General data protection regulation, alebo skrátene GDPR, je najväčšia zmena európskej legislatívy zameranej na ochranu osobných údajov obyvateľov EÚ za posledných niekoľko desiatok rokov. GDPR sa stalo v posledných mesiacoch témou rôznych diskusií, konferencií, ale aj komerčných produktov zo strany právnych kancelárií, biznis konzultantov či agentúr. Čoho sa GDPR konkrétne týka, prečo je to dôležité riešiť a čo to znamená z pohľadu online biznisu? Pripravili sme základný prehľad najdôležitejších informácií.

V prvom rade by som rád prízvukoval, že žiadna informácia v tomto článku nemá právne záväzný charakter. Článok slúži ako sumárne zhrnutie problematiky GDPR a má vyslovene informačný účel. Určite odporúčam konzultovať jednotlivé body a ďalšie kroky so špecialistami v odbore.

Finálne znenie právneho rámca GDPR bolo prijaté ešte v roku 2016, konkrétne v apríli, s tým, že účinnosť nadobúda od 25. mája 2018. Na rozdiel od predošlej právnej úpravy (Smernica 95/46/EHS, ktorá bola do slovenského právneho poriadku implementovaná aj aktuálne platným a účinným zákonom č. 122/2013 Z.z. o ochrane osobných údajov), GDPR je nariadenie, ktoré bude priamo účinné vo všetkých štátoch Únie, t.j. bez potreby jeho implementácie osobitným zákonom. Z toho vyplýva, že ide o právny predpis vyššej právnej sily (a teda aj dôležitosti), než je smernica.

Na Slovensku je zatiaľ povedomie o práve na ochranu súkromia na relatívne nízkej úrovni. Technologický posun však spôsobil, že denne púšťame do svojho súkromia veľké množstvo rôznych subjektov bez toho, aby sme si to vôbec uvedomili. Napr. len používaním smartfónov môžeme dať súkromným firmám prístup k svojmu odtlačku prsta, osobným fotografiám nás, ale aj našich blízkych, snímaniu hlasu, používaniu kreditných kariet, udalostiam v dennom kalendári, nákupným preferenciám, lokalizačným údajom a podobne, čím sprístupňujeme obrovskú časť nášho súkromného života. Existuje spoločenský konsenzus, že tieto a ďalšie údaje o súkromí osôb je potrebné chrániť pred zneužitím a neoprávneným spracovaním, čo upravuje práve GDPR.

Hlavným cieľom GDPR je v maximálnej možnej miere zvýšiť ochranu osobných údajov osôb nachádzajúcich sa v EÚ, dať im do rúk nástroj, vďaka ktorému sa o spracovaní svojich osobných údajov inými firmami a inštitúciami môžu dozvedieť čo najviac, a, prirodzene, aj prinútiť firmy a inštitúcie, aby brali túto problematiku vážne (cez rôzne procesné, kontrolné a sankčné mechanizmy).

Je dôležité spomenúť, že agenda GDPR je všeobecne platná na území celej Európskej únie vrátane Islandu, Nórska a Lichtenštajnska. Každá krajina EÚ prijala alebo bude prijímať vlastný zákon, ktorý však bude vychádzať z tohto celoeurópskeho nariadenia. Tento fakt pomáha aj agende takzvaného „Digital Single Market“, pretože od roku 2018 to budú mať firmy podnikajúce vo viacerých krajinách EÚ z pohľadu byrokracie jednoduchšie.

Ľudia budú mať v rukách účinnejšie nástroje na kontrolu, aké osobné údaje o nich firmy spracúvajú, a dohľad nad dodržiavaním nastavených pravidiel bude mať v niektorých prípadoch Data Protection Officer, respektíve zodpovedná osoba.

GDPR je veľmi rozsiahle nariadenie zasahujúce do viacerých oblastí fungovania firiem a inštitúcií a preto je potrebné rátať s časovou aj finančnou investíciou do uvedenia zmien do praxe. Nenechajte si to na poslednú chvíľu, pretože:

  1. nová právna úprava je pomerne rozsiahla a zavádza nové pravidlá,
  2. analýza spracovávaných osobných údajov môže predstavovať dlhodobejší proces,
  3. prijatie organizačných a technických opatrení, ako aj opatrení na úrovni dát, je časovo náročnejšie,
  4. v prípade porušenia nariadenia hrozia vysoké sankcie (pokuta do výšky 20.000.000 eur, alebo ak ide o podnik, do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia).

 

Prečo treba zmenu?

Ako som už spomenul vyššie, aktuálne platná legislatíva o ochrane osobných údajov platí v rôznych obmenách v podstate od roku 1995. A v tom období ešte neexistovali cloudové riešenia, Google, Facebook ani smartphony. Je teda prirodzené, že zásadnejšia zmena v tomto smere musela nastať.

Aj tu však vidím problém. Novela GDPR sa na európskej úrovni pripravovala niekoľko rokov a účinnosť nadobudne v podstate dva roky po jej finálnom odsúhlasení. Je teda otázna aktuálnosť niektorých vecí, ktoré sa v oblasti technológií a internetu vyvíjajú míľovými krokmi. Napríklad problematika IoT (internet vecí) nie je v GDPR vôbec nijakým spôsobom riešená.

Druhým a nie menej dôležitým dôvodom, prečo sa nariadenie GDPR pripravilo, bolo zjednotenie európskeho trhu v oblasti ochrany osobných údajov jednotlivcov. V praxi bol totiž stav ochrany osobných údajov v jednotlivých štátoch Únie nevyhovujúci v dôsledku viac či menej odlišnej implementácie predošlej legislatívy – smernice 95/46/EHS – do národných právnych poriadkov. To spôsobovalo mnohé praktické problémy na voľnom trhu, kedy napr. spoločnosti museli zabezpečovať v rôznych krajinách rôznu úroveň ochrany údajov, čo spôsobovalo veľkú administratívnu a finančnú záťaž.

GDPR teda vyzdvihuje právo jednotlivca na ochranu svojich osobných údajov a nastoluje jednoznačný rámec, ktorým sa musia riadiť všetky firmy a inštitúcie v spoločnosti.

 

Čo všetko sa bude meniť?

Európske nariadenie GDPR ukladá povinnosti všetkým firmám a inštitúciám, ktoré s osobnými údajmi obyvateľov/zákazníkov či používateľov nakladajú. Na druhú stranu dáva väčšie práva samotným ľuďom.

GDPR prináša rad pravidiel a povinností pre tých, ktorí osobné údaje spracovávajú. Musia vedieť v každom momente preukázať, že ich spracovávajú v súlade s nariadením, spôsobom, kde nehrozí zneužitie na dobu nevyhnutnú pre vykonanie účelu alebo činnosti.

Ak sa bavíme o právach bežných ľudí, tak GDPR ich definuje nasledovne:

  1. Právo na prístup k osobným údajom
  2. Právo na opravu osobných údajov
  3. Právo na vymazanie osobných údajov
  4. Právo na obmedzenie spracovania osobných údajov
  5. Právo na prenosnosť osobných údajov
  6. Právo namietať spracovanie osobných údajov
  7. Práva súvisiace s automatizovaným rozhodovaním vrátane profilovania

Dotknutá osoba má mať právo prístupu ku všetkým spracovávaným údajom o svojej osobe. Tento prístup by nemal byť sprostredkovaný, ale priamy, ideálne online. Definícia po novom obsahuje výslovne aj:

  • lokalizačné údaje,
  • online identifikátor,
  • genetické údaje (s prísnejším režimom spracovania).

Ak by sme to mali zovšeobecniť do jednej definície, tak osobnými údajmi sú údaje týkajúce sa predmetnej fyzickej osoby, ktorú sa dá identifikovať priamo alebo nepriamo, najmä na základe identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, genetickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Veľkou zmenou je aj oznamovacia povinnosť firiem v prípade, že došlo k ohrozeniu alebo úniku osobných údajov. Po novom sa tieto situácie musia nahlasovať na príslušný úrad do 72 hodín. Samostatne sa potom rieši oznamovacia povinnosť na ľudí, ktorých sa únik osobných údajov priamo týkal.

Aké sú zásady spracovávania osobných údajov?

  1. Zásada zákonnosti – Osobné údaje možno spracovávať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.
  2. Zásada obmedzenia účelu – Osobné údaje sa môžu získavať len na konkrétne určený, vyslovene uvedený a oprávnený účel a nesmú sa ďalej spracovávať spôsobom, ktorý nie je zlučiteľný s týmto účelom.
  3. Zásada minimalizácie osobných údajov – Spracovávané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracovávajú.
  4. Zásada správnosti – Spracovávané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracovávajú, bez zbytočného odkladu vymazali alebo opravili.
  5. Zásada minimalizácie uchovávania – Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracovávajú.
  6. Zásada integrity a dôvernosti – Osobné údaje musia byť spracovávané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje náležitú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracovávaním osobných údajov, nezákonným spracovávaním osobných údajov, náhodnou stratou osobných údajov, vymazaním osobných údajov alebo poškodením osobných údajov.
  7. Zásada zodpovednosti – Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracovávania osobných údajov, za súlad spracovávania osobných údajov so zásadami spracovávania osobných údajov a je povinný tento súlad so zásadami spracovávania osobných údajov na požiadanie úradu preukázať.

Za nesplnenie alebo porušenie niektorej zo základných zásad môže úrad uložiť pokutu do 20.000.000 eur alebo, ak ide o podnik, do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Čo to znamená pre online biznis?

Agendy GDPR sme sa sčasti dotkli už v jednom z predchádzajúcich článkov. O konci digitálnej reklamy ako ju poznáme písal náš strategy director Marek Šulík.

GDPR sa dá potom z pohľadu dopadu aktivít firmy rozdeliť na 6 stupňov:

Na úvod si treba uvedomiť jednu základnú vec. Čokoľvek na internete robíte (či už na svojich stránkach alebo sociálnych sieťach) využíva fungovanie cookies, a tým pádom to spadá pod nariadenie GDPR:

Cookies sú všade

Každý z online nástrojov však pomocou cookies odoberá veľké množstvo rôznych osobných údajov. Tu je jednoduchý príklad, ako sa na to dá pozerať:

Nástroje a cookies

Keď sa potom pozeráme na vyššie spomenutých 6 stupňov GDPR z pohľadu online nástrojov, mohli by sme ich zatriediť nasledovne:

Ako sa dá táto situácia vyriešiť, aby ste na stránkach a pri online aktivitách dodržiavali navrhnuté pravidlá GDPR? Ak prevádzkujete web, máte tam základné analytické nástroje, nejaké remarketingové pixle či newsletter políčko. Doteraz ste o cookies informovali návštevníkov pravdepodobne takto:

GDPR a Cookies

Ak by sme to chceli urobiť lepšie a dali by sme návštevníkovi webu na výber, či si praje alebo nepraje, aby stránka jeho osobné údaje odoberala, riešením by mohlo byť:

GDPR a Cookies

GDPR ide v tomto smere ešte ďalej. Ukladá povinnosť prevádzkovateľom webových stránok dať možnosť návštevníkom, čo chcú, respektíve nechcú, aby sme o nich ukladali, a dokonca dať možnosť, aby si vybrali zo zoznamu, prečítali si viac info alebo sa úplne z vašej databázy cookies vymazali. Teda takto nejako:

GDPR a Cookies

Ak si lámete hlavu, ako toto urobiť, máme aj vo VISIBILITY pre vás riešenie. Spolu s našou partnerskou agentúrou Maxlead v Holandsku sme vyvinuli špeciálny GDPR plugin pre Google Tag Manager, ktorý na stránkach rieši presne tieto veci. Pokojne sa ozvite, ak vás táto téma zaujíma viac.

Hello Cookie Modul pre Tag Manager

Nemusíte však prepadať panike. Čas sa síce neúprosne skracuje, ale postupne všetky hlavné online nástroje, služby aj platformy prichádzajú s novinkami, ktoré pomôžu firmám jednoduchšie splňovať požiadavky, ktoré GDPR na nich kladie.

V rámci CMS WordPress napríklad existuje iniciatíva www.gdprwp.com, ktorá sa snaží zosúladiť všetky pluginy naprieč ekosystémom WordPressu tak, aby striktné požiadavky GDPR spĺňali.

To isté platí aj o nástrojoch, ako sú Hotjar, Analytics či Exponea. V podstate nikto z nich GDPR neberie na ľahkú váhu, čoho dôkazom sú:

Obdobné informácie nájdete prakticky na stránkach všetkých top online nástrojov. Takže, aj keď sa možno v problematike GDPR strácate, trh postupne generuje nové informácie, nápady a nástroje, ktoré vám v najbližších mesiacoch pomôžu minimálne v online svete. Ten offline však bude čisto na vás.

Záver

Agenda GDPR nepochybne prináša kopec zmien a povinností pre firmy aj inštitúcie. Obrovským strašiakom pre všetkých sú hlavne možné pokuty, ktoré hrozia v prípade pochybení.

Na druhú stranu, zákon o ochrane osobných údajov tu bol a platil aj doteraz a z môjho pohľadu firmy, ktoré to doteraz robili dobre a hlavne podľa zákona, sa nemusia báť extrémnych situácií po 25. máji 2018. GDPR sprísňuje niektoré pravidlá a zavádza nové povinnosti, čo sa firmám nemusí páčiť.

Ak sa na to pozrieme ale z druhej strany, teda z pohľadu spotrebiteľa/zákazníka/občana, tak GDPR konečne prináša zásadný posun vpred v oblasti základných práv občanov EÚ na ochranu ich súkromia. Toto vnímam ako veľmi pozitívny krok hlavne v ére internetu a digitálnych technológií, ktoré v posledných rokoch fungovali takpovediac „nadivoko“ a ochrana osobných údajov nebola pre firmy vždy top prioritou.

Užitočné zdroje

Internet je plný rôznych zdrojov a informácií, preto sme pripravili krátky sumár toho, kde sa dozvedieť ešte viac:

 


Na článku spolupracovala  JUDr. Helga Maďarová, CIPP/E, CIPM; advokátka AK Balcar, Polanský & Spol. s.r.o.