Podnikatelia, ktorí pracujú s osobnými údajmi zamestnancov alebo zákazníkov musia splniť nové povinnosti, aby zabránili strate týchto citlivých dát. V opačnom prípade im hrozia vysoké pokuty až do výšky 20 miliónov eur, čo by bolo takmer pre každú spoločnosť likvidačné.

V dôsledku toho mnohé obchodné spoločnosti a organizácie prichádzajú s novými formulármi o súhlase so spracovaním a ochrane osobných údajov, ktoré dávajú na podpis svojim zákazníkom. Ide najmä o internetové obchody, organizácie či obchodné reťazce, ktoré poskytujú rôzne zľavy na základe vernostných kariet. Takmer všetky obchody tiež kvôli novému nariadeniu aktualizujú všeobecné obchodné podmienky.

Opätovný súhlas so spracovaním osobných údajov zasielajú aj neziskové organizácie, politické strany a rôzne iniciatívy.

Možné problémy firiem

TV Markíza podotýka, že nariadenie GDPR sa týka takmer všetkých podnikateľov a inštitúcií. Novej legislatíve podliehajú všetky firmy, ktoré prevádzkujú e-shop, využívajú dáta na marketingové účely, alebo iba monitorujú správanie svojich zákazníkov. “Pokiaľ spracúvate osobné údaje v rámci svojich podnikateľských aktivít, vzťahuje sa na vás nariadenie. V podstate stačí, aby ste prevádzkovali kamerový systém verejných priestorov a môžete mať problém,” vysvetľuje Ivan Hollý z Colonnade Insurance.

Odborník dodáva, že problémom firiem v súvislosti s GDPR môže byť zastaraný hardvér a softvér, nedostatočná ochrana dát a s tým spojené neoprávnené sprístupnenie osobných a dôverných informácií tretích osôb, nelojálni zamestnanci, strata alebo krádež hardvéru obsahujúceho citlivé informácie, údaje. Odporúča podnikateľom, aby sa na GDPR dôsledne pripravili a najmä zabezpečili svoje informačné systémy. Práve tie môžu v mnohých firmách byť najslabším článkom ochrany údajov. Databázy môžu mať totiž veľkú hodnotu pre hackerov.

Portál iDnes.cz dodáva, že GDPR spôsobilo vznik mnohých nedorozumení. V Česku ako aj na Slovensku sa hovorilo o tom, že by zdravotné sestričky nemohli vyvolávať pacientov v čakárňach celým menom. Podľa iDnes.cz však tomu tak nie je. “Za to, že sestra v čakárni zavolá, že je pán Novák na rade, ju nikto sankcionovať nebude, aj keď z hľadiska nášho úradu by samozrejme bolo lepšie, keby ordinácie mala anonymizované systém, aký používajú napríklad na poštách,” povedal médiám hovorca Úradu na ochranu osobných údajov Tomáš Paták. Naďalej tiež platí, že sestričky by nemali vyvolávať pacienta menom a pred ostatnými spomenúť diagnózu príslušného pacienta.

“Stretli sme sa aj s otázkou, či deti ešte budú môcť podpísať namaľovaný obrázok,” uviedol Jiří Žůrek z Úradu pre ochranu osobných údajov. To je podľa neho ďalší mýtus, ktorý prenikol zo sociálnych sietí po oznámení vysokých pokút za porušenie GDPR. “Nariadenie Európskej únie v podstate žiadne takéto zákazy nedáva. Ide o to, aby dáta fyzických osôb, to znamená aj detí, neboli nikde zverejňované a zneužívané. Každá škola má vytvorený nejaký dokument, aby svoje aktivity, ktoré robí, boli v súlade s danými zákonmi,” povedal iDnes František Halada z Asociácie riaditeľov základných škôl.

Veľké zmeny aj na sociálnych sieťach

Belgická televízna stanica RTBF v analytickom materiáli ku GDPR upozornila, že väčšina ľudí si neuvedomuje, aké všetky údaje o sebe prezrádzajú na sociálnych sieťach. Prebudením bol škandál spojený s firmou Cambridge Analytica, ktorá mala cez Facebook prístup k všetkým údajom, ktoré potrebovala: fotografiám, videám, zdieľaným statusom, zemepisným polohám, telefónnym číslam i uloženým rozhovorom.

Podľa RTBF však nové právne nariadenie Európskej únie neznamená veľkú zmenu. Internetoví giganti budú aj naďalej používať údaje osôb zo sociálnych sietí na marketingové účely, ak ľudia prijmú ich podmienky používania. Pokiaľ ide o Facebook, spravodajský server Mashable upozornil, že táto celosvetovo populárna sieť poskytuje len minimálnu službu pri ochrane údajov.

Podľa nového nariadenia sa na sociálnych sieťach môžu zaregistrovať len osoby staršie ako 16 rokov. V prípade mladších používateľov bude vyžadovaný písomný súhlas ich rodiča alebo zákonného zástupcu.

Francúzsky štátny tajomník pre digitálnu agendu Mounir Majhoubi zdôraznil, že výhodou GDPR je prenosnosť údajov. Podľa článku 20 tohto nariadenia môže každá osoba požiadať sociálne platformy o poskytnutie svojich uložených údajov, ktoré si následne môže stiahnuť, a vďaka interoperabilite – formátu použiteľného aj pre iné spoločnosti – tieto dáta zaslať ďalšej strane.

Novinkou tohto nariadenia Európskej únie hľadiska ochrany údajov je možnosť udeľovania pokút. Celoeurópska smernica z roku 1995 o ochrane údajov stanovila určité usmernenia, avšak “veľká štvorka” GAFA (skratka pre spoločnosti Google, Amazon, Facebook a Apple) za vyše 20 rokov získala pri nakladaní s osobnými údajmi takmer neobmedzenú moc.

To, čo môže postoj veľkých nadnárodných spoločností zmeniť, je článok 83 nariadenia GDPR, ktorý stanovuje pokuty pre tých, ktorí nebudú dodržiavať pravidlá. Text tejto právnej normy uvádza, že nedodržanie príkazu vydaného dozorným orgánom podlieha administratívnym pokutám až do výšky 20 miliónov eur – alebo v prípade veľkých spoločností do výšky štyroch percent ich celosvetového obratu za predchádzajúci finančný rok. Za pokutu sa považuje tá suma, ktorá bude vyššia.

To je zároveň “kameň úrazu” pre viaceré členské krajiny EÚ, ktoré aj napriek dvojročnej lehote na transpozíciu tohto nariadenia do vnútroštátnej legislatívy nestihli do 25. mája 2018 vybudovať dostatočne vybavené dozorné orgány vykonávajúce kontrolnú a sankčnú činnosť.

ENISA: Nariadenie GDPR je medzníkom v ochrane osobných údajov a súkromia

Ide o medzník v ochrane osobných údajov a súkromia jednotlivcov, zhodnotila v piatok Agentúra Európskej únie pre bezpečnosť sietí a informácií (ENISA) vstup všeobecného nariadenia EÚ o ochrane údajov (GDPR) do platnosti.

Agentúra so sídlom v gréckom Irakliu, ktorá slúži ako centrom pre kybernetickú bezpečnosť v Európe, pripomenula, že po dlhodobom legislatívnom procese sa začalo v praxi uplatňovať nariadenie EÚ číslo 679 z roku 2016. To z právneho hľadiska obsahuje “solídne” riešenia v prospech individuálnych práv občanov Únie, ako aj prísne povinnosti pre poskytovateľov služieb v on-line prostredí a je priamo uplatniteľné na všetky členské štáty EÚ.

Výkonný riaditeľ agentúry ENISA Udo Helmbrecht v správe pre médiá zdôraznil, že uplatňovanie GDPR okrem významu z právneho hľadiska znamená pre agentúru aj nový impulz pre politickú prácu v oblasti bezpečnostných opatrení na ochranu osobných údajov a súkromia spotrebiteľov.

Podľa agentúry nariadenie GDPR v porovnaní s predchádzajúcim právnym rámcom na ochranu osobných údajov zavádza zdokonalený prístup k spravovaniu údajov a vyššiu zodpovednosť tých, ktorí tieto údaje skladujú a spravujú. Znamená aj dôraznejšiu úlohu úradníkov regulačných orgánov na ochranu údajov, povinné oznámenia o narušení osobných údajov, zavedenie vyšších bezpečnostných štandardov na ochranu údajov, poskytovanie osobného súhlasu pre nakladanie s údajmi a zavedenie pokút pre spoločnosti, ktoré nebudú rešpektovať nové nariadenie.

Helmbrecht zdôraznil, že pojmy ako “právo na zabudnutie” (v on-line priestore) či “ochrana údajov vo fáze návrhu a zlyhania” otvárajú v praxi nové možnosti na citlivú ochranu základných ľudských práv.

Agentúra ENISA je dlhoročným prispievateľom k politike EÚ v oblasti budovania dôvery a bezpečnosti na jednotnom digitálnom trhu.

Marketingový odborník: Práca s užívateľskými dátami musí podliehať pravidlám

Užívatelia internetu budú mať oveľa viac pod kontrolou, komu poskytujú svoje dáta a zároveň sa pri zaobchádzaní s týmito dátami bude oveľa viac dbať na bezpečnosť. Takýto prínos vidí v uplatňovaní novej smernice GDPR marketingový odborník Vladimír Rejlek, šéf internetovej divízie spoločnosti Wunderman v Prahe.

Nové nariadenie Európskej únie upravujúce ochranu osobných údajov vstupuje do platnosti 25. mája. Za zanedbanie povinností alebo stratu dát hrozia veľké pokuty až do výšky 20 miliónov eur.

“Hlavným prelomom, ktorý prichádza s GDPR, je na jednej strane súhlas užívateľa či už s použitím e-mailu pre marketing, alebo s uložením cookies na webovej stránke, na ktorej surfuje – teda by sme mali mať oveľa viac pod kontrolou, komu naše dáta dávame, vrátane práva byť zabudnutý alias zmazaný. A na druhej strane, je to zvýšená bezpečnosť pri spracovávaní dát a zaobchádzaní s nimi. Tu by som tiež videl deliacu čiaru medzi negatívnou a pozitívnou prácou s dátami,” povedal pre TASR marketingový odborník Rejlek.

Záujem o to, čo sa deje s dátami užívateľov internetu, vyvolali prípady ich zneužitia, napríklad spoločnosť Cambridge Analytica (CA), ktorá sa neoprávnene dostala k osobným údajom 87 miliónov používateľov Facebooku čelí obvineniu, že tieto údaje použila na ovplyvnenie prezidentských volieb v USA. Rejlek však nespája tento prípad so zavedením nariadenia GDPR.

“Myslím, že GDPR s Cambridge Analyticou priamo nesúvisí. Európske nariadenie na sprísnenie ochrany osobných údajov sa pripravuje oveľa dlhšie, než sa prevalila táto aféra. Aktivitu ohľadom však GDPR vítam, je to reakcia na to, ako rýchlo sa vyvíja digitálne prostredie a ako pribúda dát, ktoré o sebe užívatelia zdieľajú. Bolo jasné, že práca s užívateľskými dátami začína byť stále väčšia sivá zóna, a že tomu musíme dať nejaké pravidlá, resp. ich spresniť, pretože zákon na ochranu osobných údajov tu existuje už dlho,” vysvetlil Rejlek.

Kauza okolo spoločnosti Cambridge Analytica mohla podľa neho akurát urýchliť debatu o tom, aké dáta o sebe poskytujeme a ako sa s nimi zaobchádza. “Politická manipulácia alebo snaha o ňu tu však asi do určitej miery vždy bude. V každom prípade GDPR a úpravy, ktoré robia vo svojich systémoch Facebook alebo Google, určite zabránia tomu, aby sa kauzy ako CA opakovali v takomto rozsahu,” dodal Rejlek.

Dáta o užívateľoch internetu sú aj predmetom komerčného využitia, veď už len na základe bežných diskusií na sociálnych sieťach možno povedzme vyhodnotiť, ako konzumenti hodnotia jednotlivé značky piva alebo ako prijali zmeny v receptúre jeho prípravy. A aj tu existuje možnosť, že sa s takýmito dátami zaobchádza necitlivo. V USA sa odohral prípad, kedy hypermarket poslal kupóny na zľavy zákazníkovi na základe toho, čo zvyčajne nakupoval. A medzi vybratými položkami boli aj tehotenské testy, ktoré si v tajnosti kupovala jeho dcéra. Podľa Rejleka tu však záleží na profesionalite spoločností, ktoré sa digitálnym marketingom zaoberajú.

Technológie v tomto odvetví pritom výrazne pokročili. Ak chce napríklad obchodný reťazec alebo cestovná kancelária oslovovať klientov – teraz už pravdaže s ich výslovným súhlasom – a cielene ich informovať o ponukách, musí vyhodnotiť obrovský objem dát a zistiť, ktoré služby alebo aký tovar sú pre koho atraktívne a vyhľadávané. Čo, samozrejme, nerobí človek, ale stroj.
Prijatie nariadenia GDPR by podľa Rejleka malo odbúrať veľké množstvo spamov a práve naopak otvoriť viac priestoru pre korektnú komunikáciu so zákazníkom.

“Na jednej strane by dnešná diskusia mala v ľuďoch vyvolať úvahy o tom, aké informácie o sebe vôbec dávajú do svojej digitálnej stopy. Na druhej strane, pokiaľ by som mal strach, že Google nie je schopný moje dáta ustrážiť, musel by som odinštalovať ich mapy, email a nakoniec zahodiť celý mobilný telefón, ktorý beží na Androide. Na stromy sa nevrátime, aspoň dúfam, a že za nami v digitálnom prostredí vzniká dátová stopa, je skrátka fakt, ktorý nezmeníme. Ale môžeme sa spoločne dohodnúť na pravidlách, ako s ňou pracovať,” povedal marketingový odborník Rejlek.