„V praxi ide o porušenia, keď sú osobné údaje spracúvané bez právneho dôvodu alebo v rozpore s ním, napríklad je ich spracúvaných viac ako nejaký osobitný zákon dovoľuje alebo sú spracúvané inak, ako je určené. Tiež často nie je plnená informačná povinnosť o spracúvaní smerom k dotknutej osobe alebo je plnená nedostatočne,“ informovala TASR Lucia Bezáková z odboru právnych služieb Úradu na ochranu osobných údajov SR.
Kontrolované inštitúcie už dostali aj prvé pokuty. Ich výšku však Bezáková nespresnila. „Bola udelená aj pokuta podnikateľským subjektom, adekvátna porušeniu, ktoré bolo zistené. Úrad v rámci konania môže prevádzkovateľovi uložiť aj len opatrenia bez nutnosti uloženia pokuty,“ uviedla Bezáková.
Podľa Asociácie zamestnávateľských zväzov a združení (AZZZ) SR chýbala podnikateľom komplexná vysvetľujúca dokumentácia, prípadne komentár, približujúci, ako GDPR správne implementovať. „Znepokojuje nás aj všeobecne nízke povedomie slovenských podnikateľov v tejto oblasti. V prípade závažného porušenia, ktorá z nariadenia GDPR vyplýva, hrozia totiž firmám až likvidačné pokuty,“ pripomenula hovorkyňa AZZZ Miriam Špániková.
Pokuta môže siahať až do výšky 20 miliónov eur alebo do výšky štyroch percent z celkového ročného obratu spoločnosti za predchádzajúce účtovné obdobie. Firmy podľa informácií AZZZ zaplatili za implementáciu GDPR podľa veľkosti a dosahu tohto nariadenia od niekoľko sto až do niekoľko desiatok tisíc eur.
Zvýšené náklady
Na zvýšené náklady, ktoré stálo zavedenie GDPR do praxe, upozornili aj Asociácia priemyselných zväzov (APZ) či Slovenský živnostenský zväz (SŽZ). „Na všetky nové administratívne pravidlá sa každá firma napokon adaptuje, stojí to však veľa času a peňazí, ktoré by potrebovala investovať skôr do samotného podnikania a rozvoja firmy. Nehovoriac o tom, že naša domáca byrokratická záťaž je taká vysoká, že podnikanie sa stáva čoraz menej atraktívnym a viac náročným,“ povedal Andrej Lasz, generálny sekretár APZ.
Podľa generálnej sekretárky SŽZ Miriam Bellušovej sú zákon a smernica Európskej únie ťažko zrozumiteľné aj pre expertov na oblasť ochrany osobných údajov, a preto sa podniky pri plnení zákonných povinností spoliehajú na špecializované poradenské služby. Podnikatelia by preto privítali zjednodušenie týchto predpisov.
Podľa Bellušovej by sa mali v zákone odlíšiť povinnosti hromadných spracovateľov dát a povinnosti ostatných obchodných spoločností s ohľadom na predmet ich podnikania. „Mal by byť konkretizovaný a najmä oproti súčasnému stavu zúžený rozsah povinností pre také podnikateľské subjekty, pre ktoré je spracovanie dát len vedľajším procesom alebo nutnosťou pre zákaznícky servis a komunikáciu s klientmi,“ dodala.
Veľkým firmám to škodí menej
Veľké firmy majú pri zavádzaní zmien vyplývajúcich z novej legislatívy lepšie ekonomické aj personálne možnosti. „Aj vďaka priebežnému monitoringu pripravovanej legislatívy a zodpovednému prístupu k problematike osobných údajov v rámci celej korporácie sme boli schopní riešiť vyžadované zmeny v dostatočnom časovom predstihu a vyhli sa tak závažnejším problémom pri ich zavádzaní či neprimerane zvýšeným nákladom,“ poznamenal hovorca žilinskej automobilky Kia Motors Slovakia Ján Žgravčák.
Firmy sa však často stretávajú s odlišnou interpretáciou ustanovení GDPR u iných spoločností. „S ohľadom na povahu GDPR ako nariadenia je podľa nás nevyhnutné, aby jeho ustanovenia boli ľahko pochopiteľné pre všetky dotknuté subjekty,“ upozornil hovorca.