GDPR – toto prelomové nariadenie zmenilo pohľad na to, ako firmy na celom svete zhromažďujú a používajú osobné údaje občanov EÚ.
Písal sa 25. máj 2018 a obyvatelia mnohých z (vtedy) 28 členských štátov Európskej únie bezpochyby pociťovali spokojnosť. V pobočkách mnohých firiem v EÚ (a často aj mimo nej) však zavládol chaos.
Ešte pred týmto osudným dňom firmy rozposielali svojim klientom a zákazníkom nespočetné množstvo e‑mailov, žiadajúc o súhlas so zasielaním newsletterov, ktorý si nikdy predtým nepýtali. Zároveň sa mnohé podniky, ktorým chýbal špecializovaný personál, snažili zistiť, aké údaje o svojich zákazníkoch vlastne uchovávajú a ako ich budú v budúcnosti organizovať a chrániť.
ODPORÚČNÝ ČLÁNOK: Ako skontrolovať nastavenie súkromia v službe Google
Čo sa vlastne stalo?
V tento deň sa začalo uplatňovať všeobecné nariadenie o ochrane údajov známe ako GDPR, čím sa výrazne zmenil pohľad každého jedného z nás na to, ako firmy so sídlom v EÚ aj mimo nej, ktoré zhromažďujú, spracúvajú a uchovávajú údaje občanov EÚ, tieto údaje používajú.
Odvtedy uplynulo už päť rokov a spotrebitelia v Európe od firiem očakávajú, že keď na ich webových stránkach s podmienkami (ktoré, povedzme si na rovinu, takmer nikto nikdy nečíta) kliknú na tlačidlo „Prijať“ alebo „Súhlasiť“, budú firmy toto nariadenie dodržiavať. Rovnako predpokladajú, že regulačné orgány monitorujú jeho uplatňovanie.
ODPORÚČNÝ ČLÁNOK: Čo vám hrozí, keď sa nestaráte o vašu digitálnu stopu?
Čo GDRP zmenilo?
Pred nadobudnutím účinnosti nariadenia GDPR nikto v skutočnosti nevedel, aké údaje o zákazníkoch firmy uchovávajú. Ukladal si Facebook len naše mená a telefónne čísla alebo e‑mailové adresy? Viedol si Google záznamy o našich vyhľadávaniach? Čo o nás Netflix vie na základe obsahu, ktorý pozeráme? A ako spoločnosti využívali tieto poznatky?
1. Na to, aby sme mohli odpovedať na tieto otázky, treba uviesť, že GDPR sa vzťahuje na širokú škálu zhromažďovaných údajov
- Základné identifikačné údaje – meno, adresa a číslo preukazu totožnosti, náboženské presvedčenie, politická príslušnosť, rasový alebo etnický pôvod, sexuálna orientácia.
- Zdravotné údaje – zdravotný stav, krvné testy, vakcinácia proti Covidu‑19 atď.
- Komunikácia – geolokalizácia, IP adresy, webová história, telefónne hovory a textové správy.
- Ďalšie informácie, ako sú bankové údaje, údaje o nákupoch a používaní aplikácií.
2. Firmy musia rešpektovať osem práv občanov
- Právo byť informovaní o tom, že sa ich údaje zhromažďujú a používajú, ako dlho sa uchovávajú a ako sa budú zdieľať. Tieto informácie musia byť poskytnuté jednoduchým a zrozumiteľným jazykom.
- Právo na prístup ku všetkým údajom, ktoré daná spoločnosť spracúva, ako aj právo vedieť, prečo sa údaje zhromažďujú alebo z akého zdroja boli získané.
- Právo na opravu údajov v prípade, že sú neúplné alebo nesprávne.
- O uplatnenie práva na zabudnutie možno požiadať, ak chce používateľ odvolať súhlas s uchovávaním údajov udelený spoločnosti, ak údaje už nie sú potrebné alebo ak boli spracované nezákonne.
- Právo na obmedzenie spracúvania ako alternatíva k vymazaniu údajov. Používatelia môžu jednoducho požiadať, aby sa ich údaje na niektoré účely nepoužívali. Môžete napríklad udeliť súhlas s používaním údajov na prispôsobovanie obsahu v rámci streamovacej platformy, ale nie s ich použitím v marketingových kampaniach.
- Právo namietať proti spracúvaniu ďalších údajov.
- Právo na prenosnosť údajov. Ak chce používateľ získať prístup k svojim údajom, ktoré firma zhromaždila, a odovzdať ich inej spoločnosti, platí, že vaše údaje patria vám a môžete si ich preniesť, kam chcete.
- Právo nebyť predmetom profilovania na základe súboru údajov s charakteristikami, ktoré môžu definovať správanie, presvedčenie alebo iné informácie.
ODPORÚČNÝ ČLÁNOK: Ak je služba zadarmo, tovarom sú obyčajne naše dáta, hovorí expert na ochranu osobných údajov
3. Má globálny vplyv
Mohlo by sa zdať, že toto nariadenie predstavuje drastickú zmenu len pre firmy so sídlom v EÚ, ale jeho účinky siahajú oveľa ďalej. GDPR sa vzťahuje na všetky podniky, ktoré ponúkajú tovar alebo služby v EÚ alebo spracúvajú údaje ktoréhokoľvek občana v EÚ. Rovnako platí, že údaje občanov EÚ možno vyvážať a používať len v krajinách s podobnými predpismi o ochrane osobných údajov.
Keďže EÚ je jednou z troch najväčších ekonomík na svete, priťahuje investície zo všetkých kútov sveta. GDPR je pritom minimálnou štandardnou požiadavkou, ktorú musia firmy spĺňať, ak chcú pôsobiť v ktoromkoľvek z 27 členských štátov. Neprekvapuje teda, že regulačné orgány na ochranu údajov na celom svete prijímajú vnútroštátne právne predpisy v snahe zosúladiť súbor pravidiel, ktoré by mali firmy dodržiavať.
Je to tak v Kanade, Argentíne, Brazílii, Uruguaji, Japonsku, na Novom Zélande a odnedávna aj v Južnej Kórei. Kanadský zákon PIPEDA je v skutočnosti v platnosti už od roku 2001 a v mnohom sa podobá na právne predpisy EÚ, pokiaľ ide o stanovenie zodpovednosti ako základnej legislatívnej zásady, ale s jedným podstatným rozdielom: na rozdiel od kanadského zákona sa GDPR nevzťahuje len na komerčné subjekty, ale aj na tie vládne.
V USA je však situácia o niečo rozmanitejšia. Na federálnej úrovni existuje viacero zákonov, ktoré sa uplatňujú v konkrétnych oblastiach, napríklad zákon HIPAA pre zdravotníctvo, FCRA pre úverové ratingy, FERPA pre vzdelávanie, GLBA pre úvery a investičné údaje, ECPA pre monitorovanie komunikácie, zákon COPPA obmedzujúci spracúvanie údajov detí mladších ako 13 rokov, VPPA pre záznamy o výpožičkách VHS alebo zákon FTC, ktorý zabezpečuje, aby spoločnosti dodržiavali svoje vlastné pravidlá ochrany osobných údajov. Iba päť štátov prijalo komplexné zákony o ochrane osobných údajov, ktoré sú buď platné, alebo vstúpia do platnosti tento rok: Kalifornia (CCPA a nadchádzajúca „aktualizácia“ známa pod skratkou CPRA), Colorado (ColoPa), Virgínia (VCDPA), Connecticut (CTDPA) a Utah (UCPA).
4. Narušenie ochrany údajov sa musí nahlásiť najneskôr do 72 hodín od zistenia
Jednou z najväčších noviniek, ktoré nariadenie GDPR zaviedlo, bola povinnosť spoločností nahlásiť narušenie ochrany údajov do troch dní od jeho zistenia. Na porovnanie, doteraz bola najprísnejšia lehota na nahlásenie narušení v USA 30 dní.
Táto požiadavka prinútila spoločnosti vypracovať proaktívne plány na riešenie prípadov narušenia ochrany údajov, aby tak odolali pokušeniu odďaľovať čas v snahe vyhnúť sa PR kríze. V čase, keď sú takéto incidenty bežné, musia občania vedieť, že ich údaje mohli byť kompromitované, aby mohli podniknúť potrebné kroky.
5. Ak sa niektoré z pravidiel nedodržia, hrozia pokuty
Určite nejde len o prázdne slová. Nariadenie GDPR sa aktívne presadzuje a k 23. máju 2022 bolo za jeho porušenie udelených 1 093 pokút v celkovej výške 1,63 miliardy EUR. Informácie o pravdepodobne najvyšších sankciách vyvolali obrovskú senzáciu na celom svete a ovplyvnili prácu veľkých technologických spoločností.
V roku 2021 bola spoločnosti Amazon uložená doteraz najvyššia pokuta 746 miliónov EUR za cielenú reklamu bez získania dostatočného súhlasu od používateľov. Prípadom spoločnosti Amazon sa luxemburské úrady (keďže v tejto krajine spoločnosť sídli) začali zaoberať po tom, čo francúzska organizácia La Quadrature du Net podala sťažnosť v mene 10 000 ľudí, ktorí podpísali jej petíciu. V roku 2021 bola uložená pokuta aj spoločnosti Google vo výške 90 miliónov EUR (102 miliónov USD) za to, že obyvateľom Francúzska neposkytla jednoduchú možnosť odmietnuť používanie súborov cookie (súbory cookie sú čiastočne regulované Smernicou o súkromí a elektronických komunikáciách, ale vzťahuje sa na ne aj nariadenie GDPR, keďže upravuje spôsob, akým sa spravuje súhlas osôb). Z rovnakého dôvodu dostali podobné pokuty aj írsky Google a Facebook.
Pokutované boli aj ďalšie známe spoločnosti, ako je odevná značka H&M, British Airways a dokonca aj Holandská daňová a colná správa, ktoré následne museli prispôsobiť svoje mechanizmy ochrany údajov.
Máte kontrolu nad svojimi údajmi
Ide o jedno z najčastejších posolstiev, ktoré v súčasnosti mnohé firmy vysielajú smerom k ľuďom. Takéto vyhlásenia vám dávajú znať, že máte svoje práva, a zároveň ukazujú, že firmy dodržiavajú pravidlá ochrany údajov a súkromia.
Nariadenie GDPR bolo určite prvým dôležitým krokom k zabezpečeniu našich údajov. Samotná existencia tohto nariadenia však neznamená, že by sme sa mali prestať pýtať, prečo je zber údajov potrebný. Prečo potrebujú spoločnosti vedieť toľko o tom, čo robíme, kam chodíme alebo ako sa obliekame? A aké sú alternatívy, keď nesúhlasíme s použitím niektorých našich údajov? Máme k dispozícii alternatívne služby?
Navyše, ak toľkým službám a aplikáciám neprekáža, že nám výmenou za naše údaje poskytnú prístup zadarmo, aká je potom skutočná hodnota našich údajov, keď dokáže prevýšiť príjmy z predplatného?
Túto debatu určite budeme musieť skôr či neskôr otvoriť.
Spracoval: tím ESET
Zdroj: WeLiveSecurity: André Lameiras – 5 reasons why GDPR was a milestone for data protection