O požiadavkách na ochranu osobných údajov sa vedelo minimálne od roku 2017. Od mája 2018 GDPR vstúpilo do platnosti a pravdepodobne žiadna seriózna spoločnosť nechcela nové nariadenie porušiť. Takže bola medzi prvými spoločnosťami, ktoré nariadenie GDPR implementovali. Tým to ale aj u mnohé z nich skončilo...
Z pohľadu poskytovateľov poradenstva v tejto oblasti to bol vtedy najväčší boom, ktorý trval asi do roku 2019. Keďže nešlo o predaj teplých rožkov, ktoré niekto mohol, ale aj nemusel, potrebovať, ale išlo o zákonné požiadavky a potrebovali to mať v interných procesoch všetky spoločnosti, tak tento záujem spoločností prilákal všetkých rýchlo kvasených odborníkov, ktorí aspoň trochu vedeli o čo ide, a ktorí na tom chceli dobre zarobiť.
Tak to teraz ale aj vyzerá.
V tom horšom prípade mnohí z poskytovateľov týchto služieb/poradenstva neporozumeli požiadavkám nariadenia GDPR do detailov a nepochopili nie len fakty, ale ani súvislosti medzi nimi. Preto nimi vypracované GDPR agendy boli urobené formalisticky a často aj nesprávne. Vidíme to nie len pri preštudovaní webových stránok ich klientov, kde spoločnosti väčšinou prezentujú svoju Informačnú povinnosť, ale aj pri osobných rozhovoroch alebo auditoch. Jednotlivé riešenia obsahujú úplne fatálne chyby, prípadne si protirečia alebo úplne absentujú. O tom, že zamestnanci, manageri či oprávnené osoby o danej problematike nič nevedia, už ani nehovorím.
V tom lepšom prípade bola GDPR agenda urobená primerane dobre, ale tým to aj skončilo a ich interné procesy a postupy rokmi zastarali.
Procesy GDPR zastarávajú
V obidvoch prípadoch sa často už nikto o danú problematiku nestaral a nezachytil zmeny, ktoré priniesol život. Konzultant urobil nutné minimum, agendu odovzdal, dostal zaplatené, ale už nikoho nepreškolil a o svojich klientov sa už ďalej nestaral. Nechal v tom klienta samého. Spoločnosť žila v sladkej nevedomosti, že GDPR agendu má hotovú a teda sa môže cítiť v bezpečí. Ponuky na aktualizáciu či opravu teda logicky odmieta. Žiaľ, platí to pre malé jedno chlapove spoločnosti, ako aj pre medzinárodné korporáty či závody.
Problematika osobných údajov je však komplexný a stále živý proces. Od roku 2018 bolo preto vydaných mnoho metodických pokynov a usmernení, či už doma alebo v zahraničí. Tie upresňovali ako niektoré situácie chápať a ako ich riešiť. V podstate každé jedno usmernenie národného úradu alebo EDPB bola a je aj naďalej zmena. Tak isto sú zmenou aj rozhodnutia súdov v EÚ, ktoré prinášajú stanoviská v oblasti ochrany osobných údajov.
Niekoľko príkladov zmien, usmernení a rozhodnutí, ktoré bolo treba pretaviť aj do interných procesov spoločností:
Zrevidovanie informačných systémov: Do 25.5.2018 museli všetci, ktorí zhromažďujú a spracúvajú osobné údaje Európanov, zrevidovať a zjednotiť informačné systémy a postupy pri práci s osobnými údajmi
Usmernenia týkajúce sa súhlasu: Európsky výbor pre ochranu údajov (EDPB) vydal usmernenia, ktoré podrobne vysvetľujú, čo predstavuje platný súhlas podľa GDPR. Boli zdôraznené aspekty ako je napr. jasná informácia, slobodná voľba a odvolateľnosť súhlasu.
Schrems II rozhodnutie: Európsky súdny dvor vyniesol rozhodnutie vo veci Schrems II, ktoré zrušilo EU-US Privacy Shield ako neplatný mechanizmus prenosu údajov do USA. Toto rozhodnutie malo veľký vplyv na spoločnosti, ktoré prenášajú údaje medzi EÚ a USA. Nebyť dodatočne schváleného rozhodnutia o primeranosti, tak v praxi by to pre spoločnosti znamenalo vnímať USA ako tretiu krajinu, kde by zasielanie osobných údajov podliehalo určitým špecifickým ťažkopádnym nástrojom. Mimochodom, v súčasnosti sa dohoda medzi EÚ a USA volá Data Privacy Framework.
Nové štandardné zmluvné doložky: Európska komisia prijala nové štandardné zmluvné doložky pre prenosy osobných údajov mimo EÚ. Tieto doložky nahradili staršie verzie a poskytujú väčšiu ochranu dotknutým osobám a jejich osobným údajom.
Pokyny pre prenosy osobných údajov po Schrems II: EDPB aktualizoval pokyny pre medzinárodné prenosy osobných údajov, aby spoločnostiam pomohol implementovať technické a organizačné opatrenia na ochranu prenášaných údajov.
Pokyny pre používanie cloudových služieb: EDPB vydal usmernenia pre verejné organizácie, ktoré používajú cloudové služby, aby zabezpečili súlad s GDPR, vrátane otázok súvisiacich s bezpečnosťou a medzinárodnými prenosmi údajov.
Pokyny pre video dohľad: EDPB vydal usmernenia týkajúce sa používania kamerového systému a video dohľadu, ktoré objasňujú, ako zabezpečiť súlad s GDPR pri monitorovaní prostredníctvom kamier.
Podrobné informácie o zmenách vo výklade GDPR
Je toho veľa? Rozoberme si detailnejšie aspoň niektoré zmeny.
Kamerové systémy
Kamerové systémy (známe aj ako CCTV) v priestoroch spoločnosti. Istý čas v princípe stačilo, aby si prevádzkovateľ CCTV určil vhodný účel spracovania, zadefinoval správny právny základ, splnil si Informačnú povinnosť, nalepil na vhodné miesto piktogram kamery a bol v súlade s nariadením GDPR.
Vyšiel však metodický pokyn, ktorý teraz jasne určuje, že po novom to nemôže byť len o obyčajnej prevencií typu „čo keby sa niečo stalo“. Prevádzkovateľ musí vedieť vydokladovať, že svoju živnosť prevádzkuje napr. v lokalite, ktorá je podľa policajnej štatistiky v kriminálne závadovej oblasti, alebo už ho v minulosti cez plot vykradli, prípadne jeho vlastní zamestnanci mu niečo ukradli a pod.
Dve vrstvy informačnej povinnosti
Iným príkladom nového metodického pokynu je možnosť prevádzkovateľa rozdeliť tkz. informačnú povinnosť na dve vrstvy.
V 1. vrstve (napr. pod piktogramom kamery) sa majú nachádzať najpodstatnejšie informácie ako identifikačné a kontaktné údaje na prevádzkovateľa, kontakt na zodpovednú osobu, účel spracúvania, lehotu, prípadný prenos do tretí krajiny, práva dotknutej osoby a odkaz, kde v digitálnej aj nedigitálnej podobe sa nachádza 2. vrstva, ktorá obsahuje všetky informácie podľa čl. 13 GDPR.
V 2. vrstve má byť teda všetko ostatné, o čom prevádzkovateľ považuje za dôležité informovať. Vychádzalo sa totiž zo skúsenosti z praxe, že návštevníci web stránok Informačnú povinnosť prevádzkovateľa nečítali, pretože pri nej doslova zaspávali pre jej obsiahlosť, prípadne podstatné informácie boli zahltené informáciami nepodstatnými a zapadli do stratena.
Cookies
Bez zmeny neostali napr. ani cookies obsahujúce osobné údaje. Usmernenie o tom, ako má prevádzkovateľ web stránky spracovať svoju informačnú povinnosť o cookies, aby bola v súlade nie len s nariadením GDPR, je možné nájsť aj v novom zákone o elektronických komunikáciách. V tomto zákone je presne špecifikované aký typ informácii treba odprezentovať a akým spôsobom. Žiaľ, už len letmý pohľad na web stránky spoločností naznačuje, že tento nový zákon väčšinou nezachytili a neimplementovali do praxe.
Všeobecné trendy a ďalšie zmeny
Zvýšenie pokút a sankcií: V priebehu rokov sa zvýšil počet a výška pokút uložených za porušenie GDPR. Orgány dohľadu v EÚ aktívne presadzujú dodržiavanie pravidiel.
Zvýšený dôraz na transparentnosť: Rastúci počet usmernení zdôrazňuje potrebu transparentnosti vo vzťahu k dotknutým osobám, najmä pokiaľ ide o informácie o spracovaní ich údajov a o ich právach podľa GDPR.
Evolúcia technológií a GDPR: S rozvojom nových technológií, ako je umelá inteligencia (AI) a internet vecí (IoT), boli vydané špecifické usmernenia na zabezpečenie súladu s GDPR pri používaní týchto technológií.
Odporučenie je jedno jediné. Nechajte si svoju internú GDPR agendu prekontrolovať odborníkmi a aktualizovať. V súčasnosti sa už trh so špecialistami stabilizoval. Riziko, že zase naletíte, je menšie. Aj keď stále existuje. Preto si dobre vyberajte.