Kľúčová reforma GDPR. Čo priniesla a ako dopadla na firmy?

Nočná mora podnikov bez stratégie práce s údajmi, obľúbený terč populistov, bohatý zdroj konšpirátorov, ale aj kľúčový krok, ktorým sa Európska únia prispôsobila požiadavkám digitálnej doby.

Jednou z najvýraznejších reforiem Európskej únie v poslednej päťročnici bola zmena všeobecných pravidiel používaných pri ochrane osobných údajov. Šlo o nutnosť, ktorá otvorila agendu kyber-bezpečnosti v živote spotrebiteľov aj podnikateľov a spravila z nej súčasť mainstream politiky spoločenstva. Podľa mnohých však prešla príprava niekoľkými kľúčovými obdobiami, v ktorých sa do smernice v skratke nazvanej GDPR dostali aj prehnané reakčné mechanizmy.

Aj preto zanechala v množstve sektorov podnikajúcej populácie pachuť. Na nutnosti ochrany údajov sa síce zhoduje každá skupina európskej populácie, konkrétne opatrenia však priniesli rozpaky.

Vo viacerých európskych prieskumoch v podnikateľskom prostredí to boli hlavne slovenské a české firmy, ktoré viedli rebríčky rešpektov a obáv zo zavádzania pravidiel spojených s GDPR.

Často skloňovanou obavou, ktorá mohla podľa názoru slovenských podnikateľov negatívne ovplyvniť ich biznis, bola obava z rizika pre ich obchodný model. Hlavne firmy, ktorých obchod je založený na silnej dôvere zákazníkov, ale aj firmy, ktoré svoj obchodný model považujú za unikátny, vyjadrovali obavy, že nové pravidlá na jednej strane transparentnejšie, na strane druhej viac ochranárske smerom ku klientovi, ohrozia dôveru ich klientov, prípadne prezradia komponenty obchodného modelu konkurencii.

Nejasný výklad výnimky

Častou obavou slovenských firiem bolo taktiež, že GDPR povedie k zvyšovaniu byrokratickej záťaže. Obavy si všimli aj tí, ktorí smernicu pripravovali. Prišli preto s ústupkom a výnimkou z povinnosti viesť záznamy o činnostiach pri spracovávaní údajov. Opatrenie, ktoré je snahou podporiť malé a stredné podniky, je náhradou za zrušenie oznamovacej povinnosti Úradu pre ochranu osobných údajov, ktorú mnohí považovali za formalitu a administratívnu záťaž.

Záznamy by mali podľa opatrenia byť oporou pri riešeniach problémov s ochranou dát vo firmách. Záznamy o činnostiach musia obsahovať mnoho detailných informácií, na ktoré však nie všetci majú priestor a čas. Tieto záznamy by bolo potrebné nielen vypracovať, ale aj priebežne aktualizovať. Práve tu to byrokraciou zaváňalo najviac.

Nariadenie však počíta s možnosťou preniesť túto povinnosť na spracovateľov a povoľuje menším podnikom do 250 zamestnancov povinnosť ignorovať. Výnimka sa však týka len takých záznamov, ktoré nie je možné kvalifikovať ako rizikové, teda „nezasahujúce závažným spôsobom do práv a slobôd jednotlivcov“. Výklad tohto popisu v norme je však tak zo strany zákazníkov, ako aj podnikateľov sporný.

„Napriek prijatiu GDPR pred viac ako dvomi rokmi podnikateľom chýbala komplexná dokumentácia, prípadne komentár približujúci, ako GDPR správne implementovať. Bežne sa stretávame aj s nedostatočným dodržiavaním doterajšej legislatívy. Znepokojuje nás aj všeobecne nízke povedomie slovenských podnikateľov v tejto oblasti. Z nariadenia GDPR vyplýva, že v prípade závažného porušenia hrozia firmám až likvidačné pokuty,“ poukazuje na nedostatočné a nejasné informovanie aj Asociácia zamestnávateľských zväzov a združení Slovenskej republiky.

Čítajte aj:

Montážna linka nemá budúcnosť. V4 musí zmeniť zameranie hospodárstva

Slováci majú príliš vysoké vzdelanie. Zbytočne

Dlhy dobiehajú Slovákov. Domácnosti potrebujú reformy, nie odpustky

Balíček opatrení, ktorý je vlajkovou loďou európskej politiky pre ochranu spotrebiteľa, je v platnosti od 25. mája 2019. Hoci ide o komplexný súbor pravidiel, podnikateľov sa zjednodušene povedané najviac dotkla povinnosť omnoho viac informovať zákazníkov o tom, čo robia s ich osobnými údajmi a komu ich poskytujú. Zákazníci získali právo požiadať o úplné vymazanie svojich údajov z databáz firiem. Každý únik osobných údajov musia firmy bezprostredne nahlásiť a navrhnúť riešenie.

Slovenským firmám osloveným pre účely tejto analýzy prekážajú na opatrení napríklad aj hrozby prísnych sankcií. Tie sú podľa nich neprimerané „mladosti“ opatrenia, ktoré sa napriek zavádzaniu do praxe stále nestalo prirodzenou súčasťou každého podnikateľského projektu. Každému, aj malému obchodníkovi, pritom pri hrubom porušení pravidiel hrozí pokuta až do výšky 20 miliónov eur, alebo do výšky 4 percent z celosvetového ročného obratu firmy.

Opatrenie a formulácia normy obsahujúca „celosvetový obrat“ bola cielená hlavne na nadnárodných internetových obchodníkov, ktorí s údajmi zákazníkov nedovolene obchodujú a v prípade udelenia sankcie by mohli jednoducho argumentovať nízkym objemom obchodných operácií v danej krajine. GDPR sa tak ako jedna z noriem zaoberá európskym trhom skutočne ako trhom jednej krajiny a vníma hrozbu internetovej konkurencie z tretích krajín. Podľa zamestnávateľov však napriek tomu hrozba pokuty vo výške 4 percent z celosvetového obratu predstavuje až príliš tvrdý trest.

 

Tomáš Lemešani

Text čerpal z analýzy pripravenej pre Republikovú úniu zamestnávateľov 

Odomknúť článok

Biznis Biztweet Biznis

  • 5 Kreditov
  • Prístup k exkluzívnemu obsahu
  • Objednávka služieb
Top

Standard Biztweet Standard

  • 1 Kredit
  • Prístup k exkluzívnemu obsahu

Golden Biztweet Golden

  • Získavate 10 kreditov
  • Prístup k exkluzívnemu obsahu
  • Objednávka služieb