Magické štyri písmená (GDPR) sú nočnou morou mnohých firiem a to aj napriek skutočnosti, že za posledný rok bolo udelených len 52 pokút v priemernej výške 1,900 eur. Advokát a odborník na ochranu osobných údajov Jakub Berthoty preto dlhodobo tvrdí, že strach z pokút nie správnym motivátorom pre implementáciu GDPR.
Všeobecné nariadenie o ochrane údajov (známe pod skratkou GDPR) bolo prijaté už v roku 2016, ale začalo sa v celej EÚ aplikovať až od 25. mája 2018. Za 3 roky aplikácie GDPR je na Slovensku najvyššou udelenou pokutou sankcia Sociálnej poisťovni vo výške 50 tisíc eur. Pre porovnanie, dve najvyššie pokuty udelil Francúzsky úrad (CNIL) spoločnosti Google a to vo výškach 100 miliónov a 50 miliónov EUR. Britský dozorný úrad (ICO) dokonca uvažoval o pokute 200 miliónov eur pre British Airways, ale najvyššiu britskú pokutu nakoniec znížil (aj kvôli pandémii) na 22 miliónov.
Investície do zabezpečenia súladu s GDPR prevyšujú úroveň pokút
V roku 2020 udelil Úrad na ochranu osobných údajov celkovo 54 pokút vo výške 103 tisíc eur. Najvyššia pokuta vo výške 20 tisíc eur bola udelená Dopravnému podniku Bratislava, priemerná pokuta dosiahla úroveň 1,913 eur. Začatých bolo 219 konaní. Najviac pokút dostali mestá a obce, najmä kvôli zverejneniu údajov zo zmlúv a rokovaní na webe, druhé v poradí boli školské zariadenia. Aj keď pokuty podľa GDPR pre slovenské firmy stále predstavujú akéhosi univerzálneho „strašiaka“, je otázne či sú obavy oprávnené. „Slovensko patrí vo výške pokút, ale aj vo výklade a vymáhaní pravidiel podľa GDPR na úplný chvost Európy. Problém však nie je GDPR, ale zákony o ochrane osobných údajov a prax, ktorú sme tu mali dávno pred GDPR. Tento historický a nesprávny prístup nám bráni venovať sa zmysluplným a novým témam. Témy ako rodné čísla, povinne zverejňované zmluvy, kamerové systémy alebo nástenky obcí – na ktoré sa Úrad svojou praxou zameriava – podľa mňa nie sú to, čomu by sme sa mali v dnešnej dobe venovať,“ myslí si odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie DAGITAL Legal.
„Klientom otvorene hovoríme, že skutočné investície do zabezpečenia súladu s GDPR mnohonásobne prevyšujú úroveň aktuálne udeľovaných pokút. Porovnávať tieto čísla na Slovensku nemá žiadny zmysel. Hľadáme preto iné dôvody a motiváciu pre tieto investície. Zatiaľ ich nachádzame skôr s klientami z vysoko regulovaného prostredia a s technologickými spoločnosťami, ktoré majú cezhraničný presah. Takmer vôbec túto agendu neriešime u typických malých podnikateľov, ktorí v tejto téme dodnes vidia skôr prekážku. Myslím si však, že ide o prirodzený jav a vývoj.“ dodáva Jakub Berthoty.
Obávate sa GDPR? Ešte ste nečítali nové ePrivacy nariadenie
Aj keď v roku 2018 sme zaznamenali masový ošiaľ, akúsi „GDPR vlnu“, podľa odborníkov na paniku nebol dôvod. Zmeny, ktoré GDPR v skutočnosti prinieslo neboli až tak výrazné, ako sa mohlo na prvý pohľad zdať. Pribudli nové povinnosti, avšak charakter regulácie ochrany osobných údajov zostal rovnaký a astronomických pokút sme sa na Slovensku stále nedočkali. „Žijeme v dobe, kedy sa nezmysly internetom šíria evidentne rýchlejšie ako pravdivé údaje. Stačí sa pozrieť, kto strašil s likvidačnými pokutami podľa GDPR v roku 2018 a ako vyzerá realita po 3 rokoch. Mnoho z týchto poradcov a poskytovateľov GDPR riešení na kľúč dnes už ani neexistuje alebo sa venujú ďalšej inej horúcej téme. Pritom GDPR nikdy nehovorilo, na čo je konkrétne potrebný súhlas a na čo nie. Presne toto však hovorí ePrivacy legislatíva už od roku 2002. To, že na Slovensku sa tejto téme takmer nikto nevenuje a verejnosť o nej prakticky ani netuší je len dôkazom o úrovni odbornej debaty, ktorá sa tu vedie,“ kritizuje advokát Jakub Berthoty.
Nové ePrivacy nariadenie nebude úplne nové, podobne ako pred tromi rokmi nebolo nové ani GDPR. Nariadenie existuje už dnes v podobe ePrivacy smernice z roku 2002 a zákona o elektronických komunikáciách z roku 2011, ktorý smernicu do slovenskej legislatívy implementuje. Tieto predpisy vyžadujú napr. súhlas s používaním cookies, sledovaním lokalizačných údajov alebo súhlas na marketingové elektronické oslovovanie. Výnimky z týchto súhlasov sú už dnes pomerne prísne a tieto súhlasy musia spĺňať prísne požiadavky podľa GDPR.
V západnej Európe je súhlas na používanie analytických a marketingových cookies, pixelov, skriptov, či prakticky takmer všetkých platených kampaní na sociálnych sieťach, ale aj súhlas na mnohé operácie bežne vykonávané mobilnými aplikáciami, horúcou témou. Na Slovensku tieto súhlasy prakticky nikto nezbiera a téma ani len nerezonuje vo verejnej debate a už vôbec nie v činnosti regulátorov. Nikto nerieši stav, kedy väčšina cookies okien a mobilných aplikácií na internete absolútne nespĺňa základné požiadavky. Ide podľa mňa o alarmujúci stav,“ upozorňuje advokát Jakub Berthoty z Dagital Legal.
GDPR vs. ePrivacy
Verejnosť má problém rozumieť rozdielom medzi ePrivacy legislatívou a GDPR. Častokrát dochádza k zámene týchto rozdielnych predpisov, ktoré, ako sa zdá, treba chápať a aplikovať spoločne, na mnohé dnes už bežne používané technológie. Jasné však nie sú ani národné predpisy, ktoré sa snažia implementovať túto legislatívu EÚ a ani postavenie rôznych regulátorov.
„História sa opakuje. Len 3 roky po ošiali s GDPR budú mnohí ľudia opäť zhrození z ePrivacy nariadenia. Pritom by mali byť zhrození už teraz, pretože obdobné pravidlá platia už niekoľko rokov. Je to podobné ako s prechodom na GDPR. Ak sme dodnes nemali v zákone ani pokutu za porušenie cookies pravidiel a nemali sme absolútne žiadny enforcement týchto pravidiel, ako chceme od verejnosti očakávať, že zvládne prechod na ePrivacy nariadenie? Na Slovensku sa ePrivacy vôbec nedodržiava a nekontroluje. Je primárne zodpovednosťou štátu správne implementovať a vynucovať právo EÚ. Som zvedavý, ako chce štát zo dňa na deň s týmto enforcementom začať,“ upozorňuje advokát a odborník na ochranu osobných údajov Jakub Berthoty.