30.11.2018 / SME / GDPR žiadna katastrofa neprišla

Začali sme sa viac rozprávať o ochrane súkromia. Ale tiež vzniklo veľa pokútnych firiem na predaj dokumentácie a málokedy je dobrá.

Všeobecné nariadenie o ochrane osobných údajov, známe skôr pod skratkou GDPR, vstúpilo v celej Únii do účinnosti 25. mája. Podnikatelia sa obávali vysokých pokút za jeho chybné uplatňovanie či prebujnenej byrokracie. Pol roka po nadobudnutí účinnosti nič z toho nevidieť. „Pokuty, ktoré som zatiaľ videla, boli za porušenia, za ktoré bolo možné uložiť pokutu už predtým, napríklad zasielanie marketingových oznámení, chýbajúce súhlasy a podobne,“ hovorí senior advokátka Zuzana Cích Hečko z advokátskej kancelárie Allen & Overy.

Pokutu 1,5 milióna českých korún (58-tisíc eur) dostal nedávno napríklad e-shop Mall.cz. Český Úrad na ochranu osobných údajov firmu pokutoval za únik údajov o 736-tisíc zákazníkoch. Časť novinárov pokutu spojila práve s GDPR a na tento hoax následne naskočili aj ľudia v online diskusiách, a najmä medzi euroskeptickými čitateľmi sa informácia rýchlo šírila. Úrad v skutočnosti pokutu udelil ešte podľa starých pravidiel, keďže dáta unikli už minulý rok.

„Pokuty za porušenia typické pre GDPR zrejme prídu až potom, ako text GDPR usadne,“ predpokladá Cích Hečko. Naráža na skutočnosť, že Európsky výbor pre ochranu údajov (EDPB) iba postupne spracúva výkladové stanoviská k menej jasným častiam GDPR a podnikatelia aj dozorné orgány v členských štátoch sa im musia postupne prispôsobovať.

EDPB je v podstatne nástupnickým orgánom Pracovnej skupiny A29, známej skôr pod skratkou WP29, ktorá poskytovala výkladové stanoviska podľa predchádzajúcej európskej smernice o ochrane osobných údajov.

Viac sa rozprávame o ochrane údajov

Magazín PRÁVO oslovil niekoľkých právnikov, aby po pol roku od nadobudnutia účinnosti GDPR skúsili označiť najväčšie pozitíva a negatíva celoeurópskeho nariadenia.

Cích Hečko aj advokát Pavol Szabo z kancelárie GHS Legal sa zhodujú, že pozitívom je už len to, že GDPR otvorilo slovenskou spoločnosťou podceňovanú tému ochrany osobných údajov, súkromia, identity a dát najmä v digitálnom priestore. „Spoločnosti sa začali o túto tému viac zaujímať,“ vraví Cích Hečko. „Mnohé sa začali intenzívnejšie zamýšľať, aké údaje majú k dispozícii, či ich vôbec všetky potrebujú, či ich spracúvajú zákonne a či sú dostatočne chránené,“ dodáva Szabo. Podnikateľov podľa neho začala trápiť nielen hrozba pokút, ale aj poškodenie reputácie. GDPR zaviedlo nové informačné povinnosti pri úniku údajov, dotknuté osoby by sa teda o ňom mali dozvedieť skôr a viac podrobností. Za prínosnú označuje advokát Szabo aj celoeurópsku platnosť GDPR, vďaka čomu by sa mohla zjednotiť interpretácia pravidiel. „Zároveň to uľahčuje procesy a znižuje náklady klientom, ktorí svoje tovary alebo služby poskytujú cezhranične,“ vysvetľuje. Vedúci advokát a partner HMG Advisory Group Ján Gajan ako pozitívum GDPR pre fyzické osoby spomína rozšírenie práva na vymazanie dát a úplne nové právo na zabudnutie. „Vďaka tomuto môže fyzická osoba požadovať, aby boli bez zbytočného odkladu vymazané jej osobné údaje, ak neexistuje právny dôvod na ich ďalšie spracovanie,“ vraví Gajan. Právo na zabudnutie už predtým definoval Súdny dvor Európskej únie, ale jasná legislatíva k nemu neexistovala.

Sťažujeme sa a ani sa neopýtame

Medzi negatíva právnici zaraďujú nejasné znenie GDPR, hrozbu vysokých pokút, ale aj zbytočnú horlivosť fyzických osôb pri uplatňovaní svojich práv. Cích Hečko upozorňuje, že GDPR síce nadobudlo účinnosť 25. mája, no vtedy ešte vôbec neboli jasné jeho reálne dosahy v praxi. Dôvodom je práve to, že Európsky výbor pre ochranu údajov len postupne spracúva usmernenia, čo ktoré ustanovenie GDPR znamená. „Spoločnosti, ktoré si súlad s GDPR nastavili už k 25. máju, museli po prijatí usmernení od EDPB veľa podkladov prerábať, prípadne zistili, že niektoré dokumenty vôbec vypracúvať nemuseli,“ ozrejmuje advokátka. Szabo z GHS Legal upozorňuje na málo známe negatíva. GDPR podľa neho zvýšilo povedomie o ochrane osobných údajov až do takej miery, že ľudia začali svoje práva využívať bez toho, aby poznali ich účel a spôsob uplatňovania.

„Dotknuté osoby tieto práva často využívajú nesprávne, bez toho, aby sa hlbšie zamysleli, čo ním chcú dosiahnuť,“ vraví advokát. Táto horlivosť zachádza podľa neho tak ďaleko, že sa obracajú rovno na dozorné orgány bez toho, aby sa aspoň pokúsili u podnikateľa overiť, či k porušovaniu ochrany osobných údajov skutočne dochádza. V reakcii na GDPR vzniklo veľa pokútnych konzultačných firiem, ktoré dodnes predávajú vzorové dokumenty pre oblasť ochrany osobných údajov. Aj to považuje Szabo za negatívum. „Táto dokumentácia vo väčšine prípadov nezabezpečuje ochranu osobných údajov a často jej obsah ani nezodpovedá nariadeniu GDPR,“ upozorňuje advokát.

Ako je to s pokutami

Gajan zase ako negatívum menuje celkové zvýšenie nákladov na ochranu osobných údajov. Podnikatelia totiž museli investovať do rôznych auditov. Bolo treba preveriť prevádzkové postupy, pri ktorých sa spracúvajú osobné údaje, ale aj zmluvné vzťahy, na základe ktorých sa osobné údaje poskytujú ďalej. Firmy museli tiež investovať do kontroly a zabezpečenia informačných systémov. V niektorých prípadoch sa podľa Gajana zvýšila byrokracia, pretože podnikatelia museli od zákazníkov nanovo pýtať súhlas so spracúvaním osobných údajov.

Vo všeobecnosti sa medzi veľké negatíva GDPR považujú vysoké sankcie, ktoré môžu dosiahnuť až 20 miliónov eur alebo štyri percentá celosvetového obratu pokutovanej firmy. V skutočnosti ide o jeden z mýtov o GDPR. Nariadenie totiž uvádza, že pokuty musia byť v každom jednotlivom prípade účinné, primerané a odradzujúce. Kontrolní úradníci teda pri pokutovaní zvažujú aj veľkosť firmy či zavinenie.

25. 5. 2018 Vtedy nadobudlo celoeurópsku účinnosť Všeobecné nariadenie o ochrane osobných údajov, známe pod skratkou GDPR; Island, Lichtenštajnsko a Nórsko sa pridali až 20. júla.

1.JPG
2.JPG