To nahrádza doterajšiu legislatívu a jeho cieľom je posilniť a zjednotiť ochranu osobných údajov pre všetkých občanov žijúcich v členských štátoch Európskej únie. Nariadenie vstúpi vo všetkých členských štátoch EÚ do účinnosti od 25. mája 2018 a dá ľuďom väčšiu kontrolu nad tým, ako s ich osobnými údajmi môžu narábať rôzne organizácie.
Podľa odhadov sa GDPR dotkne vyše pol milióna subjektov na Slovensku a vyžiada si zmeny v procesoch a systémoch za vyše 40 miliónov eur. Pre každú firmu, ktorá pracuje s osobnými údajmi fyzických osôb, je to preto v týchto týždňoch dôležitá téma. Rovnako dôležitá téma je to aj pre bežných spotrebiteľov, pretože nové pravidlá zásadne zvyšujú ochranu súkromia ľudí. Hoci ide o nariadenie EÚ, má celosvetový vplyv, pretože akákoľvek organizácia, ktorá spracúva osobné údaje občanov EÚ, musí spĺňať požiadavky tejto regulácie.
„Od 25. mája sa v celej Európe začnú uplatňovať nové, silné pravidlá ochrany údajov. Bolo už načase. Súčasné pravidlá Európskej únie o ochrane údajov sa datujú do roku 1995, keď nikto nepočul o spoločnosti Facebook alebo Instagram. Modernizované pravidlá sú vhodné pre digitálny vek a pomôžu ľuďom znovu získať kontrolu nad ich osobnými údajmi,“ uviedla Věra Jourová, európska komisárka pre spravodlivosť, spotrebiteľov a rodovú rovnosť.
Jednotlivci nie sú zväčša dostatočne informovaní o spracúvaní svojich osobných údajov. Väčšina firiem neinformuje ľudí o tom, že spracúva ich osobné údaje, na aký účel ich spracúva, komu sú sprístupňované a poskytované, kam sú prenášané, na aký čas ich uchovávajú a podobne. „Firmy sú povinné poskytnúť dotknutým osobám mnohé z týchto informácií už podľa aktuálne účinného zákona, a GDPR kladie omnoho väčší dôraz na transparentnosť a individuálne práva ľudí. Ak firma v rámci kontroly nepreukáže úradu, že poskytla dotknutej osobe príslušné informácie o spracúvaní jej osobných údajov, hrozí firme sankcia,“ objasňuje situáciu Pavol Szabó zo spoločnosti GHS Legal.
Ľudia sa o to, čo vlastne na internete o sebe prezrádzajú, začali intenzívnejšie zaujímať po vypuknutí škandálu okolo sociálnej siete Facebook. Osobné údaje na Facebooku mala neoprávnene získať spoločnosť Cambridge Analytica, ktorá ich podľa obvinení použila na ovplyvňovanie prezidentských volieb v USA či v referende o brexite, teda vystúpení Veľkej Británie z Európskej únie. O kauzu Facebook sa začala intenzívne zaujímať aj Európska komisia.
„Vyzvala som Facebook, aby podnikol všetky nevyhnutné kroky k zmierneniu akýchkoľvek negatívnych dôsledkov pre užívateľov. Bola som informovaná, že Facebook chystá rozsiahlu previerku všetkých dotknutých aplikácií, ale že to zaberie veľa času,“ povedala eurokomisárka Jourová.
Facebook minulý týždeň priznal, že až 2,7 milióna ľudí v krajinách EÚ sa mohlo stať obeťou nevhodného zdieľania údajov v priamej spojitosti s činnosťou Cambridge Analytica. Podľa Jourovej by mal šéf Facebooku Mark Zuckerberg vziať na vedomie pozvanie europarlamentu a po vystúpení v americkom Kongrese vysvetliť celú situáciu aj pred európskymi zákonodarcami.
Konkrétne pre Facebook nariadenie GDPR bude znamenať, že v prípade, že by došlo opäť k úniku alebo inému zneužitiu osobných údajov, musí do 72 hodín tento incident ohlásiť, inak mu hrozí pokuta štyri percentá z jeho ročného obratu, čo by napríklad z výsledkov dosiahnutých v roku 2016 znamenalo pokutu 1,6 miliardy dolárov. Zákonodarcovia veria, že práve výška pokút bude organizácie robiť výrazne opatrnejšími pri zabezpečení ochrany osobných údajov svojich klientov.
„Vďaka dôrazu na prísne zásady spracúvania sa nová legislatíva dotkne najviac tých, čo sa snažia využiť neznalosť spotrebiteľa, jeho nedostatok času či záujmu o jeho súkromie. Transparentnosť ako základ nakladania s osobnými údajmi im skríži plány už v momente, keď získavajú osobné údaje svojich zákazníkov. Prísna informačná povinnosť im znemožní skrývať sa za neprehľadné vzťahy a netransparentné praktiky. GDPR je hlavne o procesoch, ktoré si pri spracúvaní osobných údajov zavádzajú podnikatelia do praxe, o ich nastavení a hlavne o ich preukázateľnosti,“ uviedol Tomáš Mičo, bývalý vedúci právneho odboru na Úrade na ochranu osobných údajov SR.
Takmer štyri z desiatich slovenských firiem sa pritom ešte nezačali pripravovať na splnenie požiadaviek GDPR. Vyplýva to z prieskumu TÜV SÜD Slovakia medzi desiatkami slovenských spoločností. Vyše štvrtiny (28 percent) sa dokonca s novou reguláciou ani neoboznámilo. „Väčšina firiem na Slovensku neriadi informačnú bezpečnosť dostatočne a môže byť pre ne veľmi náročné splniť všetky nové pravidlá. Zavedenie GDPR môže v závislosti od veľkosti a zamerania firmy, a takisto aj v závislosti od doterajšieho nastavenia informačnej bezpečnosti vo firme trvať 3 až 12 mesiacov. Je teda možné, že časť z nich to nestihne a vystavia sa riziku vysokých pokút,“ upozorňuje audítorka TÜV SÜD Slovakia Katarína Heiserová.
