečo?

  • Počet viet: 2 089.
  • Počet slov: 46 895.
  • Rozsah 185 strán textu.

Po slovensky: chcete si nariadenie GDPR prečítať? Pripravte si na to asi 6 hodín času. Toľko zhruba potrvá prečítať 185 stranovú odbornú knihu s na pochopenie pomerne ťažkým textom.

  1. Úvod je rozvláčny s mnohopočetným opkovaním opakovaného.
  2. V strede sú podstatné veci. Stačí ak preletíte to, čo sa týka vás - pokiaľ nemáte zamestnancov tak preskakujete veľa oblastí. Alebo ak nepracujete s dátami v cloude. Alebo nerobíte s genetickými informáciami či vzorkami DNA tak celé pasáže preskakujete...
  3. V závere sa nariadenie venuje dozorným orgánom a rôznym nadnárodným záležitostiam, zas nič, čo treba čítať povinne.

Čo je horšie, text je napísaný zle čitateľne. Keby som písal články s takými parametrami, nikto by ich nečítal (mám to overené!). Takéto sú výsledky ak si GDPR prefúknete rýchlou analýzou:

  • Priemerný počet slov vo vete: 22.4 (optimum okolo 6 až 15 slov). Inými slovami nekonečne dlhé vety. To sa zle číta a vyžaduje to sčítaného čitateľa. 
  • Gunning Fog Index: 21.4 (8 až 12 je OK, menej je lepšie). To je úroveň vedeckého textu. Dlhé vety, dlhé slová, málo štruktúry. 
  • Automated Readability Index: 14.1 (8 až 12 je OK, menej je lepšie)

Takže čítanie je nevďačné. Zoznam najčastejších fráz - koľkokrát sa v texte GDPR opakujú niektoré slová alebo frázy?

FrázaPočet opakovaní
alebo1219
údajov622
osobných427
osobných údajov419
článku322
podľa297
spracúvanie248
tohto221
orgán218
dozorný orgán188
osobné údaje161

Ak sa slovo "alebo" opakuje tak často, viete si domyslieť, ako jednoznačný bude asi ten text. 

Najviac sa zvyčajne bojíme toho, čo nepoznáme. Prečítať si GDPR je zúfalo nepohodlné a pre menej sčítaného občana aj náročné. V texte nájdete aj perly typu:

Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené, by sa mal spolu s týmito podnikmi považovať za skupinu podnikov.

Jednoduché, stručné a zrozumiteľné, však?

Jednoduchosť, stručnosť a zrozumiteľnosť sa v GDPR opakovane požaduje ako povinná úloha pre nás, čo sa tým máme riadiť. Citát z GDPR:

(58) Zásada transparentnosti si vyžaduje, aby všetky informácie určené verejnosti alebo dotknutej osobe boli stručné, ľahko prístupné a ľahko pochopiteľné, formulované jasne a jednoducho, a navyše ak je to vhodné, ľahko zrakovo vnímateľné. 

Prečo teda samotné nariadenie GDPR nedodržiava svoje vlastné zásady? Nie je to informácia určená verejnosti?

  • Nariadenie GDPR nie je stručné - 180 strán odborného textu je čítanie na 5 až 6 hodín. Ten zabitý čas života vám nikto už nevráti. 
  • Nariadenie GDPR nie je ľahko prístupné. 180 strán odborného textu nie je ľahko prístupná informácia. 
  • Nariadenie GDPR nie je ľahko pochopiteľné - právnické formulácie, dlhé vety a slová. Kopa odkazov na ďalšiu legislatívu. 
  • Nariadenie GDPR nie je formulované jasne a jednoducho - sú v ňom zmiešané požiadavky pre všetky typy podnikov. Od živnostníka po nadnárodné korporácie. Formuluje mnoho požiadaviek, ale neprináša jednoduché a konkrétne riešenie typu "spravte toto aby to bolo v poriadku".

Nariadenie GDPR teda umožňuje mnohoznačný výklad. Prísnosť je na iných miestach relativizovaná zásadou primeranosti. To vytvára priestor pre chaos a manipuláciu. Inými slovami:

  • Ak vás úrad bude chcieť pokutovať, dôvod sa nájde. 
  • Ak vás právnik bude chcieť obrať, ľahko vymyslí ďalších 5 dokumentov, ktoré "musí" pripraviť

Čo by teda živnostník bez zamestnancov mal aspoň v duchu spraviť, aby sa dopracoval k nejakým posunom vpred, k súladu s GDPR?

  • analýzu všetkých procesov vo firme kde všade sa pracuje s osobnými údajmi
  • technickú analýzu webu, informačných systémov
  • zazmluvnenie všetkých partnerov, ktorí s osobnými údajmi prichádzajú do styku (účtovníci, právnici, konzultanti, dodávatelia softvérových či aplikačných riešení...)
  • úpravy procesov (zvyčajne treba programátora na úpravy na weboch, pridať všade informáciu o tom, ako spracovávate osobné údaje a tam kde treba aj políčka na zaškrtnutie so súhlasom)
  • niekedy doprogramovanie funkcionalít na webe aby si používateľ mohol prehliadnuť akú jeho osobné údaje máte, upravovať ich, alebo si ich stiahnuť k sebe a zmazať u vás
  • môže byť potrebné dokúpenie technologických doplnkov pre zvýšenie bezpečnosti dát, ak teraz nie sú PRIMERANE zabezpečené (primerane stačí, netreba dokonale) 
  • dokumentáciu predošlých krokov (ulahodí oku prípadného kontrolóra)
  • dokumentáciu následných opatrení s nastavením pravidelnej aktualizácie ako je periodické mazanie dát, ktoré už po určitom čase nepotrebujete
  • korektné informovanie zákazníkov o vyššieuvedených veciach ľudskou a zrozumiteľnou rečou 

Jednoducho ak to vezmete z gruntu, čakajú vás desiatky až stovky človekohodín práce. 

Každý z uvedených bodov, ktoré som len tak od boku vystrelil totiž môžu pri realizačnom pláne vygenerovať ďalšie a ďalšie požiadavky na papiere, dokumenty, zmluvy, úpravy softvéru a procesov, kontroly, zamestnancov ktorí dohliadajú... A to následne exponenciálne vytvorí ďalšie zmluvy a potreby. 

  1. Investícia okolo 300 až 500 eur by bola úvod, ktorý vyrieši aspoň zdanie, že to je vyriešené. Aby weby aspoň vyzerali, že je to OK.
  2. Takých 2000 eur by mohlo stačiť na vytvorenie primeranej právnej analýzy, nastavenia procesov a následnej dokumentácie. Potom možno mesačne platiť nejakému správcovi, ktorý by situáciu stále kontroloval a monitoroval.

To by živnostník mohol celý svoj príjem odovzdať právnikom a programátorom, poisťovniam a zvyšok daňovému úradu. 

Takže nesnažte sa splniť požiadavky dokonale. Spravte to primerane, ako to stojí v samotnom nariadení.

Ochrániť dáta primerane nie je až tak vážny problém.Problém je dokázať, že ste to spravili. 

Páčil sa Vám tento článok? Pridajte si blogera medzi obľúbených a my Vám pošleme email keď napíše ďalší článok
Pridaj k obľúbeným

Hlavné správy

DOMOV

Kaliňákovi asistuje neznáma právnička. Tají, v akej štátnej inštitúcii pracovala

Bývalý minister vnútra za Smer Robert Kaliňák si už vybral poslaneckú asistentku. Jeho šéf Fico zatiaľ nemá nikoho.


Už ste čítali?