GDPR po 25.5.2018
ZverejnenýVeľkou témou minulého mesiaca bol príchod GDPR do platnosti 25.5.2018. Aj keď toto nariadenie bolo prijaté už pred viac ako dvoma rokmi, firmy po celom svete dostali čas pripraviť sa na príchod tohto nariadenia do praxe, nakoľko rozsah a dopad GDPR na spracovanie osobných údajov je podstatne väčší ako pôvodného nariadenia. Na Slovensku sme sa napríklad do príchodu GDPR riadili európskou smernicou, ktorá pochádza z roku 1995!
{rgx:save:0}V skratke o GDPR
Pre tých, ktorí ešte nepočuli o tomto nariadení si v skratke pripomeňme, čo to vlastne GDPR je a ako sme sa k nemu dostali.
Nakoľko všetky doterajšie zákony o ochrane osobných údajov boli už zastaralé, rozhodla sa EÚ urobiť veľký krok vpred a ošetriť všetky údaje (aj tie, ktoré pôvodne neboli brané za osobné) novým rozsiahlym nariadením, GDPR (General Data Protection Regulation).
GDPR v prvom rade úplne mení pojem osobný údaj, nakoľko za osobný údaj sa po novom berie každý údaj, ktorý vedie k identifikovaniu konkrétnej osoby, teda napríklad IP adresa, náboženské vierovyznanie, či kultúrna, ekonomická, či sociálna situácia. Zároveň sprísňuje to, ako môžu firmy získať súhlas na spracovanie týchto údajov. Novinkou je aj právo ,,byť zabudnutý”, teda možnosť požiadať spoločnosť, ktorá spracováva vaše osobné údaje, aby boli vymazané. Ako dôležité časti GDPR môžeme ešte uviesť nariadenie, aby zásady ochrany osobných údajov boli spisané od 25.5. v bežnej reči, ktorej môže porozumieť každý človek bez ohľadu na vzdelanie a povinnosť firiem nahlasovať prípadné úniky informácií do 48 hodín od zistenia udalosti.
Na papieri sa možno zmeny nevyzerajú až tak rozsiahle, no pri veľkej miere automatizácie údajov a ich množstve, ktoré každý deň firmy spracúvajú, znamená GDPR často veľké zmeny v chode firiem, úprave ich softvérov a mnoho administrácie, ktorú bolo nutné pripraviť.
GDPR po 25.5 vo svete
GDPR je výnimočné aj v tom, že sa netýka len štátov EÚ, no píše sa v ňom, že akákoľvek firma, ktorá by chcela využívať údaje občana Európskej únie sa už musí riadiť podľa GDPR. To znamená, že aj firmy sídliace v USA, Brazílií, či Japonsku sa museli pripraviť a prijať patričné opatrenia.
Prvý prípad nahlásenia firmy kvôli nesprávnemu ošetrovaniu osobných údajov a hlavne pre spôsob získavania prišiel hneď 25.5. (piatok) skoro ráno, keď rakúsky aktivista Max Schrems podal niekoľko sťažností na Facebook a jeho dve dcérske spoločnosti Instagram a WhatApp.
Schrems podal tri sťažnosti, každú v hodnote takmer štyroch miliard na tieto spoločnosti pre to, že nútili svojich používateľov poskytnúť súhlas so zberom osobných údajov napriek tomu, že slobodná vôľa je jedna z podmienok poskytovania súhlasu. Na výber ste v tomto prípade mali len súhlas alebo vymazanie vášho free Facebook/Instagram/WhatsApp účtu.
Druhý prípad nahlásenia nasledoval hneď o niekoľko hodín na to od francúzskej Národnej komisie pre informatiku a slobodu tentoraz na Google kvôli ich operačnému systému Android v hodnote takmer 3,7 miliardy. Google nútil používateľom operačného systému Android na telefónoch, aby mali nainštalované aj Google Search a Google Chrome k tomu, aby mohli využívať Google Play. Obe tieto aplikácie okrem iného zbierajú údaje o vyhľadávaní a prehliadaní a nie sú jedinými na trhu, čo len pridáva nahláseniu vážnosť.
{rgx:save:1}
GDPR po 25.5. u nás
U nás, v agentúre Sketch, sme začali riešiť GDPR až tento rok. Dôvod bol ten, že naša firma už dávno pred príchodom GDPR spĺňala mnohé požiadavky, ktoré mnohým firmám pribudli a teda zmeny, ktorými musela naša firma prejsť neboli až také rozsiahle. Napriek tomu nám dodatky zmlúv, nové zásady ochrany osobných údajov, rozosielanie newsletterov s možnosťou potvrdenia našich nových zásad, či softvérové úpravy a ich aplikácia zabrali takmer dva týždne.
Náš každodenný život sa veľmi nezmenil, okrem niektorých bezpečnostných opatrení sa dá povedať, že vôbec, no osobné údaje našich klientov sú strážené ako nikdy predtým a oni sami majú na to, ako s nami narábame a pre aké účely ich spracúvame, omnoho väčší dosah.