Instantní řešení nejsou pro GDPR to pravé

Instantní polévka, instantní kaše, instantní káva. Snadné, rychlé, ale vždy spíše podprůměrné řešení. Sníst nebo vypít se dají, ale žádný požitek nelze očekávat…

Univerzální řešení problému nikdy nepřinese přesně to řešení, které by si konkrétní problém zasloužil. Ani dost dobře nemůže. Je totiž univerzální. A jako takové musí reflektovat všechny možné parametry, podmínky, události, reakce, … Nereaguje na jednu konkrétní situaci. Musí zohlednit všechny alternativy. A autor navíc musí doufat, že na žádnou možnost nezapomněl.

To samozřejmě platí i pro implementaci GDPR do praxe úřadu či jiné organizace. Univerzálním řešením chybí jeden velmi důležitý parametr – nezohledňuje individuální podmínky konkrétní instituce. A de facto tak znehodnocuje samo sebe.

Zavádím-li nová pravidla a s nimi související nastavení a kontrolní mechanismy, měl bych vždy v maximální možné míře zohlednit postupy a procesy, na které jsou pracovníci dané organizace zvyklí. Jen tak je totiž možné změny provést relativně bezbolestně. Pokud se musí zavedené postupy radikálně změnit (a to často úplně zbytečně), stane se to nejhorší – ti, jichž se změny dotknou, začnou záhy hledat způsoby, jak si nová pravidla upravit a zjednodušit. A výsledkem budou polovičatá řešení, která nejen že nesplní původní očekávání, ale navíc ani nepřinesou potřebné změny.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) přináší v některých oblastech poměrně radikální změny. Přenést tyto změny do praxe nebude úplně snadné. Významnou roli přitom sehrají osvěta, školení a další aktivity zaměřené na všechny novinky týkající se konkrétních pozic. Konkrétní aktivity zohledňující stávající stav a podmínky v dané organizaci. A ty se – možná překvapivě – dosti liší. Jakákoli snaha řešit změny univerzálně proto přinese více problémů než pozitivních výsledků.

GDPR, resp. pravidla ochrany osobních údajů v rámci GDPR znamenají poměrně zásadní zásah do stávajících postupů. A to i přesto, že oproti liteře zákona č. 101/2000 Sb. (zákon o ochraně osobních údajů) neznamená až tak velký rozdíl. Problém je však v tom, že nařízení zavádí novinky, které bude nutné dodržovat. A také si vyžádají jistá opatření, která umožní automatizovat postupy např. pro plnění informačních povinností vůči subjektům údajů. Ty přitom musí vycházet ze stávajících postupů a procesů. Jinak nebudou fungovat tak dobře a hlavně tak rychle, jak je třeba.

Instantní jídlo se dá sníst, ale nechutná ani zdaleka tak dobře, jako originál. A to samé platí i u ostatních instantních řešení. Univerzálnost je někdy vhodná, jen se musí počítat s tím, že výsledek jaksi bude takový… univerzální.

Psáno pro server Služby pro města a obce.

Instantní řešení nejsou pro GDPR to pravé