Zdroj foto: Flickr.com

Firmy menia podmienky

Podmienky ochrany osobných údajov aktualizovalo množstvo firiem, medzi nimi, samozrejme, aj globálne giganty. „Organizácie zo všetkých sektorov v posledných dňoch a týždňoch zasielajú zákazníkom informácie o nových zásadách ochrany súkromia, ku ktorým ich prinútilo nové európske nariadenie GDPR. Väčšinou ich nazývajú ako vylepšenia, alebo hovoria o väčšej kontrole nad dátami, ktorú dávajú do rúk používateľom,“ upozorňuje spoločnosť TÜV SÜD Slovakia. 

Veľmi podobnú vec samotné firmy nazývajú rôzne. „Facebook informoval, že zavádza ‚nové nástroje ochrany osobných údajov‘. Zároveň postupne vyzýva všetkých používateľov, aby sa oboznámili s tým, ako Facebook používa ich dáta a aby prehodnotili svoje nastavenia súkromia na sociálnej sieti. Google vo svojich aktualizovaných pravidlách ochrany súkromia vysvetľuje, aké informácie zhromažďuje, prečo ich zhromažďuje a ako voči tomu môžu používatelia zasiahnuť. Britský maloobchodný predajca Next sa zaväzuje dodržiavať GDPR a ubezpečuje, že bezpečnosť poskytnutých osobných informácií je preň dôležitá,“ uvádza v krátkom prehľade spoločnosť TÜV SÜD Slovakia. 

„Niektoré vyhlásenia v skutočnosti nehovoria vôbec nič, v množstve slov nenájdete relevantné odpovede, sú to majstrovské diela armády amerických právnikov, ktorí majú zrejme tento rok Vianoce dvakrát,“ hovorí advokát Pavel Nechala zo spoločnosti Nechala & Co. Zároveň má pochybnosti o tom, či sa úroveň ochrany spotrebiteľov zlepší. „Na jednej strane získala ochrana osobných údajov pozornosť ako nikdy predtým, no na druhej strane je otázne, či sa ochrana vôbec aj zvyšuje,“ hovorí. 

„Informovať o incidentoch do 72 hodín je pripravených len málo firiem.“

Čítanie relatívne nezáživných dokumentov však môže byť pre spotrebiteľov nakoniec zaujímavé. „Dotknuté osoby by mali venovať pozornosť informáciám od spracovateľov ich dát. Dozvedia sa tak napríklad, že niektorí obchodníci ich údaje poskytujú tretím stranám na marketingové účely. Zistia, že na sociálnej sieti môžu obmedziť využitie ich dát na zobrazovanie reklám, aj keď sa im nemôžu úplne vyhnúť. A prídu takisto na to, že môžu zakázať prehliadaču ukladať ich aktivitu a vymazať doterajšie vyhľadávania. Až keď si naplno uvedomíme, kde všade sú naše dáta a aké práva nad nimi máme, až vtedy ich vieme naplno využiť,“ ozrejmuje prevádzkový riaditeľ TÜV SÜD Slovakia Martin Tichý. 

Venovať sa zmeneným podmienkam ochrany osobných údajov môže byť dôležité práve preto, aby spotrebitelia vedeli, aké práva si môžu uplatniť. „Dotknuté osoby budú prevádzkovateľov konfrontovať a môžu iniciovať aj konanie na Úrade na ochranu osobných údajov. Rovnako si budú môcť uplatňovať vzniknutú škodu súdnou cestou. Aj toto je dôvod, prečo sa firmy nemôžu len nečinne prizerať a spoliehať sa na to, že sa ich nové opatrenia nedotýkajú,“ myslí si Nechala.

„Slovensko je jednou len zo štyroch krajín, ktoré sa legislatívne pripravili na GDPR.“

Podľa Tichého však bude s najväčšou pravdepodobnosťou na Slovensku existovať skupina firiem, ktoré 25. mája nebudú spĺňať požiadavky GDPR. „Vystavujú sa tak viacerým rizikám – nielen riziku vysokých sankcií od štátu, ale aj riziku straty dôvery zo strany svojich zákazníkov a neschopnosti naplniť ich zákonné požiadavky,“ hovorí. 

Slovensko novelizovalo zákon medzi prvými

Spoločnosti sa na GDPR pripravujú, hoci v podstate len niekoľko hodín pred vstupom GDPR do účinnosti bola na nariadenie legislatívne pripravená len štvorica krajín. Popri Rakúsku, Nemecku a Belgicku má novelizovaný zákon aj Slovensko. „Je určite lichotivé byť medzi štyrmi európskymi krajinami, ktoré sú pripravené s legislatívou na 25. máj. Nie je to náhoda. Je to v prvom rade tvrdé dodržanie časového plánu, ktorý sme na úrade stanovili viac ako pred rokom a húževnatá práca zamestnancov a legislatívcov z úradu. K tomu treba prirátať hodiny pripomienkovania a vyjednávania so všetkými relevantnými záujmovými skupinami v tejto oblasti,“ hovorí Soňa Pőtheová, predsedníčka Úradu na ochranu osobných údajov (ÚOOÚ).

To, že viaceré štáty nepripravili svoju legislatívu, neznamená, že pravidlá GDPR sa ich netýkajú. GDPR je totiž nariadenie a obsah nariadení EÚ je pre všetky členské krajiny. „Nariadenia sú právne akty, ktoré sa uplatňujú automaticky a jednotne vo všetkých krajinách EÚ hneď po nadobudnutí ich účinnosti bez toho, aby museli byť transponované do vnútroštátnych právnych predpisov. Sú záväzné v celom svojom rozsahu pre všetky krajiny EÚ,“ upozorňuje Európska komisia (EK).

Množstvo firiem nestíha

Väčšina firiem síce dokázala zareagovať na príchod GDPR, neplatí to však o všetkých. Podľa prieskumu spoločnosti Trend Micro zameraného na pripravenosť globálnych organizácií, majú iba necelé dve tretiny (63 percent) spoločností definované postupy na informovanie zákazníkov o bezpečnostných incidentoch súvisiacich s ich osobnými údajmi. A do zvýšenia IT bezpečnosti ako prostriedku na naplnenie požiadaviek GDPR investovala iba polovica, presnejšie 51 percent opýtaných organizácií. Prieskum sa uskutočnil vo vybraných európskych krajinách a v USA, respondentmi boli IT manažéri s rozhodovacími právomocami, ktorí pôsobia v organizáciách s viac ako 500 zamestnancami. Do šifrovania investovalo iba 31 % spoločností. 

Z prieskumu ďalej vyplýva, že informovať o incidentoch do 72 hodín je pripravených len 21 % účastníkov prieskumu. Rovnako sa môže ako problém ukázať uplatňovanie práva na vymazanie osobných údajov. „Hoci 77 percent globálnych organizácií uviedlo, že majú na riešenie zákazníckych požiadaviek, týkajúcich sa osobných údajov, vypracované adekvátne postupy, v prípade údajov spracovávaných treťou stranou je situácia podstatne horšia. Približne tretina respondentov nevie, že toto právo sa vzťahuje aj na údaje získané tretími stranami, cloudovými poskytovateľmi a partnermi, prípadne ich organizácia nemá definované zodpovedajúce postupy alebo nevyužíva zodpovedajúce technológie,“ uvádza spoločnosť Trend Micro.

Bezpečné odosielanie a prijímanie
elektronických dokumentov

Chráňte
vašu komunikáciu

Dôverné informácie
zabezpečte heslom

Diskrétnosť požadujte
aj od vašich partnerov