Štyri písmenká, ktoré na pár mesiacov ochromili azda celú spoločnosť. Podnikatelia, e-shopy a stránky riešili svoje povinnosti a v posledné májové dni prichádzali do schránok bežných používateľov stovky emailov s tým, či chcú byť s danou firmou ešte v kontakte. O čo išlo?
General Data Protection Regulation – teda všeobecné nariadenie o ochrane osobných údajov – môžeme považovať za revolučné legislatívne nariadenie Európskej únie, ktoré výrazne zvyšuje ochranu osobných údajov.
Niekto si povie, že tieto údaje nikde neuvádza a doma k tomu má bezpečný super rýchly internet, tak prečo by ich mal niekto „ešte viac“ chrániť? Verte či nie, stačí chvíľka nepozornosti a o vašej osobe sa môže ktokoľvek dozvedieť hocičo, nie len vašu emailovú adresu kam vám bude zasielať spam. A niekedy aj to, čo by ste sami nechceli vedieť.
Toto všeobecné nariadenie sa však netýka iba veľkých firiem, ktoré zákonite vaše údaje potrebujú napríklad pri spracovaní objednávky. Týka sa aj jednotlivcov a online služieb, ktoré akýmkoľvek spôsobom spracúvajú osobné údaje.
Odporúčanie EÚ v tomto smere je poveriť osobu, takzvaného poverenca pre ochranu osobných údajov, ktorá zabezpečí, aby veľké firmy predišli astronomickým pokutám za to, ak spravia v nariadení chybu.
Čo možno považovať za osobné údaje
Pri tvorení daného nariadenia bol základ definovať, čo vlastne za osobné údaje možno považovať. V tomto prípade sú to všetky informácie, ktoré sa vzťahujú k identifikovanej alebo identifikovateľnej fyzickej osobe.
To znamená:
- Meno, pohlavie, vek a dátum narodenia,
- osobný stav, IP adresa a fotografický záznam,
- patria sem organizačné údaje: teda e-mail, telefónne číslo, rôzne identifikačné údaje vydané štátom,
- patria sem aj tzv. zvláštne kategórie osobných údajov, napríklad údaje o rasovom či etnickom pôvode, politických názoroch, o zdravotnom stave, sexuálnej orientácii, trestných deliktoch,
- po novom sa sem zahŕňajú aj genetické údaje či biometrické údaje a aj osobné údaje detí.
Aký dosah má GDPR na bežného používateľa
Mnohí, ktorých sa povinnosti vo veci GDPR netýkali, vlastne ani nevedeli, že sa niečo deje. Ale aj tak by každý mal vedieť, ako sa to dotkne bežného občana.
Vezmime si príklad z lekárskeho prostredia. Ako pacient máte právo vedieť, ako na tom zdravotne ste. To je samozrejmé. Avšak po zavedení GDPR budete vedieť, na aký účel sa vaše údaje spracúvajú, na ako dlho budú archivované, budete vedieť, komu je možné tieto informácie poskytnúť, teda kto všetko sa k vašim záznamom dostane.
Ak všetky tieto skutočnosti budete poznať a budete vedieť, kto všetko do vašej zdravotnej karty nahliadne, nebude sa stávať, že by boli vaše práva dotknuté. Ako občan budete mať právo vzniesť námietku a požiadať o vymazanie údajov. Na druhej strane, budete mať právo ako občan sa k svojim záznamom dostať, najlepšie online a priamo, čo vám zjednoduší prehľad o tom, čo o vás kto vie.
Ako implementovali GDPR firmy
Okrem toho, že bežný používateľ dostal niekoľko newslettrov s overením si, či chce ostať v databáze, a zmenili sa aj niektoré možnosti prihlásiť sa do aplikácií pomocou sociálnych sietí, alfou a omegou firiem je prísnejšie stráženie si osobných údajov svojich zákazníkov. Znamená to tiež zaviesť technické, organizačné a procesné opatrenia s cieľom preukázať súlad s princípmi GDPR.
Za porušenie nariadenia hrozí firmám pokuta, ktorá môže v maximálnej možnej výške dosiahnuť až 20 miliónov eur. Alebo je to pokuta vo výške 4 % z celkového ročného obratu. A je v podstate jedno, či máte malú firmu s 5 ľuďmi alebo riadite korporát so sto a viac zamestnancami.
Čo GDPR v praxi reálne ovplyvní
GDPR spočiatku vyzeralo ako veľký strašiak, avšak nariadenie má svoje opodstatnenie.
- Prinesie rovnocennú vymáhateľnosť práv v celej Európskej únii, bude možné sankcionovať všetkých rovnako, no prinesie to aj lepšiu spoluprácu dozorných orgánov medzi sebou,
- občan získa kontrolu nad svojimi osobnými údajmi, ktoré možno ani nevedel, že niekde udáva alebo niekde sú uložené,
- hoci veľkým firmám prinesie administratívnu záťaž, budú mať prehľad o tom, s akými údajmi pracujú a ako ich využívajú,
- moc sa dostáva aj do rúk tých, ktorí osobné údaje poskytujú – budú mať o nich prehľad, budú sa k nim môcť dostať v štruktúrovanom a čitateľnom formáte a budú môcť vzniesť námietku na ich okamžité vymazanie.
Čo je však najväčší prínos – nemalo by sa po zavedení daného nariadenia stať, že príde k úniku veľkého množstva osobných údajov. Po novom musí byť narušenie bezpečnosti údajov ohlásené oznamovacou povinnosťou, či už ide o únik, alebo ohrozenie. Jednak sa oznamovacia povinnosť ohlási Úradu pre ochranu osobných údajov a aj danému subjektu, ktorého sa to priamo týka.