GDPR – Revolúcia v ochrane osobných údajov

Európske nariadenie, ktoré začne platiť v máji, umožní ľuďom lepšie chrániť svoje osobné údaje aj na Facebooku.

Už v máji by sme sa mali cítiť bezpečnejšie. Začne totiž platiť európske nariadenie GDPR – General Data Protection Regulation, ktoré v rámci EÚ prinesie prísnejšiu ochranu osobných údajov. To sa prejaví aj na vyšších pokutách pre firmy, ktoré naše údaje zneužijú alebo s nimi budú zaobchádzať nad právny rámec. Pokuty môžu byť obrovské, až do štyroch percent celkového ročného obratu spoločnosti za predchádzajúce účtovné obdobie alebo až do výšky 20 miliónov eur.

Napríklad Facebooku v Nemecku už dnes podľa rozhodnutia berlínskeho súdu hrozí sankcia 250-tisíc eur, ak nezmení svoje praktiky. GDPR sa teda dotkne aj Facebooku a iných veľkých firiem.

„Jednoznačne áno. Na nich bude táto regulácia veľmi tvrdo dopadať. Facebook už začal zavádzať rôzne opatrenia, k užívateľom z EÚ má iný prístup ako k užívateľom z iných krajín. Podľa novej úpravy si už viete uplatniť napríklad právo na ,zabudnutie‘ – požiadať Facebook, aby zmazal všetky vaše údaje,“ vraví Ľubomír Kopáček, riaditeľ divízie bezpečnosti, Amtel Slovensko.

Nová práva úprava sa však nebude týkať len veľkých firiem. „Z pohľadu GDPR neexistuje rozdiel medzi veľkou a malou firmou, vzťahuje sa na všetky subjekty spracúvajúce osobné údaje, na prevádzkovateľov, bez rozdielu,“ hovorí Kopáček. Firmy, ktoré boli v súlade už s doterajšou legislatívou, by po nadobudnutí účinnosti nového nariadenia nemali mať problém. Podľa prieskumu spoločnosti TÜV SÜD Slovakia sa však 36 % firiem na prísnejšiu ochranu osobných údajov ešte nezačalo pripravovať a viac ako štvrtina sa s novou reguláciou ani neoboznámila.

Novú reguláciu berie na vedomie napríklad aj Tesco Stores. „Uvedomujeme si ju a rešpektujeme termín účinnosti,“ uviedla pre Pravdu PR manažérka Lucia Poláčeková. Malý podnikateľ Matej Farbula, majiteľ Farebného vinárstva v Pezinku, sa domnieva, že sa ho to netýka. „Priznám sa, že o tom počujem prvýkrát,“ vraví. Jeho vinárstvo vraj nemá žiadnych zamestnancov, podnikať začal sám. Prevádzkuje však e-shop, a to je dôvod, prečo sa GDPR musí riadiť.

„V každom e-shope sa zadáva pomerne veľa údajov, na základe ktorých je možné kompletne vyprofilovať človeka. A nové nariadenie zaručuje to, že prevádzkovateľovi, ktorý tieto údaje spracúva, aspoň minimálne komplikuje možnosti s nimi kšeftovať,“ hovorí Kopáček. Mnohé konzultačné firmy dnes podľa neho strašia likvidačnými pokutami, ale berie to s veľkou rezervou. „Predávanie osobných údajov tretím stranám a ich zneužívanie na marketingové účely bude však po novej úprave sťažené, aj vďaka hroziacim veľkým pokutám,“ vraví Kopáček.

Asociácia zamestnávateľských zväzov a združení (AZZZ) sa pokút obáva. Podľa Kopáčka sa však pokuty do nového nariadenia dostali najmä kvôli veľkým globálnym hráčom, ako sú Facebook alebo Google. „Keby som si mal zaprognózovať, ak padne prvá vysoká pokuta v miliónoch eur, tak ju dostane práve niektorý z týchto veľkých – ako ,odkaz‘ že to EÚ myslí naozaj vážne,“ vraví Kopáček. Podľa vyjadrenia hovorkyne Miriam Špánikovej z AZZZ asociácia GDPR víta, no pripomína, že sa s jeho dodržiavaním budú spájať „nemalé časové a finančné investície“. „Nariadenie si po technickej stránke nemá niečo vynucovať, vytvára len rámec fungovania,“ vraví Kopáček.

Čo je osobný údaj?

GDPR robí jasno aj v pojmoch, definuje, čo je osobný údaj. Často si pod ním vieme predstaviť iba rodné číslo. „Osobné údaje sú všetky údaje, na základe ktorých je určiteľná fyzická osoba. Keď pôjdeme úplne do absurdna, za určitých okolností môžeme vnímať ako osobný údaj aj IP adresu vášho pripojenia na internet, lebo na jej základe je určiteľná fyzická osoba – jej poloha a identita,“ vysvetľuje Kopáček.

Pod informačným systémom si zas pokojne môžeme predstaviť aj excelovskú tabuľku. „Podľa rôznych výkladov GDPR za informačný systém spracúvajúci osobné údaje treba považovať aj každý účtovný systém,“ dodáva Kopáček. Spracúvajú sa v ňom totiž údaje partnerov – živnostníkov, teda fyzických osôb, alebo konateľov právnických osôb, ktorými sú opäť fyzický osoby.

Ochrana osobných údajov po novom

Firmy budú mať povinnosť určiť zodpovednú osobu na ochranu a spracovanie osobných údajov

Účtovné či právnické firmy budú musieť viesť zoznam spracovateľských operácií každého klienta alebo využívať šifrovanie pomocou určitých kľúčov a chránenú komunikáciu

Ohlasovacia povinnosť pri úniku dát či poškodení dotknutých osôb je 72 hodín. Oznámiť to treba Úradu pre ochranu osobných údajov

V prípade závažného porušenia hrozia firmám pokuty až do výšky 20 mil. eur

Podstatné je, že na spracovanie osobných údajov musí existovať právny základ, inak osobné údaje spracovať nesmiete, je to explicitne zakázané. Právny základ môže byť napríklad zmluva o poskytnutí služieb. „Iba ak existuje právny základ, má prevádzkovateľ oprávnenie spracúvať osobné údaje, ale len v rozsahu nevyhnutne nutnom na dosiahnutie účelu.

Ak by internetový obchod vyžadoval napríklad dátum narodenia, za určitých okolností by sa to dalo považovať za údaj, ktorý si obchod vyžaduje nad rámec toho právneho základu. Ak sa predáva tovar, ktorý nie je viazaný na vek, neexistuje obhájiteľný dôvod na to, aby si prevádzkovateľ pýtal napríklad dátum narodenia,“ vraví Kopáček. Na Slovensku sa podľa neho bežne stretávame s tým, že si niekto vyžaduje kópiu občianskeho preukazu na neadekvátne účely. „Toto sú presne tie situácie, ktoré má nové nariadenie riešiť,“ dodáva.

Ľudia sa môžu brániť

Dozorový orgán, ktorým je v tomto prípade Úrad na ochranu osobných údajov, môže od mája očakávať zvýšený počet žiadostí, ktorými sa „dotknuté osoby“ budú dožadovať nápravy. Úrad na ochranu osobných údajov vidí prínos nariadenia hlavne „v zjednotení právneho textu ochrany osobných údajov naprieč celou Európskou úniou“, uviedla Lucia Bezáková z odboru právnych služieb a medzinárodných vzťahov úradu.

„Podstatnou zmenou oproti pôvodnému zákonu je posilnenie práv dotknutých osôb. Prevádzkovatelia, ktorých sa GDPR týka, budú určite musieť riešiť postupy na vybavovanie žiadostí, ktoré od mája môžu nastať. Žiadosti dotknutých osôb sú na uplatňovanie rôznych práv, je ich viac, ako bolo pôvodne. Môže to byť výmaz, prenos údajov, oprava alebo odpis údajov. Je potrebné sa na to aj technicky pripraviť,“ hovorí Katarína Hausierová, odborníčka na ochranu osobných údajov.

Na vybavenie žiadostí je stanovený časový limit a konanie musí byť veľmi rýchle, niekedy bezodkladné. Právo na ochranu osobných údajov však nie je absolútne, ako sa ľudia niekedy domnievajú. Ak sa napríklad nahneváte na svojho mobilného operátora a pri odchode ku konkurencii ho požiadate, aby vaše osobné údaje zlikvidoval, nejde to len tak. „Existujú nadradené právne predpisy, v tomto prípade napríklad zákon o elektronických komunikáciách, zákon o účtovníctve a podobne, ktoré veľmi jasne hovoria, ako dlho a aké údaje musia byť uchovávané. Odborne hovoríme o takzvanej dátovej retencii,“ vraví Kopáček.

Kým doteraz platná legislatíva riešila aj papierové informačné systémy, podľa odborníkov predstavujú papierové dokumenty z pohľadu GDPR slepé miesto. Z 98 % sa totiž zameriavajú na dáta spracúvané elektronicky.

Ďalšie články

Všetky články v tejto kategórii