GDPR je stále veľmi populárnou témou. Všeobecné nariadenie o ochrane osobných údajov, ktoré je od 25. mája 2018 platné aj na Slovensku, prinieslo povinnosti všetkým firmám. Prináša niečo nové – špecifické povinnosti pri tom, ako majú firmy spracúvať určitý typ údajov – naše osobné údaje. Preto o ste o ňom zrejme počuli aj od svojho zamestnávateľa a firmy sa mu museli svojimi procesmi a internými pravidlami prispôsobiť. GDPR však tieto povinnosti prináša pre nás, ľudí, ktorých údaje sa majú ochraňovať, a preto sme všetci mohli zaregistrovať zmeny aj pri pohľade „zvonka“. Firmy, ktorých sme zákazníkmi, nám poskytujú viac informácií o tom, ako osobné údaje spracúvajú, a skoro všetky weby nás informujú o tom, že využívajú údaje o našej aktivite, tzv. cookies.
Prišla teda nová legislatíva, ktorá zaviedla dodatočné pravidlá a povinnosti pre firmy v oblasti, v ktorej zatiaľ neboli. Je vôbec dobré, že sa rozsah legislatívnych povinností bude stále rozrastať? Narastajúci počet zákonov a pravidiel zvyšuje náklady a existuje názor, že objem legislatívy mal skôr klesať, ako narastať. Tak, aby boli právne predpisy adresnejšie, jednoduchšie a obsahovali menej výnimiek, medzi ktorými sa dá kľučkovať. V USA napríklad existuje od roku 2017 nariadenie (Executive order) č. 13771, podľa ktorého musia federálne úrady pri zavedení nového právneho predpisu dva existujúce predpisy zrušiť, pričom celkové náklady sa nesmú zvýšiť. Ako je to teda s GDPR?
Pozrime sa na „bežného používateľa“. Napríklad pri podpise zmluvy s poskytovateľom služieb alebo so zamestnávateľom dostane Informáciu o spracúvaní osobných údajov. Internetový obchod ho pri objednávke môže požiadať o udelenie súhlasu na spracúvanie osobných údajov na marketingové účely. Webstránka so spravodajstvom mu zobrazí výzvu o tom, že stránka spracúva a využíva údaje o jeho aktivitách. Jednoducho, GDPR sa valí zo všetkých strán a únava z agendy navyše je prirodzená.
Pozrime sa na „bežného používateľa“ ešte raz. Možno ho bombardujú telemarketingové kampane a internetový obchod zasiela príliš veľa reklám. Ako používateľ sociálnych sietí a služieb internetových gigantov poskytuje svoje osobné údaje aj týmto firmám. Alebo mu akákoľvek firma, ktorej raz poskytol e-mail a telefón, naďalej zasiela výzvy, reklamy alebo rovno nevyžiadané služby.
Myslím, že všetci nájdeme príklady z reálneho života, keď sme boli v takejto alebo podobnej situácii. Dalo by sa namietať, že o nič nejde: prečo kvôli pár reklamám navyše zavádzať takú komplikovanú legislatívu na celoeurópskej úrovni? Toto však platí len dovtedy, kým niektoré firmy neprídu na to, že okrem otravných e-mailov by nás dokázali otravovať aj niečím iným bez toho, aby sme o tom vedeli. Napríklad skrytým cielením politickej kampane, ako to robila spoločnosť Cambridge Analytica, ktorá používala osobné údaje o miliónoch používateľov Facebooku bez ich súhlasu práve na cielenie politickej reklamy.
Potom prišlo GDPR, ktoré dáva bežným ľuďom obrovskú moc nad súkromnými spoločnosťami, ktoré spracúvajú naše osobné údaje. Tieto pravidlá môžu byť zatiaľ kostrbaté alebo môžu byť niekedy až absurdne vykladané. Ale ak si uvedomujeme hodnotu svojich údajov a svojho súkromia a chceme si ho chrániť, GDPR nám dáva konkrétne nástroje, ktoré tu predtým neboli.
Napríklad „práva dotknutých osôb“. Je to niečo, čo tu predtým vôbec nebolo a dáva veľkú moc a možnosti všetkým. Konkrétny príklad: pochybný predajca získal bez súhlasu vaše údaje a zasiela vám nevyžiadané vzorky alebo zásielky a dožaduje sa platby. GDPR je v tomto veľmi efektívne: dotknutá osoba informuje túto firmu o uplatnení svojho práva podľa GDPR a namieta spracúvanie svojich osobných údajov. Hrozba je okamžitá a prísna: firma musí reagovať do 30 dní a v prípade porušenia zásad ochrany osobných údajov GDPR dáva možnosť udelenia obrovskej pokuty. Pochybný predajca si to radšej rozmyslí.
Čo je však dôležitejšie a sľubné, svoje správanie prehodnocujú aj firmy v oveľa väčšom meradle. Neveríte? Napríklad Microsoft nedávno aktualizoval podmienky používania online služieb, v ktorých uvádza, že spoločnosť nebude spracovávať zákaznícke osobné údaje s cieľom „profilovania, reklamy alebo podobných komerčných účelov alebo prieskumu trhu“, pokiaľ to zákazník výslovne nepovolí. Táto zmena je dôsledkom vyšetrovania, ktoré overovalo, či Microsoft zbiera informácie v súlade s GDPR.
Od roku 2007 pripadá na 28. január Medzinárodný deň ochrany osobných údajov. Možno si poviete, že čo všetko už nemá svoj medzinárodný deň. Ale podľa môjho názoru je dôležité nahlas povedať, že za ochranou osobných údajov nie sú len zbytočné novinky, ale reálne nástroje pre nás všetkých, ako sa v digitálnom svete chrániť. A s tým, samozrejme, spojené obrovské povinnosti pre firmy, ktorým naše údaje zverujeme.
