Platnosť nového nariadenia, ktoré firmám prikazuje, ako majú narábať s osobnými údajmi, sa nezadržateľne blíži. Pre mnoho firiem je nočnou morou, aj keď práve na Slovensku doposiaľ platil zákon o ochrane osobných údajov, ktorý bol prísnejší ako predpisy v iných členských štátoch EÚ. “Doteraz u nás platil pomerne formálny a administratívny režim ochrany osobných údajov, ktorý vyžadoval prijatie väčšieho množstva dokumentov a písomností ako by bolo na prvý pohľad zdravé,” upresnil pre Pravdu, Jakub Berthoty z advokátskej kancelárie Dagital Legal. Európske nariadenie zvané GDPR (skr. z angl. General Data Protection Regulation) kladie dôraz na to, aby všetky firmy (a nie len tie európske) vedeli aké osobné údaje spracovávajú a preukázali, že tak robia len v nevyhnutnom rozsahu. “Na Slovensku sme si napríklad zvykli robiť bezpečnostné projekty. Proti kvalitnému bezpečnostnému projektu nikdy nemáme žiadne výhrady, avšak problém nastáva, ak chce klient rovnakým spôsobom ďalej pristupovať k niektorým novým povinnostiam podľa GDPR.“
GDPR sa dotkne všetkých bez rozdielu
Hneď v úvode je potrebné upozorniť všetkých, že GDPR nie je len nafúknutou bublinou. Nariadenie je naozaj svojim spôsobom a rozsahom unikátne a vo svete nemá obdobu. Nie je tu na to, aby firmy utopilo v papieroch a zruinovalo na pokutách. Je len akýmsi výstražným prstom a usmernením, ktoré ich má presvedčiť o tom, že by mali oveľa viac myslieť na ochranu súkromia fyzických osôb. GDPR má formu nariadenia, nie je preto potrebné, aby si každá z členských krajín prispôsobovala svoju vlastnú legislatívu. Nariadenie sa začne aplikovať od 25. mája 2018, pričom firmy sa o ňom mohli oboznámiť už v roku 2016, kedy bolo Európskou komisiou schválené. Prvý návrh Nariadenia bol zverejnený dokonca už v roku 2012, stretol sa však vtedy s minimálnou odozvou širšej verejnosti.
O GDPR koluje internetom množstvo informácií. Žiadny článok nezabudne spomenúť rekordný strop pokút, ktoré hrozia za porušenie GDPR. Úrad na ochranu osobných údajov môže od 25. mája 2018 uložiť sankcie až do výšky 4 percent z celosvetového obratu spoločnosti alebo 20 miliónov eur, podľa toho čo je vyššie. Je však výška pokút naozaj najväčším strašiakom? „Nemyslím si to. Všetci by sme boli veľmi prekvapení, ak by od mája na Slovensku začali padať miliónové pokuty. Úrad mohol už dávno ukladať státisícové pokuty a nerobil to. Motiváciu klientov investovať do GDPR vidíme inde.“
Od byrokracie k skutočným zmenám v ochrane osobných údajov
Veľkým strašiakom firiem sa však zdá byť nahnevaný zákazník. Už teraz možno pozorovať, že sa zvyšujú počty žiadostí dotknutých osôb, ktoré sú o nariadení informované. Začínajú sa pýtať relevantné otázky – odkiaľ o nich firma má údaje, ako ich spracúva, prečo tak robí a ako dlho sú ich údaje uchovávané. Poskytnúť presné odpovede vyžaduje, aby sa nad týmito otázkami niekto vo firme zamyslel. Bez prípravy môže byť problém na takéto žiadosti odpovedať, a preto aj jeden nespokojný zákazník môže firmu vtiahnuť do správneho alebo súdneho konania. „To je však pre väčšinu klientov v prvom rade reputačný a nie finančný problém.” dodal J. Berthoty.
Zdá sa však, že tlak prichádza aj zo zahraničia. „Ako prvé u nás začali GDPR v praxi riešiť firmy, ktorým to prikázali materské spoločnosti zo zahraničia. Nemusí ísť len o reputáciu alebo konkurenčnú výhodu, dôvodom môže byť aj iná mentalitu a prístup. Zahraniční klienti sú schopní nájsť na regulácii z Bruselu aj pozitíva. Existujú napr. štatistiky, podľa ktorých je zákazník naklonený odovzdať o sebe viac dát spoločnosti, ktorej záleží na jeho súkromí. Ďalšie štatistiky hovoria o tom, že v prípade úniku dát by väčšina zákazníkov už spoločnosti nedôverovala. Mnohí klienti preto vidia benefit v orientácií sa na zákazníka a v tomto ich GDPR podporuje. Ak klient nájde aspoň čiastočný benefit v GDPR, prestáva ho vidieť ako problém.“
Firmy musia dokladovať čo, prečo a ako dlho archivujú
Čo však znamená GDPR pre občanov? Vo všeobecnosti by GDPR malo pre občanov znamenať väčšiu kontrolu nad svojimi osobnými údajmi a vyššiu transparentnosť firiem o ich spracúvaní. Väčšina Slovákov bola v posledných týždňoch a mesiacoch bombardovaná e-mailami firiem, ktoré žiadali nový súhlas so spracovaním osobných údajov. Prečo oň znova žiadali, keď už jeden mali? Najmä preto, že súhlas musí byť jednoznačný, určitý a informovaný tak, aby každý porozumel tomu, aké údaje firma požaduje a na aký účel jej budú poskytnuté. Zároveň niektoré firmy prehodnocujú, na čo všetko podľa GDPR potrebujú žiadať súhlas. Súhlas však nie je potrebný na všetko spracúvanie osobných údajov. „V skutočnosti sa súhlas uplatňuje na minimum spracúvania osobných údajov. Existujú iné oveľa častejšie používané právne základy, kedy súhlas nie je potrebný. Ide najmä o zmluvu, zákon alebo tzv. oprávnený alebo verejný záujem.“
Vysoké pokuty sú pre firmy menším strašiakom než ich reputácia
Občania môžu tiež firmy žiadať, aby ich osobné údaje boli vymazané. K vymazaniu osobných údajov však môže dôjsť len ak sú splnené určité podmienky. Možné to nie je napríklad vtedy, ak zákon ukladá povinnosť uchovávať dané údaje po niekoľko rokov (napríklad pre potreby účtovníctva) alebo ak stále trvá účel spracúvania. Pre každé právo platia iné podmienky. GDPR zavádza aj povinnosť oznamovať bezpečnostné incidenty. V najzávažnejších prípadoch budú musieť firmy oznámiť svojim zákazníkom, že ich osobné údaje napr. unikli alebo boli poškodené. Aj keď GDPR priznáva občanom mnoho práv, žiadne z nich nie je absolútne a z každého existujú výnimky. „V týchto prvých mesiacoch po máji preto bude kľúčové, ako budú klienti schopní tieto komplexné pravidlá zrozumiteľne a jednoducho vysvetliť svojim zákazníkom“ uzavrel J. Berthoty.