Aké najvýraznejšie zmeny prináša GDPR oproti v súčasnosti platným normám?
Rozširujú sa práva jednotlivcov, a to právo na informácie, prístup a vymazanie – právo na zabudnutie. Napríklad zadáte vaše meno do on-line vyhľadávača a vo výsledkoch sa zobrazia odkazy na starý spravodajský článok o dlhu, ktorý ste už dávno zaplatili, budete môcť požiadať vyhľadávač o vymazanie týchto odkazov. Zavádza sa nové právo na prenosnosť údajov, ktorým sa posilňuje kontrola jednotlivca nad svojimi osobnými údajmi. Prináša aj zásadu zodpovednosti. Firma je zodpovedná za súlad so zásadami spracúvania dát podľa GDPR a musí vedieť tento súlad preukázať.
Každoročne narastá počet únikov osobných údajov. Nikto zrejme nechce, aby unikli údaje o jeho zdravotnom stave od lekára či údaje zo spisu advokáta alebo údaje čo nakupuje v obchode, lekárni.
Sú podľa vás živnostníci a malí podnikatelia pripravení na tieto na zmeny?
Skôr nie. Mnohí stále žijú v presvedčení, že sa ich to netýka. Podľa mojich skúseností mnohí živnostníci a malí podnikatelia nie sú súladní ani so súčasnou právnou úpravou ochrany osobných údajov. Z toho usudzujem, že títo podnikatelia zrejme nebudú na zmeny pripravení. Možno však „zaúraduje“ strašiak v podobe hroziacich pokút a počet podnikateľov, ktorí osobné údaje nechránia, sa predsa len bude postupne znižovať. No myslím si, že pre mnohých živnostníkov a malých podnikateľov pritom vôbec nemusí byť zložité a náročné – časovo či finančne – zladiť sa s nariadením GDPR a novým zákonom o ochrane osobných údajov.
Je podľa vás GDPR zbytočná záťaž pre firmy alebo dobre mienená a mierená legislatíva, ktorej prínos sa ukáže až neskôr?
Na požiadavky zabezpečiť ochranu osobných údajov by sa podľa mňa nemalo hľadieť ako na nutné zlo. Pozrite sa na digitálnu dobu, v ktorej žijeme. Pokrok v oblasti robotiky či umelej inteligencie. Môj starý otec bol off-line. Nemal mobil s množstvom aplikácií, ktoré nás monitorujú. Nebolo možné zbierať o ňom takmer žiadne údaje, a teda ani hodnotiť a analyzovať napríklad jeho nákupné preferencie.
V súčasnosti je to úplne iné. Z roka na rok sme čoraz viac monitorovaní, sledovaní. Z takto zozbieraných údajov nás dokážu algoritmy vyprofilovať zrejme viac, ako si dokážeme predstaviť. Ochrana súkromia fyzických osôb by preto v dnešnom svete mala byť pre podnikateľov samozrejmosťou aj bez regulácie.
Myslíte to ako zodpovednosť voči klientom?
Každoročne narastá počet únikov osobných údajov. Nikto zrejme nechce, aby unikli údaje o jeho zdravotnom stave od lekára či údaje zo spisu advokáta alebo údaje čo nakupuje v obchode, lekárni. Predstavme si malého podnikateľa, živnostníka, ktorý nemusí mať ani zamestnancov. Má e-shop a predáva dámsku bielizeň či náušnice. Ak tento tovar u neho nakupuje nejaký muž a vytvára sa databáza jeho nákupov, tak ho únik týchto informácií môže dostať do ošemetnej situácie.
Ako bude tento muž vysvetľovať dané nákupy svojej manželke, keď kupovaná dámska bielizeň neskončila v jej šatníku? Čím väčšie je potenciálne riziko či ujma pre práva a slobody fyzickej osoby, tým väčšiu vážnosť ochrane osobný údajov treba dať. Predpokladám, že postupne bude narastať počet žalôb, ktorými sa budú ľudia domáhať nárokov zo spôsobenej ujmy ako následku porušenia ochrany osobných údajov. Bezpečné spracúvanie osobných údajov by mal preto podnikateľ vnímať ako súčasť svojej reputácie či ako súčasť kvality svojich služieb.
Všimnú si spotrebitelia, že sa po 25. máji niečo zmenilo? Napríklad pri nakupovaní cez net alebo v emailoch a telefonátoch od predajcov?
Podľa mňa áno. Teda tí všímaví spotrebitelia áno. Mnohí zodpovední podnikatelia budú ešte pred 25. májom komplexne plniť informačnú povinnosť, na webových stránkach budú pribúdať „pravidlá ochrany osobných údajov“. Niektorí budú kontaktovať dotknuté osoby s cieľom získať nové súhlasy na spracúvanie osobných údajov. Ale, samozrejme, je aj druhá kategória ľudí, ktorí napríklad nečítajú, čo podpisujú, či nečítajú s porozumením. Mnohí ľudia sa sami pripravia o svoje súkromie bez toho, aby podnikateľ porušil nejakú reguláciu.
Podpíšu súhlasy a v nich často i poskytnutie údajov ďalším subjektom na rôzne účely a podobne. Mnohé aplikácie v mobiloch umožňujú nastaviť a prispôsobiť si ochranu súkromia. Treba tomu venovať určitý čas, nielen lajkovať či komentovať články a fotky. V tomto smere je a bude dôležité vychovávať deti doma či v školách. Už v starovekom Ríme platila zásada „vigilitantibus iura scripta sunt“ – práva patria bdelým. Teda tým, ktorí sa aktívne zaujímajú o ochranu a výkon svojich práv.
Máte pre malých podnikateľov nejaké základné rady, ako sa na GDPR pripraviť?
Odporúčam začať s tým, že identifikujú a zdokumentujú, ktoré všetky osobné údaje o kom majú. Ako ich získavajú, na čo a ako ich využívajú. Následne je možné pristúpiť k analýze týchto údajov, pri ktorej sa odporúčam zamerať najmä na účel a zákonnosť spracúvania údajov a tiež na transparentnosť. Ak neviete zadefinovať účel spracúvania a právny základ, údaje by ste v zásade mali vymazať. Transparentnosť znamená najmä, že dotknuté osoby je potrebné informovať v rozsahu podľa nariadenia.
Keďže sa rozsah informačnej povinnosti rozširuje, vhodným riešením bude komplexne poskytnúť dotknutým osobám všetky informácie podľa článku 13 resp. 14 nariadenia a informovať o všetkých právach dotknutých osôb. Napríklad aj o práve kedykoľvek namietať proti spracúvaniu osobných údajov na účely priameho marketingu vrátane profilovania. Ak takéto právo dotknutá osoba uplatní, nebude ju už môcť podnikateľ „otravovať“ zasielaním reklamy.