Foto: Martin Petruľák

Je podľa vás GDPR nariadenie prísne alebo nie je?

Ja si myslím, že nie je prísne. Veľa sa hovorilo o výške pokút, veľa sa diskutovalo o tom, že 20 miliónov eur je veľmi veľa, no treba si uvedomiť, že to je len maximálna hranica pokút. To neznamená, že ukladané pokuty budú automaticky vyššie. Maximálna výška pokút sa nastavovala iba pre veľké spoločnosti, ktoré spravujú naozaj obrovský počet údajov a ktoré nemajú problém zaplatiť pokutu menšej výšky. Bolo potrebné dosiahnuť, aby aj pre veľké skupiny a nadnárodné firmy bola výška pokuty dostatočne motivačná, aby sa firmy snažili dosiahnuť súlad s nariadením. 

A ako ste GDPR vnímali ešte pred implementáciou a ako ho vnímate teraz? 

Podľa mňa sa veľa nezmenilo. Moja najväčšia obava pred zavedením GDPR bola, že bude chaos. Hoci nariadenie už máme niekoľko mesiacov v účinnosti, tak stále je veľa subjektov, ktoré nezačali s prípravou na dosiahnutie súladu a zároveň máme pomerne veľa otvorených otázok. Takže situácia je taká, že napriek tomu, že nariadenie má jednotné pravidlá, tak v mnohých veciach si to každý subjekt vysvetlil po svojom a bude trvať ešte niekoľko mesiacov alebo skôr rokov, kým sa situácia nejakým spôsobom upokojí a kým všetci budeme vedieť, čo pre nás nariadenie znamená a v ktorých situáciách sa máme ako správať.

Koľko firiem podľa vás začali brať GDPR od začiatku vážne a ktoré firmy prípravu zanedbali?

Osobne odhadujem, že zhruba 80 % firiem sa zameralo iba na vonkajšiu stránku nariadenia. To znamená, že iba vykázali súlad s nariadením, aby to navonok vyzeralo dobre. Tým pádom tieto firmy premeškali príležitosť využiť zosúladenie s nariadením aj na to, aby si poupratovali interné procesy, aby zistili, akým spôsobom sa osobné údaje spracúvajú, kde ich spracúvajú. Zvyšných 20 % firiem si uvedomilo príležitosť na to, aby si spravili procesnú analýzu vo firme, čo sa s ich dátami deje, ako ich vedia lepšie spracúvať, ako ich vedia lepšie ochrániť. Teraz osobné údaje spracúvajú efektívnejšie, majú ich menej a možno nemajú príliš veľkú duplicitu v údajoch. Potom dokáže firma fungovať efektívnejšie. 

Odhadujem, že zhruba 80 % firiem vykázalo súlad s nariadením len navonok.

Vnímate zo svojho pohľadu GDPR ako zbytočnú byrokratickú záťaž?

Nemyslím si, že GDPR je zbytočná byrokratickou záťažou. Má veľa výhod, ale tie sa ukážu až v priebehu najbližších niekoľkých rokov. Tých pár rokov, kým začneme vnímať výhody, budeme vnímať iba nevýhody. Ak mám za seba povedať jednu vec, ktorá mi vadí na GDPR, je to informačná povinnosť. Osobne si myslím, že to možno bolo nastavené príliš ambiciózne. Obávam sa toho, že ak si všetci podnikatelia budú chcieť splniť informačné povinnosti precízne, tak len zahltíme klientov a všetky dotknuté osoby ďalšími materiálmi. Materiály sa majú týkať toho, akým spôsobom sa ich osobné údaje spracúvajú. Efekt však môže byť opačný. Ľudia materiály prestanú čítať, pretože sa zľaknú toho, koľko textu si majú prečítať, preto radšej iba online niekde označia, že si informácie prečítali a že sú poučení, pritom si ich vôbec neprečítajú. 

Aké sú tie konkrétne výhody a nevýhody GDPR?

Výhody a nevýhody GDPR sú navzájom prepojené. To, čo je výhoda je zároveň nevýhoda nariadenia. Obrovskou výhodou je to, že nariadenie má platiť v celej EÚ rovnako. Čiže pre všetky firmy, pre všetkých klientov budú platiť rovnaké pravidlá, či budú v Anglicku, Nemecku, na Slovensku, v Čechách. Na druhej strane táto výhoda prináša problém v tom, že na to, aby sa nariadenie dokázalo jednotne uplatňovať vo všetkých členských štátoch, tak bol zriadený osobitný výbor, ktorý má práce súvisiace s rovnakými pravidlami koordinovať. Potrvá však ešte pomerne dlho, kým sa výbor zjednotí na metodike, ako sa majú jednotlivé čiastkové oblasti v nariadení správať. 

Druhá obrovská výhoda, ktorá je zároveň nevýhoda, je všeobecnosť nariadenia. Nariadenie neprikazuje žiadne konkrétne bezpečnostné opatrenia a v mnohých veciach je všeobecné. Je postavené na určitých zásadách. Nehovorí, ako dlho máme uchovávať údaje, iba ich máme uchovávať primeranú dobu. Každý podnikateľ si tak vie prispôsobiť nariadenie podľa seba, podľa toho, koľko údajov spracúva, ako ich spracúva. Na druhej strane, dnes nikto nevie bezpečne povedať, čo sú primerané bezpečnostné opatrenia, aká je primeraná lehota uchovania. To sú práve veci, ktoré sa budú niekoľko rokov utriasať. 

Z môjho pohľadu je úplne prirodzené, že drvivá väčšina používateľov regulácie v dnešnej chvíli vidí iba nevýhody. Niektoré výhody prišli okamžite, napríklad už nemusíme registrovať informačné systémy, nemusíme mať vypracovaný bezpečnostný projekt podľa konkrétnej vyhlášky, veľa ľudí už nemá ustanovenú zodpovednú osobu, ktorá dohliada na spracovanie osobných údajov. Toto sú všetky veci, ktoré sa prejavili hneď. Bohužiaľ, väčšina firiem ich ešte nevníma, pretože ich zahltili ďalšie povinnosti, ktoré doteraz nemali. Čiže to, že im nejaké povinnosti odbudli v tejto chvíli ešte nevnímajú ako pozitívum.

Prečo sú tie informácie, ktoré by mali byť presné, stále všeobecné? 

Takýto typ regulácie nie je veľmi príznačný pre kontinentálne právo, oveľa viac sa takto reguluje vo Veľkej Británii, kde je regulácia postavená na určitých princípoch. Potom dohľadový orgán bližšie rozoberá, ako tie princípy treba aplikovať v praxi. Na toto my na Slovensku nie sme  zvyknutí. My sme zvyknutí, že nám zákony hovoria čo sa smie a čo sa nesmie a mantinely sú presne nastavené. Nie sme zatiaľ zvyknutí pracovať s tým, že máme nejakú zásadu a musíme si ju určitým spôsobom sami vysvetliť. A, bohužiaľ, takto to nariadenie napísané je a toto je jedna z jeho výhod. Vďaka všeobecnosti dokáže byť nariadenie použiteľné pre každého, každý si môže systém nastaviť primerane podľa seba. 

Na druhej strane majú firmy oveľa menšiu istotu, nemajú sa čoho chytiť. V tomto by bolo veľmi užitočné, keby orgány dohľadu, to znamená Úrad na ochranu osobných údajov (ÚOOÚ) vo väčšej miere zverejňoval metodické usmernenia, metodické pomôcky na implementáciu, ktoré by nám všetkým pomohli naladiť sa na vlnu, ktorú neskôr bude ÚOOÚ očakávať. 

Napríklad vo Veľkej Británii je zhruba 100 stranová príručka pre podnikateľov, kde je vysvetlené čo treba robiť. My takéto niečo nemáme. Naozaj by veľmi pomohlo, keby sme taký manuál mali. Bohužiaľ, situácia u nás to neumožňuje, keďže úrad na ochranu osobných údajov má svoje kapacitné obmedzenia a nemôžeme očakávať, že to, čo robí úrad vo Veľkej Británii s niekoľko 100 ľuďmi dokáže robiť slovenský úrad na ochranu osobných údajov, ktorý ma dokopy zhruba 50 zamestnancov. Chýba centrálna ruka, ktorá by nám povedala, že takto to treba robiť a takto sa treba na problém pozrieť.
 

Podnikateľom by pomohla príručka s usmernením od slovenského úradu

Mala by fungovať nejaká centrálna ruka alebo pomocník na to, aby si firmy mohli na niekoho obrátiť v prípade pomoci?

Ja si myslím, že to je práve teraz základná úloha úradu. Dokonca aj eurokomisárka Věra Jourová, ktorá má aj túto problematiku na starosti, veľmi silno prízvukovala, že teraz od dohľadových orgánov očakáva nielen pokuty, ale aj rady aj informácie. 

Vy ste GDPR pozitívny alebo negatívny?

Ja som skôr GDPR realista. Nemôžem povedať že by som bol pozitívny alebo negatívny. Určite súhlasím s tým, že nová úprava bola potrebná. Tak isto bolo potrebné, aby nová úprava bola čo najviac časovo neutrálna. Proces prijímania nariadení a smerníc v rámci EÚ je oveľa pomalší ako je technologicky vývoj a doterajšie pravidlá ochrany vychádzali zo smernice, ktorá bola prijatá v roku 1995. Za ten čas však nastal obrovský technologický pokrok. Nariadenie sa snaží byť všeobecné, aby sa neviazalo na konkrétne technológie, aby bolo technologicky neutrálne. To je dobré, pretože my nevieme, čo nás čaká o 5 alebo o 10 rokov.

Z čoho ste vy osobne smerom k firmám a smerom k agentom mali pred vstupom GDPR do účinnosti najväčšie obavy? Potvrdili sa?

Ja som mal najväčšiu obavu z toho, že sa neudeje nič. Že finanční agenti budú mať pocit, že nie je potrebné, aby vôbec niečo spravili. Pretože hoci prišlo nariadenie GDPR a máme úplne nový zákon o ochrane osobných údajov, tak v samotnom zákone o finančnom sprostredkovaní sa nezmenilo vôbec nič. Čiže množstvo finančných agentov si mohlo povedať, že sa ich nariadenie vôbec nedotýka, keďže v zákone o finančnom sprostredkovaní sa nič nezmenilo. 

Moja obava sa čiastočne potvrdila, ešte stále máme finančných agentov, ktorí nemajú pocit, že by bolo potrebné niečo spraviť a stále nezmenili svoje správanie a informačné povinnosti vo vzťahu ku klientom. Bál som sa, že tých ľudí bude viac. Väčšina ľudí predsa len zaregistrovala, že GDPR sa ich dotýka a má snahu nejakým spôsobom dosiahnuť súlad s nariadením, či už viac alebo menej úspešne.

Ako nariadenie GDPR ovplyvňuje kontakt agenta s klientom?

Na jednej strane mám pocit, že klienti sú ostražitejší. Viac si uvedomujú, že prichádza nová regulácia. Mesiace po nadobudnutí účinnosti boli poznačené tým, že veľa firiem zaplavovalo svojich klientov rôznymi žiadosťami o udelenie súhlasov a informačnými materiálmi ako spracúvajú osobné údaje. Vedľajším efektom bolo, že mnoho ľudí je už z tej agendy otrávených a znechutených. Už je možno toho priveľa, ľudia sa prejedli ochrany osobných údajov a v tejto chvíli nariadenie vnímajú ako nejakú byrokratickú povinnosť.

Čo sa podľa vás v súvislosti s GDPR ukazuje ako najnáročnejšia činnosť?

Najväčšie problémy v praxi bude vyvolávať povinnosť vymazávania údajov. Každý dobrý finančný agent sa snaží budovať si svoju základňu klientov a žiadny klient preňho do budúcnosti nie je stratený. Čím lepšia je práca finančného agenta, tým má lepšiu návratnosť klienta a práve toto bude do budúcnosti výzva. Agenti si musia správne nastaviť pravidlá vymazávania a likvidácie osobných údajov, aby vedeli povedať, aké údaje si môžu alebo musia ponechať. Toto je výzva, ktorá sa začne ukazovať až postupne. V tejto chvíli si myslím, že prvú vlnu implementácie, ktorá sa týka styku s klientom nejakým spôsobom zvládli. Najťažšia časť práce ich však ešte len čaká.

Akú oblasť GDPR najviac agenti podceňujú?

Ja si myslím že technické opatrenia. To je niečo, čo sa bude riešiť asi zase len postupne, pretože veľa ľudí všeobecne vníma GDPR ako primárne právny projekt. Dokonca mesiace pred nadobudnutím účinnosti nariadenia chodili rôzne správy, že nariadenie GDPR je výsledkom lobbingu veľkých právnických kancelárií v Bruseli a celé to bolo o tom, aby právnici zarobili. Skutočnosť je taká, že len menšia časť GDPR je agenda pre právnika a oveľa viac zaberie procesná analýza, ako sú údaje spracované a samotné technické opatrenia. Práve to, že väčšina subjektov sa snažila dosiahnuť len vonkajší súlad s nariadením, tak sa orientovala na právnu časť GDPR. Oveľa menej pozornosti sa venovalo nastaveniu technických opatrení, či už prenosom osobných údajov, anonymizácii alebo vymazávaniu osobných údajov.

Pred vstupom GDPR sa hovorilo o tom, že firmám stúpnu náklady. Ako je na tom sprostredkovateľský trh?

To závisí od toho, ako na tom boli agenti pred nadobudnutím účinnosti nariadenia, pretože od toho závisí, aký veľký krok museli spraviť v rámci technických opatrení. Ak niekto bol v 100% súlade s doterajším zákonom, tak si myslím, že preňho náklady na implementáciu neboli až také veľké. Určite nejaké boli, ale neboli enormné a neboli likvidačné. Na druhej strane pre tie subjekty, ktoré doteraz zanedbávali ochranu osobných údajov, bol krok, ktorý museli spraviť k splneniu požiadaviek oveľa väčší. Tým pádom boli oveľa väčšie aj náklady. Pre niektorých to mohlo byť naozaj veľmi veľa peňazí.

Slovensko nebolo po odbornej stránke pripravené na takú veľkú regulačnú vlnu.

Spôsobili podľa vás prvé mesiace účinnosti GDPR regulačnú smršť?

Nariadenie skôr spôsobilo zmätok. Na jednej strane firmy začali neskoro, na druhej strane neboli podporované dostatočnou metodickou činnosťou úradu a treba povedať, že ani Slovensko nebolo po odbornej stránke pripravené na takú veľkú regulačnú vlnu. Slovensku objektívne chýbajú dostatočné kapacity, ktoré by sa naozaj venovali problematike ochrane osobných údajov. Mnohokrát firmy boli dokázané na pomoc od subjektov, ktoré nemajú dostatočné skúsenosti s ochranou osobných údajov alebo s tou problematikou a to má, samozrejme, aj vplyv na kvalitu implementácie. To je objektívna prekážka. Netreba čakať, že na Slovensku bude zrazu 20 tisíc právnikov a 30 tisíc ITečkarov, ktorí budú schopní splniť požiadavky firiem.

Je podľa vás 20 tisícová pokuta dostatočne primeraná? 

Ešte je príliš skoro na to, aby boli ukladané pokuty podľa nového nariadenia. Máme informácie, že slovenský úrad na ochranu osobných údajov začal už niekoľko desiatok konaní, ktoré sa týkajú kontroly dodržiavania nariadenia. Zatiaľ ale nemáme informácie, že by bola nejaká konkrétna pokuta udelená. Nariadenie bolo prijaté v apríli 2016, čo znamená, že všetci sme mali dva roky na prípravu. To, že väčšina firiem si nechala prípravu na poslednú chvíľu, to už nemôžeme zazlievať EÚ, to je proste skutočnosť. Dva roky tu boli. Čo je možno trošku škoda, že mediálna stimulácia prišla pomerne neskoro. Veľa podnikateľov si až koncom roka 2017 uvedomilo, že prichádza GDPR, že to stojí veľa úsilia a peňazí, aby sa dokázali prispôsobiť požiadavkám.