obrOd 25. mája 2018 vstúpilo v celej Európskej únii do platnosti Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, všeobecne nazývané GDPR. Veľa informácií, ktoré sa v súvislosti s Nariadením šíria vo verejnosti, sú však len zbytočnou panikou.


„Na Slovensko GDPR až tak veľa nového neprináša. My sme mali tvrdý zákon (Zákon o ochrane osobných údajov – pozn. red.) a veľkú časť náležitostí, ktoré prinieslo GDPR, sme mali aj doteraz,“ upokojil snáď všetkých prítomných účastníkov konferencie SpeedCHAIN Slovakia na úvod svojej prednášky GDPR ako zmena v myslení Pavol Adamec z poradenskej spoločnosti KPMG.

* * * * *
Koľkí z vás máte zahltené e-mailové schránky súhlasmi na aktivovanie? Vo väčšine prípadov je to úplne zbytočné.
* * * * *

„Veľa vecí, ktoré sa šíria okolo GDPR, je panika. Zmenou je, samozrejme, výška pokút a prechod od režimu „doteraz vám museli preukázať nesúlad, teraz vy musíte proaktívne dokázať, že ste v súlade s nariadením“ atď. Ale sú aj kroky, kde nám to uvoľnilo ruky. Alebo sa spresnili podmienky a máme väčší priestor na nastavenie podľa špecifických potrieb,“ dodáva.

obr2
Pavol Adamec

 

Kedy potrebujem súhlas?
Pavol Adamec priblížil niekoľko tém, ktoré sú častým predmetom diskusií. Existuje šesť právnych základov týkajúcich sa GDPR. Dva z nich nás nemusia zaujímať, zostávajú štyri. Keď firma identifikuje účel a definuje jeho právny základ, odporúča jej postupovať v zjednodušenom popise nasledovne:
Prvý stupeň – Zákon: Kladie mi povinnosť nejaký zákon, ak údaje potrebujem pre daný účel?
Druhý stupeň – Zmluva s dotknutou osobou: Pokiaľ ja ako spoločnosť priamo podpisujem zmluvu s dotknutou osobou a potrebujem osobné údaje na to, aby som jej poskytol službu alebo tovar, nepotrebujem súhlas.
Tretí stupeň – Oprávnený záujem: Dnes je oprávnený záujem definovaný veľmi široko. Hovorí, že môžete spracovať osobné údaje, ak je to kvôli vášmu oprávnenému záujmu a vaše záujmy neprevládajú nad záujmami a právami dotknutej osoby. Vtedy musíte spraviť tzv. balančný test, aby ste preukázali, že nejdete nad rámec záujmu dotknutej osoby.
Štvrtý stupeň – Súhlas: Keď ste prešli predchádzajúcimi troma stupňami a nepochodili ste, alebo zisťujete, že idete spracovávať niečo, na čo explicitne musíte mať súhlas (napríklad biometria), potom žiadajte o súhlas.

* * * * *
Pavol Adamec hovorí:
„Ak idete do súhlasu a nemusíte, zbytočne škodíte sami sebe. Oprávnený záujem má niekoľko podmienok, ktoré nie je principiálny problém naplniť. Aj spracovanie údajov za účelom priameho marketingu môže byť oprávneným záujmom.
Koniec spamových vojen, ktoré boli doteraz často absolútne nezmyselné. Opätovné potvrdzovanie súhlasov má svoju výhodu ale nebolo vždy nevyhnutné. GDPR sa nijako nevyjadruje k platnosti súhlasu získaného pred termínom.“
* * * * *

Zmena v myslení
Informácie, že firmy nemôžu spracovávať údaje o klientoch bez ich súhlasu, sú nezmyselné.
GDPR nie je o osobných údajoch. GDPR je o základných právach a slobodách fyzických osôb, najmä o ich práve na ochranu osobných údajov. Toto je niečo, čo nám neuľahčuje život, robí ho komplikovanejším. Odteraz na získané údaje musíme nazerať z pohľadu dotknutej osoby, ako jej práva a slobody môžeme ohroziť. Teoreticky akékoľvek práva a slobody.
„Postupujte systematicky a s obozretnosťou,“ radí Pavol Adamec. „Ak nie ste úplne pripravení, nie ste jediní, ale nepodceňujte to. Ak nebudete sledovať práva a slobody dotknutých, ste v stave principiálnych porušení. Ak si to chcete komplikovať súhlasmi, je to vaša voľba. GDPR to prekážať nebude, ale je to vaša prevádzková strata,“ dodal na záver.

TEXT/FOTO: Michal Múdrý FOTO churchsuite.com