Najčastejšie chyby firiem pri implementácii GDPR opatrení

Peter Jurak

GDPR nariadenie

Najčastejšie chyby firiem pri implementácii GDPR opatreníGDPR už dávno nie je „novinka“. Napriek tomu sa v praxi opakuje ten istý scenár: firma má niekde v šanóne zásady spracúvania osobných údajov, na webe svieti lišta so súhlasom s cookies a tým sa téma považuje za vybavenú. Kým nepríde kontrola, incident, alebo nespokojný zamestnanec či zákazník s otázkami, na ktoré zrazu nikto nevie odpovedať.

Z pohľadu konzultanta je najväčšia chyba v tom, že sa GDPR berie ako jednorazový dokumentačný projekt. V skutočnosti je to súbor procesov, zodpovedností a dôkazov, ktoré musia fungovať každý deň. Dobrá správa je, že keď je to spravené rozumne, firmy si tým znížia riziko, zjednodušia internú byrokraciu a vedia sa o oprávnenosť spracúvania oprieť aj pri obchodných rokovaniach.

Nižšie sú najčastejšie chyby, s ktorými sa stretávam pri implementácii GDPR opatrení, vrátane toho, prečo sú problémom a ako ich napraviť prakticky a efektívne.

1) GDPR ako „papier do šuflíka“, nie ako systém

Mnohé firmy si nechajú vypracovať dokumenty a tým to končí. Chýba prepojenie na realitu: kto čo robí, kedy, podľa akého postupu, kde sa to eviduje a ako sa to kontroluje.

Prečo je to riziko: Pri kontrole alebo incidente nerozhodujú pekné formulácie. Rozhoduje, či viete preukázať, že spracúvate údaje zákonne, primerane, bezpečne a že máte zvládnuté práva dotknutých osôb.

Ako to spraviť lepšie:

  • Zaveďte jednoduché interné postupy (nie desiatky strán), ktoré opisujú reálne kroky: nábor, marketing, zákaznícka podpora, fakturácia, prístupy, archivácia.
  • Nastavte zodpovednosti (vlastník procesu, schvaľovateľ, vykonávateľ).
  • Zvoľte dôkaznú stopu, ktorá nezaťaží tím: krátke evidencie, šablóny, tick-box kontrolné zoznamy.

2) Nejasne zvolené právne základy spracúvania

Typická chyba: všetko sa „oprie“ o súhlas, lebo to znie bezpečne. Alebo sa právne základy vôbec neriešia konzistentne a v dokumentácii je chaos.

Prečo je to problém: Súhlas má prísne podmienky: musí byť dobrovoľný, informovaný, konkrétny a odvolateľný. Ak spracúvate údaje na plnenie zmluvy, zákonnú povinnosť alebo oprávnený záujem, súhlas je často nesprávna voľba a môže vám skôr uškodiť.

Ako to spraviť lepšie:

  • Pre každú činnosť spracúvania určte jeden hlavný právny základ (a prípadne doplnkový).
  • Pri oprávnenom záujme urobte posúdenie vyváženosti (LIA) aspoň v stručnej, ale obhájiteľnej forme.
  • Súhlas používajte tam, kde je naozaj potrebný (napríklad niektoré marketingové aktivity, cookies kategórie, kde to vyžaduje pravidlo súhlasu).

3) Nedotiahnutá evidencia spracovateľských činností (ROPA)

Evidencia činností spracúvania býva neúplná, zastaraná alebo je len skopírovaná šablóna, ktorá nezodpovedá tomu, čo firma reálne robí.

Prečo je to dôležité: ROPA je praktický „mapový podklad“ GDPR. Bez neho sa ťažko nastavujú zmluvy so spracovateľmi, bezpečnosť, lehoty uchovávania či vybavovanie žiadostí.

Ako to spraviť lepšie:

  • Začnite od procesov a systémov: CRM, HR, účtovníctvo, helpdesk, e-shop, dochádzka, kamerový systém.
  • Ku každej činnosti doplňte: účel, kategórie údajov, kategórie dotknutých osôb, príjemcov, prenosy mimo EÚ, lehoty uchovávania, bezpečnostné opatrenia.
  • Nastavte pravidlo aktualizácie: pri novej aplikácii, novom dodávateľovi alebo novej kampani sa ROPA vždy doplní.

4) Podcenené zmluvy so spracovateľmi (DPA) a reťazenie dodávateľov

Firmy často používajú cloudové služby, externé účtovníctvo, mzdára, IT servis, marketingovú agentúru, call centrum. A pritom chýbajú spracovateľské zmluvy alebo sú formálne, bez reálnej kontroly.

Prečo je to riziko: Ak spracovateľ urobí incident, dopad je aj na vás ako prevádzkovateľa. Navyše pri kontrole je toto jedna z prvých vecí, ktoré sa pýtajú.

Ako to spraviť lepšie:

  • Urobte zoznam dodávateľov, ktorí majú prístup k osobným údajom.
  • Skontrolujte, či máte DPA a či zodpovedá realite (účely, typy údajov, subdodávatelia, bezpečnostné požiadavky, oznamovanie incidentov).
  • Pri SaaS službách riešte aj prenosy do tretích krajín a zmluvné mechanizmy, ak sú relevantné.

5) Zlá práca s lehotami uchovávania a archiváciou

Ďalšia klasika: údaje sa uchovávajú „pre istotu“ neobmedzene dlho. Alebo sa naopak mažú bez pravidiel, čo vie uškodiť pri reklamáciách, sporoch či daňovej kontrole.

Prečo je to problém: GDPR vyžaduje minimalizáciu a obmedzenie uchovávania. Súčasne však musíte rešpektovať zákonné lehoty (účtovníctvo, mzdy, dane, BOZP a podobne).

Ako to spraviť lepšie:

  • Spravte retention plán: kategória údajov, účel, právny základ, minimálna a maximálna lehota, spôsob likvidácie.
  • Nastavte mazacie pravidlá v systémoch (kde to ide) a manuálne cykly (kde to nejde).
  • Oddeľte „archív“ od aktívnych databáz. V praxi to znižuje chaos aj náklady.

6) Nesprávne nastavené práva dotknutých osôb (DSAR)

Firmy nevedia, ako vybaviť žiadosť o prístup, opravu, výmaz, obmedzenie spracúvania, prenosnosť alebo námietku. Často chýba postup, identifikácia žiadateľa a evidencia.

Prečo je to riziko: Lehoty sú krátke, očakávania vysoké a ak žiadosť nezvládnete, dotknutá osoba sa vie obrátiť na dozorný orgán. Navyše pri zlom procese vznikajú zbytočné interné prestoje.

Ako to spraviť lepšie:

  • Zaveďte jeden kontaktný bod a interný postup: kto prijme žiadosť, kto overí identitu, kto vyhľadá údaje, kto schváli odpoveď.
  • Pripravte šablóny odpovedí a jednoduchý register žiadostí.
  • Natrénujte tím na 2 až 3 najčastejšie scenáre (prístup, výmaz, námietka marketingu).

7) Slabé technické a organizačné bezpečnostné opatrenia

Nie je to len o antivíruse. Časté nedostatky sú: zdieľané účty, slabé heslá, chýbajúce MFA, nešifrované notebooky, voľné prístupy do zložiek, neaktuálne systémy, a nejasné pravidlá pre prácu z domu.

Prečo je to problém: Väčšina incidentov vzniká kombináciou ľudskej chyby a slabého nastavenia. GDPR pritom očakáva primerané opatrenia vzhľadom na riziko.

Ako to spraviť lepšie:

  • Zaviesť MFA pre emaily, CRM, administrácie a vzdialený prístup.
  • Minimalizovať prístupy podľa rolí, pravidelne ich revidovať.
  • Šifrovanie diskov notebookov, bezpečné zá

8) Incidenty sa riešia ad hoc, bez plánu a bez dôkazov

Keď sa stane únik, phishing, zlá príloha poslaná nesprávnemu príjemcovi, často sa to „zametie“, alebo sa rieši chaoticky.

Prečo je to riziko: Niektoré incidenty podliehajú oznamovacej povinnosti (orgánu aj dotknutým osobám). Bez evidencie neviete preukázať, že ste situáciu vyhodnotili správne a včas.

Ako to spraviť lepšie:

  • Zaviesť incident management postup: identifikácia, izolácia, posúdenie rizika, rozhodnutie o oznamovaní, nápravné opatrenia.
  • Viesť register incidentov aj pri „malých“ udalostiach. Pomáha to pri zlepšovaní procesov.
  • Dajte zamestnancom jasné pravidlo: radšej nahlásiť hneď, než sa tváriť, že sa nič nestalo.

9) Podcenené školenia a kultúra práce s údajmi

GDPR školenie raz za dva roky ako povinná jazda často nič nezmení. Zamestnanci potom nepoznajú riziká a robia rozhodnutia „podľa pocitu“.

Prečo je to problém: Ľudia sú prvá línia obrany. Aj výborná dokumentácia je zbytočná, ak tím nevie, čo je osobný údaj, čo je citlivá situácia a kedy sa treba spýtať.

Ako to spraviť lepšie:

  • Krátke, praktické školenia podľa rolí: HR, obchod, podpora, účtovníctvo, IT.
  • Mikroškolenia 10 až 15 minút (phishing, práca s prílohami, zdieľanie prístupov).
  • Jednostranové „čo robiť a nerobiť“ pravidlá pri práci s údajmi.

Tu sa chyby opakujú: predvolené marketingové cookies, nesprávne kategórie, chýbajúce logy súhlasov, neaktuálny zoznam nástrojov, alebo sa súhlas mieša s informovaním.

Prečo je to riziko: Okrem GDPR vstupujú do hry aj pravidlá súkromia v elektronických komunikáciách. Nesprávne nastavenie býva viditeľné „na prvý klik“ a je ľahko napadnuteľné.

Ako to spraviť lepšie:

  • Urobte inventúru tagov: analytika, reklama, heatmapy, chat widgety, A/B testovanie.
  • Nastavte režim pred súhlasom (ak je potrebný) a evidenciu súhlasov.
  • Priebežne kontrolujte, či web po update nenasadil nové trackery.

11) DPIA sa ignoruje aj tam, kde by mala byť

Posúdenie vplyvu na ochranu údajov (DPIA) sa často vôbec nerobí. Alebo sa spraví len „naoko“, bez reálneho vyhodnotenia rizík.

Kedy býva problém: Najmä pri systematickom monitorovaní, rozsiahlych databázach, profilovaní, kamerových systémoch, biometrike, alebo pri nových technológiách.

Ako to spraviť lepšie:

  • Nastavte interné pravidlo: pri novom projekte s osobnými údajmi prebehne rýchly screening rizík.
  • Ak screening vyjde rizikovo, spraví sa DPIA s konkrétnymi opatreniami, nie ako formálna príloha.
  • Výsledky DPIA prepojte na IT a procesné zmeny, inak to nemá zmysel.

12) Úloha zodpovednej osoby (DPO) sa chápe nesprávne

Buď firma DPO vymenuje len „na papieri“, alebo si myslí, že DPO preberá zodpovednosť za spracúvanie. Ani jedno nie je správne.

Prečo je to dôležité: Zodpovednosť za súlad je na prevádzkovateľovi. DPO má byť nezávislá poradná a kontrolná rola, nie „vykonávateľ všetkého“. Ak je DPO v konflikte záujmov, je to problém.

Ako to spraviť lepšie:

  • Jasne definujte, či DPO potrebujete a prečo.
  • Nastavte spoluprácu: reporting, audity, pripomienkovanie projektov, školenia.
  • Oddelte rozhodovanie o účeloch a prostriedkoch spracúvania od DPO roly.

13) Chýba prepojenie GDPR s internou byrokraciou a riadením firmy

GDPR sa často vedie mimo bežného riadenia. V dôsledku toho vzniká zbytočná administratíva: duplicity, rôzne verzie dokumentov, nejasné schvaľovanie a chaos pri zmenách.

Ako to spraviť výhodne pre firmu:

  • Prepojte GDPR s onboardingom zamestnancov, IT service managementom a nákupom dodávateľov.
  • Používajte jednoduché formuláre: nový systém, nová marketingová aktivita, nový dodávateľ, nová databáza.
  • Centralizujte dokumenty a evidencie tak, aby sa dali rýchlo preukázať. V tomto prípade je aktualizácia dokumentov podľa GDPR kľúčová pre efektívne riadenie.

Praktický kontrolný zoznam: čo si firmy vedia overiť hneď teraz

Ak si chcete spraviť rýchlu diagnostiku, toto je minimum, ktoré by malo dávať zmysel aj bez veľkého projektu:

  1. Máme aktuálnu evidenciu spracovateľských činností a vieme ju vysvetliť?
  2. Vieme ku každej činnosti jasne povedať právny základ a lehotu uchovávania?
  3. Máme zmluvy so spracovateľmi a prehľad subdodávateľov?
  4. Máme nastavený postup na žiadosti dotknutých osôb a vieme dodržať lehoty?
  5. Máme incident postup, register incidentov a vieme, kto rozhoduje o oznamovaní?
  6. Sú prístupy do systémov riadené podľa rolí, je zapnuté MFA a riešime šifrovanie?
  7. Sú zamestnanci školení prakticky podľa role a nie iba formálne?
  8. Je webový tracking nastavený korektne a evidujeme súhlasy?

Ak na viac bodov odpoviete „nie“ alebo „neviem“, je to presne ten moment, kedy sa oplatí upratať GDPR tak, aby bolo obhájiteľné, ale zároveň jednoduché na prevádzku.

Záver: Menej formálnych papierov, viac funkčných procesov

Najčastejšie chyby pri implementácii GDPR nie sú o tom, že by firmy nechceli byť v súlade. Skôr chýba praktické nastavenie: jasné právne základy, zrozumiteľné postupy, dobré zmluvy s dodávateľmi, primeraná bezpečnosť a schopnosť preukázať, že to funguje.

Keď sa GDPR uchopí profesionálne, je to výhodné pre firmy. Zníži sa riziko pokút a sporov, urýchlia sa interné schvaľovania, zjednoduší sa práca s dodávateľmi a v kritických situáciách máte v rukách dôkazy, nie len dobrú vôľu.

Ak chcete, aby GDPR prestalo byť strašiakom a stalo sa normálnou súčasťou riadenia, odporúčam začať inventúrou procesov a systémov. Potom sa dá krok za krokom nastaviť compliance tak, aby ste nemali problémy s legislatívou a zároveň si reálne uľahčili byrokraciu.

Často kladené otázky

Čo je najčastejšou chybou firiem pri implementácii GDPR?

Najčastejšou chybou je, že firmy berú GDPR len ako jednorazový dokumentačný projekt – vypracujú si dokumenty a tým to považujú za vybavené. V skutočnosti však GDPR predstavuje súbor procesov, zodpovedností a dôkazov, ktoré musia fungovať každý deň.

Prečo nestačí mať GDPR len ako papier v šuflíku?

Mať GDPR len ako papier znamená, že chýba prepojenie na reálne procesy a zodpovednosti vo firme. Pri kontrole alebo incidente nerozhodujú pekné formulácie, ale schopnosť preukázať zákonnosť, primeranosť a bezpečnosť spracúvania osobných údajov.

Ako správne nastaviť právne základy spracúvania osobných údajov podľa GDPR?

Pre každú činnosť spracúvania treba určiť jeden hlavný právny základ (napríklad plnenie zmluvy, zákonná povinnosť alebo oprávnený záujem) a prípadne doplnkový. Súhlas by sa mal používať iba tam, kde je naozaj potrebný a musí byť dobrovoľný, informovaný, konkrétny a odvolateľný.

Čo je evidencia činností spracúvania osobných údajov (ROPA) a prečo je dôležitá?

ROPA je praktický ‚mapový podklad‘ GDPR, ktorý obsahuje kompletný zoznam všetkých spracovateľských činností vo firme. Je dôležitá pre správne nastavenie zmlúv so spracovateľmi, zabezpečenie bezpečnosti údajov, lehoty uchovávania či vybavovanie žiadostí dotknutých osôb.

Ako môžu firmy efektívne zaviesť interné postupy podľa GDPR?

Firmy by mali zaviesť jednoduché interné postupy opisujúce reálne kroky v rôznych oblastiach ako nábor, marketing či fakturácia. Je dôležité nastaviť jasné zodpovednosti (vlastník procesu, schvaľovateľ, vykonávateľ) a použiť dôkaznú stopu – krátke evidencie, šablóny alebo kontrolné zoznamy – ktoré nezaťažia tím.

Aké výhody prináša správna implementácia GDPR pre firmu?

Správna implementácia GDPR pomáha firme znížiť riziko sankcií, zjednodušiť internú byrokraciu a zároveň posilniť dôveru zákazníkov či obchodných partnerov tým, že vie preukázať oprávnenosť spracúvania osobných údajov aj pri obchodných rokovaniach.

GDPR Pre Rok 2026: Kľúčové Zmeny a Prípravy Pre Podniky

Prenos osobných údajov z EÚ do tretích krajín podľa GDPR

nariadeniegdpr

Naša ponuka pomoci s nariadením GDPR je šitá na mieru, či už ide o malé start-upy alebo etablované korporácie.

Služby

Zodpovedná osoba

Školenie poverených osôb

Aktualizácia dokumentov

Nové dokumenty GDPR

24/7 podpora

Zdroje

BOZPRO.sk

GDPRO.sk

BOZPok.sk

GDPRvzor.sk

Kontakt

WebPomoc s.r.o.

Znievska 32
Bratislava 851 06
IČO: 46 465 375

E-mail: info@nariadeniegdpr.eu
Telefón: 0919-888-880