Doteraz obchodníci na základe údajov zo zákazníckych kariet prispôsobovali svoju ponuku a útočili na vás presne cielenou reklamou podľa vašich zákazníckych preferencií. Niekomu to mohlo prekážať, niekto to „neriešil“, ale obchodníkom stúpali zisky. Tiež sociálne siete či internetové prehliadače prispôsobovali reklamu na mieru každému užívateľovi podľa toho, na čo zamieril svoju pozornosť na webe. Zašlo to až tak ďaleko, že údaje zo sociálnej siete boli využívané na ovplyvňovanie ľudí pri prezidentských voľbách v USA.
Po novom Brusel prikazuje firmám, aby údaje ľudí viac chránili, teda zrevidovali svoje informačné systémy. Využitie dát na komerčné účely tak môže dostať trhlinu. Či nový zákon ľudí naozaj ochráni, je však otázne. Mnohé spoločnosti totiž nezľavia z komerčnosti svojho správania a namiesto toho hľadajú právne kľučky, ako údaje o ľuďoch využívať naďalej. Preto v týchto dňoch obchodníci, sociálne siete či e-shopy oslovili ľudí, aby súhlasili so spracovaním ich osobných údajov s dôvetkom, že ak súhlas neudelia, nebudú môcť čerpať všetky výhody plynúce z ich členstva v zákazníckom klube.
Expert na kybernetickú bezpečnosť Ľubomír Kopáček považuje prístup väčšiny firiem k novým pravidlám pod názvom GDPR za premrhanú príležitosť na to, aby urobili vo svojich systémoch poriadok. "Firmy väčšinou investovali do dobrých právnikov, ktorí vymysleli, ako robiť to isté aj naďalej, a zároveň, aby to aspoň papierovo hralo na motívy GDPR,“ vraví Kopáček. Otázkou podľa neho je, čo na tento „kreatívny prístup“ povie Úrad na ochranu osobných údajov.
Nová regulácia sa týka úplne každého, kto z akéhokoľvek dôvodu prichádza do kontaktu s osobnými údajmi iných osôb. Keď si na svojom konte na internetovej stránke supermarketu alebo v odpovedi na jeho e-mail napríklad zvolíte možnosť, že si už od neho neželáte dostávať marketingové ponuky, informácie o zľavách alebo newslettre, nebudete ich viac dostávať. Inými slovami, spoločnosti, ktoré vám poskytujú svoje služby, by od 25. mája mali využívať len tie vaše osobné údaje, ktoré im dobrovoľne poskytnete, a nemali by vás obťažovať reklamou, so zasielaním ktorej nesúhlasíte.
O súhlas so spracúvaním vašich osobných údajov vás môžu požiadať aj e-shopy kníhkupectiev, internetové periodiká, sociálne siete, ambulancie lekárov, lekárne, skrátka všetci, ktorým ste v minulosti poskytli svoje osobné údaje bez toho, že by ste si to uvedomili, keď ste napríklad na ich stránke pri online nákupe vyplnili registráciu.
GDPR ovplyvní aj školy. Škola vás môže požiadať o súhlas so zverejňovaním fotografií vašich detí na svojom webe. Ak máte školopovinné dieťa, ktoré používa elektronickú žiacku knižku, na internetovej stránke školy nájdete formulku, že „dokumenty sa budú aktualizovať v zmysle GDPR“. Rodič môže byť nemilo prekvapený, ak mu jeho dieťa, ktoré dosiahlo vek 15 rokov, bude brániť nahliadnuť do žiackej knižky a brániť sa ochranou osobných údajov.
Väčšina ľudí má však zmätok už len v tom, čo sú to osobné údaje. Zďaleka nejde iba o rodné číslo alebo adresu trvalého bydliska. GDPR preto presne vymedzuje jednotlivé pojmy. Uvádza sa v ňom, že „na účely tohto nariadenia osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby“. Môže ísť napríklad o informácie získané aplikáciou v mobile, ktorou prevádzkovateľ sociálnej siete alebo obchod, v ktorom robíte online nákupy, zisťuje vašu zemepisnú polohu. Bez vášho súhlasu by sa tak už nemalo diať, lebo hrozí pokuta.
Pochybné praktiky. Zmenia sa?
Otázne je, či sa prijatím GDPR na fungovaní reťazcov, e-shopov či sociálnych sietí naozaj niečo zmení, alebo si len formálne vyžiadajú váš súhlas a vy ho formálne odkliknete. Ak ste si povedzme doteraz v McDonald’s kúpili cheesburger a zaplatili ste ho kartou k svojmu účtu, okamžite vám na facebooku vyskočila reklama na túto sieť rýchleho občerstvenia.
Stačí, že sa v súkromnej korešpondencii na internete zmienite o svojom zdravotnom probléme a vaša elektronická schránka sa zaplní reklamou na zaručene účinný prípravok, hoci každý lekár vám potvrdí, že žiaden fungujúci prípravok na váš problém neexistuje, do úvahy prichádza iba operačný zákrok. Nech v nasledujúce dni otvoríte ktorúkoľvek internetovú stránku, napríklad si budete chcieť prečítať správy v obľúbenom denníku, spomínanej reklamy sa už nezbavíte. GDPR by vás malo okrem iného od nevyžiadanej reklamy odbremeniť, otázka je, či to tak naozaj bude.
Základné pojmy GDPR
- GDPR (General Data Protection Regulation) – Všeobecné európske nariadenie. Vzťahuje sa na každého, kto pracuje s osobnými údajmi.
- Osobné údaje – Patrí k nim meno, priezvisko, pohlavie, vek, dátum narodenia, osobný stav, ale napríklad aj fotografia či IP adresa.
- Spracúvanie – Operácia alebo súbor operácií s osobnými údajmi, napríklad získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie a poskytovanie prenosom.
- Zákonnosť spracúvania – Spracúvanie je zákonné iba vtedy a iba v takom rozsahu, ak je splnená aspoň jedna zo zákonom stanovených podmienok. Jednou z nich je, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.
- Informačný systém – Akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.
- Právo na zabudnutie (na vymazanie) – Dotknutá osoba má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov.
- Oznamovacia povinnosť – Ohrozenie či zneužitie osobných údajov klientov musí spracovateľ nahlásiť Úradu na ochranu osobných údajov do 72 hodín od zistenia.
- Súhlas dieťaťa – Sociálne siete, ako napríklad Facebook, vyzývajú deti mladšie ako 15 rokov, aby so založením ich účtu súhlasili rodičia. WhatsApp napríklad žiada potvrdenie, že užívateľ dosiahol 16 rokov.
Nariadenie platí pre každého
Ochráni teda GDPR reálne naše dáta alebo každému radšej len automaticky udelíme svoj súhlas so spracovaním údajov, aby sme neprišli o zákaznícke výhody? „Je to veľmi zložitá otázka,“ vraví IT bezpečnostný expert Pavol Lupták, ktorý je kritikom GDPR. „Veľa vecí na GDPR je dobrých, z pohľadu technického. Problém však je, že nové európske nariadenie berie ľuďom možnosť voľby, teda možnosť rozhodnúť sa, či je pre nich dôležitá ochrana osobných údajov, alebo niečo iné, napríklad cena," hovorí.
"Predstavte si nízkonákladovú firmu, ktorá predáva lacné služby alebo lacné produkty svojim zákazníkom. A pre nich je najdôležitejšia cena. Množstvo ľudí primárne rieši cenu, a nie ochranu osobných údajov. A teraz príde GDPR, plošné nariadenie, ktoré sa týka všetkých firiem vo všetkých štátoch EÚ. Zrazu s ním musia byť v súlade, do čoho musia investovať čas, peniaze a energiu. Keďže pôjde o vysoké náklady, do niečoho sa premietnu. Firmy ich premietnu do cien,“ tvrdí Lupták a pýta sa, či je to morálne.
„Ľudia zrazu budú platiť o 10 alebo 20 percent viac za niečo, čo vlastne nechceli, pretože pre nich bola najkľúčovejšia cena. Toto je problém,“ myslí si IT odborník. Podotýka tiež, že nie sme klientmi Facebooku alebo Gmailu, pretože si za ich služby neplatíme, sme ich produktom. On sám nevyužíva Gmail a za svoj bezpečný e-mail si platí.
„Google skenuje hlavičky vašich e-mailov a podľa toho vám adresuje reklamu. Facebook robí to isté, monitoruje vaše správanie. Otázka znie: koľko ľudí na Slovensku by bolo ochotných platiť čo i len 5 alebo 10 eur za Facebook alebo Gmail, aby nemuseli byť ich produktom? Nikto podľa mňa. Ak ľudia nie sú ochotní dobrovoľne platiť za ochranu svojho súkromia, prečo si myslíme, že všetci ostatní by mali plošne prispievať na to, aby ich súkromie bolo chránené za peniaze všetkých ľudí?“ pýta sa. Ochranu súkromia si podľa Luptáka zaslúžia iba tí, ktorí sú ochotní investovať do nej čas, energiu a peniaze.
Ako na to idú obchody či lekárne
Firmy sa však s GDPR vyrovnávajú po svojom. O novej právnej úprave informujú síce podrobne a poctivo, buď papierovými letákmi alebo e-mailami – ich žiadosti o vydanie súhlasu so spracovaním osobných údajov však vyznievajú značne rozpačito. „Bez získania vášho súhlasu vás nebudeme môcť odmeňovať a informovať,“ vyzýva vo svojom letáčiku Billa.
Tesco poslalo držiteľom Club Card obsiahly e-mail, v ktorom si zákazník môže preštudovať naozaj všetko: odkazy na to, čo obsahuje nová právna úprava, aké údaje o vás spoločnosť zhromažďuje a na čo ich využíva. Prehľad je taký vyčerpávajúci, že ak zákazník po preštudovaní dokumentov dôjde na koniec, rozhodne sa, už dôkladne poučený, nechať veci po starom.
„Chcete aj naďalej dostávať špeciálne ponuky a užitočné informácie od nás prostredníctvom e-mailu alebo SMS?“ pýta sa reťazec. Ak je vaša odpoveď „áno“, nasleduje vyhlásenie: „Skvelé – v tom prípade nemusíte robiť nič. Budeme Vám aj naďalej posielať všetky skvelé ponuky a informácie, ktoré dostávate. A nezabudnite, že máte možnosť kedykoľvek zmeniť Váš názor.“
„Súhlas so zberom a spracovaním osobných údajov, ktorý sme dosiaľ žiadali, je v súlade s novým všeobecným nariadením Európskej únie. Aktuálnosť a zhodu GDPR s našimi pravidlami a dokumentmi potvrdila aj rozsiahla právna analýza, ktorú sme si nechali vypracovať,“ uviedol Peter Sedláček, PR manažér siete lekární Dr. Max.
Zákon hrozí pokutami
Firmy si však dobre rozmyslia, či budú nové európske nariadenie celkom ignorovať. Hrozí im totiž pokuta až do výšky 20 miliónov eur alebo až do 4 percent z ročného celosvetového obratu z predchádzajúceho finančného roka. „Zapnutie šifrovania je v týchto dňoch jednoduché pre väčšinu počítačov, smartfónov či serverov. Ak vám skutočne záleží na súkromí vašich používateľov, všetko šifrujte,“ radí podnikateľom Lupták.