Tomáš Hlavsa, manažer oddělení pro kybernetickou bezpečnost, Atos
V praxi jsme zaznamenali nejvíce dotazů na nápravné opatření pseudonymizace. Organizace zjišťují, jak by mohly osobní údaje ve svém držení pseudonymizovat, kdy po prvotních průzkumech zjišťují, že je to natolik technicky i procesně náročné, že raději volí jiná řešení.
Nik Černomorský, ředitel týmu poradenství v oblasti rizik, Deloitte
Obecně chybí návod na stanovení výše pokut. Pracovní skupina se sice snažila vyprodukovat různé materiály, jako je metodika provádění DPIA, ale všeobecně pořád chybí například prováděcí vyhláška, to znamená, že každá země to bude dělat po svém. Dokonce i formáty reportu budou pro každou zemi jiné, což může být problematické v případě mezinárodních sporů.
Miroslav Vysušil, senior manager oddělení podnikového poradenství a řízení rizik, EY
Nejasnosti v praxi vznikají například při povinném informování třetích osob při zpracování údajů, které však nebyly společnosti poskytnuty přímo touto osobou. Jedná se například o údaje jiných osob uvedených na daňovém přiznání nebo v pojišťovnictví při likvidaci pojistné události. GDPR povoluje pouze minimum výjimek a konzervativní přímé plnění informační povinnosti ve vztahu ke všem třetím osobám se častokrát stává pro společnosti velmi obtížně splnitelným. Tudíž společnosti stojí před volbou, zda chtějí přenést povinnost informování například na svého zákazníka, nebo si zvolit rizikovější cestu a od informování odstoupit pro nadměrnou náročnost.
Martin Laur, ředitel úseku právního a compliance a člen rozšířeného představenstva, Kooperativa pojišťovna, Vienna Insurance Group
Největší nejasnosti podle mého názoru plynou z obecnosti nařízení, však se také oficiálně jmenuje "Obecné nařízení". Je tak velmi obtížné požadavkům tvůrců porozumět a správně jim dostát, zejména když nad vámi visí hrozba obrovských pokut. V pojišťovnictví se také potýkáme s tím, že GDPR je šito na míru spíše internetovým vyhledávačům a provozovatelům sociálních sítí. Na náš byznys ale "nesedí", zejména v oblasti zdravotních údajů.
Eva Škorničková, konzultantka pro ochranu osobních údajů a IT bezpečnost
GDPR obsahuje řadu velmi obecných ustanovení, která vyžadují další upřesnění či výklad, tak nelze očekávat do data účinnosti nařízení, že budou veškeré nejasnosti objasněny, ale až rozhodovací praxe dozorových úřadů a soudů bude výklad těchto ustanovení upřesňovat.
