Nasledoval sumár vašich práv – právo na prístup k svojim údajom, právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať, právo súvisiace s automatizovaným rozhodovaním a právo podať sťažnosť. Cieľom GDPR je aj obmedzenie neželanej reklamy v súkromných či firemných e-mailových schránkach. Či nariadenie v tomto smere splní svoj účel, ukáže až budúcnosť.
Zatiaľ každý len dostal možnosť potvrdiť alebo zrušiť svoj súhlas so zasielaním marketingových ponúk, reklamných katalógov a newsletterov. Niektoré inštitúcie zobrali nariadenie veľmi seriózne a naozaj čakali, kým im súhlas so zasielaním reklamy udelíte, väčšinou išlo o galérie alebo múzeá. Naopak, komerčné subjekty, ako napríklad obchodné reťazce, pre istotu šikovne naformulovali svoje e-mailové poučenia tak, aby ste vy nemuseli urobiť vôbec nič, ak chcete zachovať doterajší stav, a reťazec aby neprišiel o zákazníkov.
Súhlas musí byť transparentný
Niektorí prevádzkovatelia, ktorí už doteraz spracúvali osobné údaje svojich klientov na základe ich súhlasu, o nový súhlas žiadať nemuseli. Úrad na ochranu osobných údajov v tejto súvislosti upozorňuje na paragraf 110 odsek 11 zákona č. 18/2018 Z. z., ktorý hovorí: „Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom (nariadením) sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018." Ak je teda „starý“ súhlas v súlade s novým nariadením, nie je potrebné, aby prevádzkovateľ žiadal o nový súhlas.
Podľa GDPR je však potrebné dbať pri súhlase hlavne na zásadu transparentnosti. To znamená, že ak sa súhlas vyskytuje v rámci iného dokumentu, je potrebné, aby bol od iných častí a obsahu odlíšený, napríklad výrazným písmom alebo písmom inej farby, aby dotknutá osoba jasne a zreteľne tento súhlas vnímala, a neprebehla ho v rámci čítania bez povšimnutia.
Je tiež potrebné, aby ste svoj súhlas mohli odvolať a boli ste o tomto práve jasne a zreteľne informovaní. Dôležité je, aby súhlas bolo možné odvolať tak jednoducho, ako ste ho poskytli. Teda ak ste súhlas poskytli zakliknutím „checkboxu“, mali by ste mať možnosť odvolať ho tiež elektronicky, napríklad zaslaním žiadosti na prevádzkovateľom určený e-mail. To sa o rôznych zľavových portáloch, ktoré vás každý deň bombardujú reklamou na zľavnené dovolenky, návštevy reštaurácií či kozmetických salónov, nedá zatiaľ povedať. Reklamy stále chodia, a možnosť odhlásiť sa zo zasielania e-maily neponúkajú.
Tak ako doteraz, tiež platí, že získavanie súhlasu nesmie prevádzkovateľ ničím podmieňovať, teda súhlas napríklad nesmie byť podmienený poskytnutím služby s formuláciou, že „ak dotknutá osoba nebude súhlasiť s marketingom“, tak si z e-shopu nemôže objednať tovar v zľave a podobne.
Aj cez telefón
Čo hovorí o súhlase samotné GDPR? Podľa neho ide o „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorý formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“. Z definície súhlasu vyplýva, že súhlasom je akýkoľvek prejav vôle dotknutej osoby, ak spĺňa v definícii uvedené náležitosti, teda súhlas je možné získať napríklad aj nahraním cez telefón alebo nahraním na kameru – ak sú zároveň poskytnuté informácie, ktorých poskytnutie vyžaduje GDPR, a to najneskôr v čase získania súhlasu.
Prevádzkovateľ nesmie zabúdať na zásadu, že je povinný získanie súhlasu v prípade kontroly preukázať, teda napríklad uchovávať si papierové súhlasy alebo uchovávať si nahrávky súhlasov, alebo elektronicky poskytnuté súhlasy mať uložené v optickom archíve. To nemusí byť vôbec lacné. Otázne by mohlo byť, ako má prevádzkovateľ naformulovať súhlas, ak v jednom súhlase uvedie niekoľko účelov spracúvania. Podľa legislatívy je však formulácia súhlasov na prevádzkovateľovi.
Ak je však účelov spracúvania uvedených v jednom súhlase viac, je potrebné, aby si dotknutá osoba mohla vybrať, a to napríklad tak, že zaškrtne len kolónky (checkboxy) tých účelov, s ktorými súhlasí. "Nie je teda správny postup, ak prevádzkovateľ vopred zaškrtne všetky účely a dotknutá osoba si má ,odškrtnúť‘ tie, ktoré sa jej ,nepáčia‘. Metóda OPT OUT nie je pri súhlase so spracúvaním osobných údajov dovolená, vždy by mala dotknutá osoba voliť a vyberať účely aktívne, teda prevádzkovatelia majú využívať iba metódu OPT IN,“ inštruuje Úrad na ochranu osobných údajov.
Hrozba pokút
Prevádzkovateľ má povinnosť osobné údaje chrániť a na tento účel musí prijať všetky možné opatrenia, akých je schopný, tak technickej, ako aj personálnej povahy. Bezpečnostné opatrenia musí preukázať, napríklad tak, že má zdokumentované pokyny alebo poučenia, ktorými poučil a informoval zamestnancov, ako majú osobné údaje spracúvať a čo s nimi majú robiť. Môže si tiež viesť záznamy o spracovateľských činnostiach alebo môže tiež pristúpiť ku kódexu správania schváleného úradom a po celý čas „pristúpenia“ musí dodržiavať podmienky, ku ktorým sa pristúpením k nemu zaviazal.
Podobné je to, ak prevádzkovateľ alebo sprostredkovateľ má udelený certifikát – v takom prípade musí jeho podmienky dodržiavať. Aby prevázdkovateľ preukázal súlad s GDPR, musí vedieť deklarovať, na základe akých analýz rizika prijal určité bezpečnostné opatrenia. V prípade, že sa u prevádzkovateľa alebo sprostredkovateľa stane bezpečnostný incident – teda dôjde k porušeniu ochrany osobných údajov – je povinný ho zdokumentovať a prijať opatrenia, aby sa incident neopakoval.
GDPR striktne nestanovuje, akú dokumentáciu musí firma predložiť, aby dokázala, že prijala bezpečnostné opatrenia, môže stačiť, aby preukázala prijaté opatrenia v praxi. Formou preukázania súladu s GDPR je tiež plnenie si informačnej povinnosti. Firma môže kontrole predložiť dôkazy o poskytnutých súhlasoch od dotknutých osôb a ich žiadosti, a tiež prevádzkovateľove odpovede dotknutým osobám.
V prípade nedodržania nariadení o GDPR hrozí firmám pokuta až do výšky 20 miliónov eur alebo až do štyroch percent z ročného celosvetového obratu z predchádzajúceho finančného roka.