Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?
Nariadenie o ochrane osobných údajov sa dotklo všetkých firiem, ktoré zhromažďujú a spracovávajú osobné údaje. Nariadením sa musia riadiť nielen firmy, ale aj inštitúcie, jednotlivci – zamestnanci, zákazníci a dodávatelia bez ohľadu na druh odvetia, v ktorom pôsobia.
Cieľom prijatej právnej úpravy bolo zlepšiť ochranu digitálneho práva všetkých občanov. Medzi najvýznamnejšie povinnosti v oblasti GDPR patrí nutnosť ustanovenia zodpovednej osoby, zosúladenie firemných predpisov a zmlúv s novým nariadením, ale aj výrazný nárast pokút za porušenie povinností.
Hlavné zmeny a povinnosti, s ktorými sa museli firmy pri ochrane osobných údajov vyrovnať:
- V jednotlivých prípadoch ustanoviť zodpovednú osobu,
- Upraviť a prispôsobiť príslušnú firemnú dokumentáciu,
- Zmeniť spôsob súhlasu so spracúvaním osobných údajov,
- Nové práva dotknutých osôb (napr.
právo byť zabudnutý),
- Viaceré nové povinnosti pre osoby spracúvajúce osobné údaje.
Veľká záťaž (nielen) pre e-shopy
Nová právna úprava sa výrazne dotkla prevádzkovateľov e-shopov. „Nariadenie na ochranu osobných údajov rešpektujeme. Pre firmy však išlo o veľmi časovo a finančne náročnú agendu, ktorá sa musela premietnuť aj do nákladov,“ konštatuje Patrície Šedivá, hovorkyňa Alza.sk.
Prvotné obavy o veľkom záujem zákazníkov „byť zabudnutí“ sa nenaplnili. „Spustenie sprevádzalo chaotické zasielanie emailov od všetkých e-shopov. Samotný priebeh výrazne necítime. Len malé percento našich zákazníkov si želá „byť zabudnutí“. Reálne to e-shop ovplyvní menej ako nadnárodné spoločnosti a sociálne siete,“ hovorí Ľuboš Baran, manažér prevádzky portálu pilulka.sk.
Nutnosť prijať nové pravidlá a postupy v súvislosti s ochranou osobných údajov konštatuje Andrea Jankovcová, riaditeľka marketingu Hej.sk: „Nariadenie EÚ vnímame ako snahu o celoplošnú reguláciu, ktorá má zaviesť jednotný prístup subjektov k ochrane osobných údajov. K tejto otázke pristupovali doposiaľ všetky subjekty rôznorodo a nakoľko ide o citlivú problematiku, bolo potrebné prijať všeobecné pravidlá.“
Nutnosť zmien
V mnohých prípadoch firmy museli aplikovať veľa zmien, ktoré sa dotkli aj samotného zákazníka. „Najviac GDPR ovplyvnilo e-shop, kde sme museli vytvoriť samostatnú podstránku, na ktorej sme vysvetlili čo a ako ovplyvní GDPR. Zároveň bolo potrebné pri každej akcii, kde zákazníci zadávali osobné údaje, pridať aj súhlas so spracovaním osobných údajov,“ konštatuje Ľuboš Baran, manažér prevádzky portálu pilulka.sk.
Náklady na tieto zmeny neboli v prípade niektorých predajcov zanedbateľné. „Museli sme urobiť hĺbkovú analýzu a následne implementovať jednotlivé úpravy. Súčasne sme pravidelne školili našich zamestnancov. Mailový marketing sa i skôr posielal iba so súhlasom osôb, čiže v tejto rovine zmena nenastala. Naša spoločnosť nikdy nepodmieňovala nákup poskytnutím osobných údajov na marketingové účely. Niektoré služby však bez súhlasu s použitím osobných údajov nemožno ponúknuť,“ konštatuje Patrície Šedivá, hovorkyňa Alza.sk.
Zvykli si
Napriek počiatočným problémom s implementáciou Nariadenia o ochrane osobných údajov by firmy dnešný stav výrazne nemenili. „Zmeny súvisiace s GDPR sa dotkli viacerých oddelení (právne, IT, marketing), ktoré sa podieľali na ich zavedení, a tak nie je možné vyčísliť konkrétnu sumu nákladov. Momentálne nepociťujeme potrebu zjemnenia ani pritvrdenia existujúceho nariadenia,“ hodnotí Andrea Jankovcová, riaditeľka marketingu Hej.sk.
Podobný názor má aj Ľuboš Baran, manažér prevádzky portálu pilulka.sk: „Myslím si, že zákon momentálne nie je potrebné meniť. V budúcnosti však nevylučujem, že sa objavia skutočnosti, pre ktoré budú potrebne úpravy v zákone.“
Alza.sk za najväčší problém v súvislosti s GDPR vidí pretrvávajúcu byrokraciu. „Uvítali by sme menej byrokracie, a to v akomkoľvek smere,“ konštatuje Patrície Šedivá.
Aké najčastejšie chyby sa vyskytujú v slovenských e-shopoch nájdete v článku Pozor na chyby v pravidlách o ochrane osobných údajov (GDPR).