Skratka GDPR, teda General data protection regulation, v preklade Všeobecné nariadenie o ochrane údajov, je najväčšia zmena európskej legislatívy zameranej na ochranu osobných údajov obyvateľov EÚ za posledných niekoľko desiatok rokov. GDPR sa stalo v posledných mesiacoch témou množstva diskusií, konferencií, ale aj komerčných produktov zo strany právnych kancelárií, biznis konzultantov či agentúr. Čoho sa GDPR konkrétne týka, prečo je dôležité to riešiť a čo to znamená z pohľadu online biznisu? Pripravili sme základný prehľad najdôležitejších informácií.

Tento článok pôvodne vyšiel v našom magazíne 11. 1. 2018, a tak sme sa rozhodli po čase aktualizovať jeho obsah. 

V prvom rade by som rád prízvukoval, že žiadna informácia v tomto článku nemá právne záväzný charakter. Článok slúži ako sumárne zhrnutie problematiky GDPR a má vyslovene informačný účel. Určite odporúčam konzultovať jednotlivé body a ďalšie kroky so špecialistami v odbore.

V našom Visiguide magazíne sme sa téme GDPR venovali v článkoch už viackrát, takže ak niekoho zaujíma táto problematika, prečítajte si napríklad:

Finálne znenie právneho rámca GDPR bolo prijaté ešte v roku 2016, konkrétne v apríli, s tým, že účinnosť nadobúda od 25. mája 2018. Na rozdiel od predošlej právnej úpravy (Smernica 95/46/EHS, ktorá bola do slovenského právneho poriadku implementovaná aj aktuálne platným a účinným zákonom č. 122/2013 Z.z. o ochrane osobných údajov), GDPR je nariadenie, ktoré bude priamo účinné vo všetkých štátoch Únie, t.j. bez potreby jeho implementácie osobitným zákonom. Z toho vyplýva, že ide o právny predpis vyššej právnej sily (a teda aj dôležitosti) než je smernica. Celé znenie GDPR nájdete tu – Epi.sk.

Na Slovensku je zatiaľ povedomie o práve na ochranu súkromia na relatívne nízkej úrovni, a to aj takmer 3 roky od platnosti GDPR. Technologický posun však spôsobil, že denne púšťame do svojho súkromia veľké množstvo rôznych subjektov bez toho, aby sme si to vôbec uvedomili. Napr. len používaním smartfónov môžeme dať súkromným firmám prístup k svojmu odtlačku prsta, osobným fotografiám nás, ale aj našich blízkych, snímaniu hlasu, používaniu kreditných kariet, udalostiam v dennom kalendári, nákupným preferenciám, lokalizačným údajom a podobne, a tým sprístupňujeme obrovskú časť nášho súkromného života. Existuje spoločenský konsenzus, že tieto a ďalšie údaje o súkromí osôb je potrebné chrániť pred zneužitím a neoprávneným spracovaním, čo upravuje práve GDPR.

Hlavným cieľom GDPR je v maximálnej možnej miere zvýšiť ochranu osobných údajov osôb nachádzajúcich sa v EÚ, dať im do rúk nástroj, vďaka ktorému sa o spracovaní svojich osobných údajov inými firmami a inštitúciami môžu dozvedieť čo najviac, a prirodzene aj prinútiť firmy a inštitúcie, aby brali túto problematiku vážne (cez rôzne procesné, kontrolné a sankčné mechanizmy).

Je dôležité spomenúť, že agenda GDPR je všeobecne platná na území celej Európskej únie vrátane Islandu, Nórska a Lichtenštajnska. Každá krajina EÚ prijala alebo bude prijímať vlastný zákon, ktorý však bude vychádzať z tohto celoeurópskeho nariadenia. Tento fakt pomáha aj agende takzvaného „Digital Single Market“, tým pádom to majú firmy podnikajúce vo viacerých krajinách EÚ od roku 2018 z pohľadu byrokracie jednoduchšie.

Ľudia majú vďaka GDPR v rukách účinnejšie nástroje na kontrolu, aké osobné údaje o nich firmy spracúvajú. Dohľad nad dodržiavaním nastavených pravidiel bude v niektorých prípadoch mať Data Protection Officer, respektíve zodpovedná osoba.

GDPR je veľmi rozsiahle nariadenie zasahujúce do viacerých oblastí fungovania firiem a inštitúcií a v roku 2018 priniesla platnosť nového nariadenia pre firmy zvýšenú administratívu či rôzne technologicko-byrokratické povinnosti, ktoré určite netreba podceňovať, pretože v prípade porušenia nariadenia hrozia vysoké sankcie (pokuta do výšky 20.000.000 EUR, alebo ak ide o podnik, do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia).

Prečo bola zmena potrebná?

Ako som už spomenul vyššie, aktuálne platná legislatíva o ochrane osobných údajov platí v rôznych obmenách v podstate od roku 1995. V tom období ešte neexistovali cloudové riešenia, Google, Facebook ani smartfóny. Je teda prirodzené, že zásadnejšia zmena v tomto smere musela nastať.

Aj tu však vidím problém. Novela GDPR sa na európskej úrovni pripravovala niekoľko rokov a účinnosť nadobudla v podstate dva roky po jej finálnom odsúhlasení. Je teda otázna aktuálnosť niektorých vecí, ktoré sa v oblasti technológií a internetu vyvíjajú míľovými krokmi. Napríklad problematika IoT (internet vecí) nie je v GDPR vôbec nijakým spôsobom riešená.

Druhým a nie menej dôležitým dôvodom, prečo sa nariadenie GDPR pripravilo, bolo zjednotenie európskeho trhu v oblasti ochrany osobných údajov jednotlivcov. V praxi bol totiž stav ochrany osobných údajov v jednotlivých štátoch Únie nevyhovujúci v dôsledku viac či menej odlišnej implementácie predošlej legislatívy – smernice 95/46/EHS – do národných právnych poriadkov. To spôsobovalo mnohé praktické problémy na voľnom trhu, kedy napr. spoločnosti museli zabezpečovať v rôznych krajinách rôznu úroveň ochrany údajov, čo spôsobovalo veľkú administratívnu a finančnú záťaž.

GDPR teda vyzdvihuje právo jednotlivca na ochranu svojich osobných údajov a nastoluje jednoznačný rámec, ktorým sa musia riadiť všetky firmy a inštitúcie v spoločnosti.

Čo všetko sa s novým nariadením GDPR zmenilo?

Európske nariadenie GDPR ukladá povinnosti všetkým firmám a inštitúciám, ktoré s osobnými údajmi obyvateľov/zákazníkov či používateľov nakladajú. Na druhú stranu dáva väčšie práva samotným ľuďom.

GDPR prináša rad pravidiel a povinností pre tých, ktorí osobné údaje spracúvajú. Musia vedieť v každom momente preukázať, že ich spracúvajú v súlade s nariadením, spôsobom, kde nehrozí zneužitie, a na dobu nevyhnutnú pre vykonanie účelu alebo činnosti.

Ak sa bavíme o právach bežných ľudí, GDPR ich definuje nasledovne:

  1. Právo na prístup k osobným údajom
  2. Právo na opravu osobných údajov
  3. Právo na vymazanie osobných údajov
  4. Právo na obmedzenie spracovania osobných údajov
  5. Právo na prenosnosť osobných údajov
  6. Právo namietať spracovanie osobných údajov
  7. Práva súvisiace s automatizovaným rozhodovaním vrátane profilovania

Dotknutá osoba má mať právo na prústup k všetkým spracúvaným údajom o svojej osobe. Tento prístup by nemal byť sprostredkovaný, ale priamy, ideálne online. Definícia po novom obsahuje výslovne aj: 

  • lokalizačné údaje,
  • online identifikátor,
  • genetické údaje (s prísnejším režimom spracovania).

Ak by sme to mali zovšeobecniť do jednej definície, tak osobnými údajmi sú údaje týkajúce sa predmetnej fyzickej osoby, ktorú je možné identifikovať priamo alebo nepriamo, najmä na základe identifikátora, akým je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, genetickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Veľkou zmenou je aj oznamovacia povinnosť firiem v prípade, že došlo k ohrozeniu alebo úniku osobných údajov. Po novom sa tieto situácie musia nahlasovať na príslušný úrad do 72 hodín. Samostatne sa potom rieši oznamovacia povinnosť na ľudí, ktorých sa únik osobných údajov priamo týkal.

Aké sú zásady spracúvania osobných údajov?

  1. Zásada zákonnosti – osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
  2. Zásada obmedzenia účelu – osobné údaje sa môžu získavať len na konkrétne určený, vyslovene uvedený a oprávnený účel a nesmú sa ďalej spracovávať spôsobom, ktorý nie je zlučiteľný s týmto účelom.
  3. Zásada minimalizácie osobných údajov – spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracovávajú
  4. Zásada správnosti – spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracovávajú, bez zbytočného odkladu vymazali alebo opravili.
  5. Zásada minimalizácie uchovávania – osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
  6. Zásada integrity a dôvernosti – osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje náležitú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, vymazaním osobných údajov alebo poškodením osobných údajov.
  7. Zásada zodpovednosti – prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

Za nesplnenie alebo porušenie niektorej zo základných zásad môže úrad uložiť pokutu do 20.000.000 EUR alebo, ak ide o podnik, do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Čo znamená GDPR pre online biznis?

Agendy GDPR sme sa sčasti dotkli už v jednom z predchádzajúcich článkov. O konci digitálnej reklamy ako ju poznáme písal ešte v roku 2017 Marek Šulik.

GDPR sa dá potom z pohľadu dopadu aktivít firmy rozdeliť na 6 stupňov:

stupne-GDPR

 

Na úvod si treba uvedomiť jednu základnú vec. Čokoľvek na internete robíte (či už na svojich stránkach alebo sociálnych sieťach) využíva fungovanie cookies, a tým pádom to spadá pod nariadenie GDPR:

Cookies sú všade

Každý z online nástrojov však pomocou cookies odoberá veľké množstvo rôznych osobných údajov. Tu je jednoduchý príklad, ako sa na to dá pozerať:

Analýza cookies

Keď sa potom pozeráme na vyššie spomenutých 6 stupňov GDPR z pohľadu online nástrojov, mohli by sme ich zatriediť nasledovne:

Ako sa dá táto situácia vyriešiť, aby ste na stránkach a pri online aktivitách dodržiavali navrhnuté pravidlá GDPR? Ak prevádzkujete web, máte tam základné analytické nástroje, nejaké remarketingové pixle či newsletter políčko. Do roku 2018 ste o cookies informovali návštevníkov pravdepodobne takto:

GDPR a Cookies

Ak by sme to chceli urobiť lepšie a dali by sme návštevníkovi webu na výber, či si praje alebo nepraje, aby stránka jeho osobné údaje odoberala, riešením by mohlo byť:

GDPR a Cookies

GDPR ide v tomto smere ešte ďalej. Ukladá povinnosť prevádzkovateľom webových stránok umožniť návštevníkom vybrať si, čo chcú, respektíve nechcú, aby sme o nich ukladali, a dokonca dať možnosť, aby si vybrali zo zoznamu, prečítali si viac info alebo sa z vašej databázy cookies úplne vymazali. Teda takto nejako:

GDPR a Cookies

GDPR v praxi v roku 2021

V roku 2018 sa urobilo okolo GDPR obrovské haló, čo nepochybne mnoho firiem aj zneužilo. Až prax ukázala, čo všetko reálne treba a čo nie, hlavne z pohľadu online marketingu a reklamy.

Dnes existuje veľké množstvo online skenovacích služieb, ktoré vám za pár sekúnd vygenerujú report s informáciami a odporúčaniami, čo na stránke treba z pohľadu GDPR zmeniť, napríklad:

To isté platí aj o nástrojoch, ako sú Hotjar, Analytics či BloomReach. V podstate všetky z nich sa GDPR prispôsobili a na väčšine webových stránok takýchto analytických nástrojov nájdete aj informáciu o tom, ako pristupujú k GDPR agende a akým spôsobom sa zaobchádza s osobnými údajmi ľudí:

V neposlednom rade, všetky významné CMS systémy ako WordPress, Joomla, Wix či Magento majú desiatky GDPR pluginov, ktoré viete na stránkach využiť:

Záver

Agenda GDPR nepochybne priniesla kopec zmien a povinností pre firmy aj inštitúcie. Obrovským strašiakom pre všetkých sú hlavne možné pokuty, ktoré hrozia v prípade pochybení.

Na druhú stranu, zákon o ochrane osobných údajov tu bol a platil aj doteraz a z môjho pohľadu tiež firmy, ktoré to doteraz robili dobre. Obdobie po zavedení nového legislatívneho rámca GDPR v roku 2018 ukázalo, že hlavne v našich končinách sa firmy nemusia báť extrémnych pokút alebo „tyranie“ z pohľadu úradov. GDPR sprísňuje niektoré pravidlá a zavádza nové povinnosti, čo sa firmám nemusí páčiť. Sumár pokút za porušenia ochrany osobných údajov sme priniesli v staršom článku.

Ak sa však na to pozrieme z druhej strany, teda z pohľadu spotrebiteľa/zákazníka/občana, tak GDPR konečne prinieslo zásadný posun vpred v oblasti základných práv občanov EÚ na ochranu ich súkromia. Toto vnímam ako veľmi pozitívny krok hlavne v ére internetu a digitálnych technológií, ktoré v posledných rokoch fungovali tak povediac „nadivoko“ a ochrana osobných údajov nebola pre firmy vždy top prioritou.

V roku 2021 máme už celkom iné problémy, online svet sa pripravuje na fungovanie bez cookies, Apple postupne obmedzuje možnosti reklamných systémov „sledovať“ svojich používateľov a tak sa trh samotný reguluje na základe vývoja preferencií jednotlivých ľudí, ktorí sa naučili chrániť si svoje súkromie a vážiť si svoje osobné údaje. Ale o tom už niekedy v ďalšom článku na Visiguide.

A ako bonus si pozrite záznam z nášho webináru na tému „10 tipov, ako fungovať anonymne na internete“:

Užitočné zdroje a informácie o GDPR

Internet je plný rôznych zdrojov a informácií, preto sme pripravili krátky sumár tipov, kde sa o GDPR dozvedieť ešte viac:

  • Dataprotection.gov.sk – Metodika k GDPR od Úradu na ochranu osobných údajov
  • Europa.eu – Oficiálna stránka EÚ o agende GDPR
  • www.gdpr.cz/gdpr – Pomerne dobre a presne spracované informácie o GDPR hlavne vo vzťahu k Českej republike
  • www.podnikajte.sk – 10 faktov, ktoré potrebuje podnikateľ vedieť o GDPR
  • encryption.eset.com/ – Ebook z roku 2019 s množstvom informácií zadarmo od ESET-u
  • Epi.sk – celé znenie GDPR
  • Securion – videoblog o tom, čo má obsahovať GDPR dokumentácia

Na článku spolupracovala  JUDr. Helga Maďarová, CIPP/E, CIPM; advokátka AK Balcar, Polanský & Spol. s.r.o.