GDPR: Ako európske pravidlá digitálneho súkromia všetko zmenili

Dňa 25. mája 2018 Európska únia Všeobecné nariadenie o ochrane údajov (GDPR) nadobudol platnosť. GDPR si stanovilo za cieľ aktualizovať pravidlá týkajúce sa súkromia a súhlasu pre digitálny vek a zabezpečiť, aby organizácie boli zodpovedné za zaobchádzanie s osobnými údajmi svojich zákazníkov – a aby títo zákazníci vedeli, ako sa ich údaje používajú, a že s tým súhlasia.

POZRITE SI: Údaje o mojej ukradnutej kreditnej karte boli použité vo vzdialenosti 4 500 míľ. Snažil som sa zistiť, ako sa to stalo (titulný príbeh PDF) (TechRepublic)

Legislatíva je navrhnutá tak, aby zabezpečila, že sa prijmú preventívne opatrenia na ochranu osobných údajov, a že ak sa organizácia stane obeťou útoku alebo narušenia bezpečnosti, ak dôjde k prístupu k osobným údajom, hlásia to svojim zákazníkom a úradom do 72 hodín od oboznámenia sa s incidentom.

V období pred účinnosťou legislatívy sa firmy vrhli napríklad na zlepšenie spracovania osobných údajov získanie výslovného súhlasu zákazníkov s uchovávaním ich údajov alebo najatie úradníkov pre ochranu údajov, ktorí budú dohliadať na dodržiavanie GDPR projektov.

POZRITE SI: Sprievodca IT profesionálom dodržiavaním GDPR (PDF zadarmo)

Prečo ten ťahák? Hlavnou črtou GDPR bolo nepochybne to, že predstavovalo riziko obrovských pokút v prípade porušenia údajov. Umožňuje vnútroštátnym orgánom na ochranu údajov udeľovať vysoké finančné pokuty pre tie organizácie, o ktorých sa zistilo, že porušili GDPR, a najmä pre organizácie, ktoré sa dopustili úplnej nedbanlivosti môže dostať pokutu zodpovedajúcu štyrom percentám ich ročného celosvetového obratu, čo je číslo, ktoré môže znamenať miliardy pre najväčšieho svetového firmy.

Niektorí verili, že 25. mája budú orgány na ochranu údajov okamžite vidieť, ako orgány na ochranu údajov natiahnu svaly a udelia pokuty, a príchod GDPR priniesol niekoľko veľkých pokút. Predovšetkým francúzsky úrad na ochranu údajov CNIL udelil spoločnosti Google pokutu 50 miliónov eur za porušenie pravidiel GDPR týkajúcich sa transparentnosti a nedostatku právneho základu na spracovanie údajov používateľov v súvislosti s reklamou.

Je to však doteraz najväčšia pokuta podľa GDPR Google sa proti prípadu odvolá, no s 50 miliónmi EUR, ktoré predstavujú vreckové pre monštrum, akým je Google, niektorí tvrdia, že to nezašlo dostatočne ďaleko – alebo dokonca, že GDPR je vlhká motýľ.

Kto však očakával udelenie vysokých pokút tak skoro po 25. máji, asi celkom nerozumie čo je GDPR alebo vyšetrovania oznámení o porušení, ktoré si vyžadujú dlhý čas, kým sa k nim dôjde závery.

„Existovalo falošné očakávanie toho, čo môže regulačný systém poskytnúť v obmedzenom časovom období: zákonný riadny proces znamená, že komisár pre informácie a ďalší Regulačné orgány musia po probléme chvíľu trvať, kým s ním môžu veľa urobiť, okolo toho existuje zákon,“ hovorí Stewart Room, partner pre ochranu údajov a kybernetickú bezpečnosť PwC.

„V spoločnosti sa vytvoril dojem, že regulátori toho veľa nerobia, ale v zákulisí sa toho deje veľa. Len to ešte nespôsobilo výbuch veľkého tresku pokút.“

Strážcovia údajov v celej Európskej únii stále vyšetrujú tisíce oznámení o porušení ochrany údajov môže byť len otázkou času, kedy sa v dôsledku novej ochrany údajov objaví väčšia pokuta regulácia. Existuje tiež riziko, že absencia vysokej pokuty bude znamenať, že niektoré spoločnosti dospejú k záveru, že GDPR nestojí za to, aby sa jej znepokojovalo.

„Nie, že by som bol zástancom vysokých pokút; ale nastalo veľa strachu a paniky okolo výšky pokút, ktoré by mohli byť udelené s GDPR, a ak sa tak nestane zhmotniť, existuje riziko, že spoločnosti by to mohli odložiť,“ hovorí Emma Wright, obchodná technologická partnerka právnickej firmy Kemp Little.

„V minulom roku sa všetci ľudia za posledných päť mesiacov zamerali na GDPR. Ale čím dlhšie pôjdeme bez veľkej pokuty, tým viac to bude klesať v poradí dôležitosti,“ varuje.

GDPR však nemá byť len klubom na porážku organizácií; je tu na to, aby im ponúkol potrebné rámce na vytvorenie zásad zberu údajov, ktoré nielen ponúkajú dodatočný súhlas a súkromie pre spotrebiteľov, ale ak sa uplatňujú správne, môžu tiež pomôcť organizáciám získať viac z údajov.

Napríklad v týždňoch blížiacim sa k 25. máju spotrebitelia boli zaplavení e-mailmi požiadať ich o súhlas so zotrvaním na zoznamoch adries.

Nahnevalo to mnohých ľudí, no okrem toho, čo by sa dalo považovať za najväčšiu iniciatívu na zvyšovanie povedomia o ochrane osobných údajov, znamenalo aj to, že keď spotrebitelia sa rozhodli prihlásiť a súhlasiť s tým, aby organizácie a podniky používali ich údaje, že mnohé organizácie majú teraz užitočnejšie údaje ako oni predtým.

Organizácie, ktoré sa mohli pokúsiť zhromaždiť čo najviac údajov v nádeji na zisk nejakým spôsobom teraz generujú obchody s prispôsobenejším zoznamom – zoznamom, ktorý by sa mal ukázať ako prospešnejší dlhý beh.

„Jednou zo zmien, ktoré začíname vidieť, je preferencia údajov prvej strany, údajov, ktoré pochádzajú priamo z spotrebiteľa, pretože máte súhlas a spotrebiteľ vám dôveruje,“ hovorí Enza Iannopollo, senior analytik pre riziká a bezpečnosť Forrester.

„Kvôli tejto dôvere vám poskytnú presnejšie informácie, relevantnejšie informácie - pretože so súhlasom, ak ste transparentný a verím vám, je pravdepodobnejšie, že s vami budem zdieľať viac údajov ty."

Pomohlo to organizáciám, keď sa museli vysporiadať s GDPR, ale 12 mesiacov od prijatia zákona sily – a majú roky na to, aby sa na to pripravovali – mnohé organizácie sa stále snažia zabezpečiť, aby ich všetci dodržiavali GDPR.

„Z hľadiska dodržiavania predpisov je potrebné urobiť ešte veľa práce,“ hovorí Iannopollo.

"Došlo k zmenám v tom, ako spoločnosti robia veci, ale tieto zmeny neprešli tak hlboko do prevádzky, ako by mali," dodáva a poukazuje na to, koľko spoločností stále nie sú dostatočne pripravení na to, aby vyhoveli žiadostiam dotknutých osôb, pretože nevytvorili správnu infraštruktúru, ktorá je na to potrebná – niečo, čo treba riešiť skôr neskôr.

„Veľa z toho si bude od úradníkov pre ochranu údajov vyžadovať partnerstvo s IT, manažérskymi a obchodnými tímami vo všeobecnosti – nie je to tak možné spustiť veľké digitálne projekty bez zapojenia vášho úradníka pre ochranu osobných údajov a zmeny prístupu k údajom a spôsobu, ako k nim pristupovať posúdiť riziko. Je potrebné urobiť ešte veľa práce,“ hovorí.

POZRITE SI: GDPR: cheat sheet (TechRepublic)

Ale nie sú to len podniky, ktoré sa snažia vyrovnať s tým, čo znamená realita GDPR; niektorí tvrdia, že táto politika sa v Európe neuplatňuje rovnako, ako sa plánovalo.

„Kde sa to podľa mňa v skutočnosti nepodarilo, je vytvorenie jednotných rovnakých podmienok v celej Európskej únii pre údaje. ochranu,“ hovorí Paul Breitbarth, riaditeľ strategického výskumu a dosahu regulátorov v softvéri na dodržiavanie súkromia poskytovateľa Nymity a starší hosťujúci kolega v Európskom centre pre súkromie a kybernetickú bezpečnosť Maastrichtskej univerzity.

Zatiaľ čo európsky projekt existuje okolo myšlienky cezhraničnej jednoty, existujú prvky GDPR, ktoré sa neuplatňujú vo všetkých štátoch: napr. napríklad v krajinách vrátane Nemecka a Fínska je úradník pre ochranu údajov požiadavkou na dodržiavanie predpisov, zatiaľ čo v prípade iní. Breitbarth však uviedol, že GDPR by sa malo uplatňovať podľa rovnakých noriem vo všetkých štátoch EÚ.

„Vidíte, že v existujúcom zákone sú členské štáty, kde je určitá odchýlka od štandardu EÚ je to povolené,“ hovorí a dodáva: „Z legislatívneho hľadiska by sa výnimky vrátili do nuly minimum."

Napriek tomu Breitbarth tvrdí, že GDPR bolo vo všeobecnosti úspešné, pretože prinútilo organizácie zlepšiť svoje postupy ochrany osobných údajov a zároveň spotrebiteľom pripomínať ich práva.

„Veľa organizácií zlepšilo svoje postupy ochrany osobných údajov, prehodnotili svoje schémy uchovávania údajov, prehodnotili svoje politiky a uistiť sa, že sú transparentní v tom, čo robia s údajmi a prečo – to je dôležitý krok vpred,“ hovorí.

Teraz, kvôli GDPR, organizácie dosahujú bod, keď tí, ktorí sú na vrchole, si musia byť vedomí ochrany osobných údajov, dodržiavania predpisov a toho, čo znamená, že ak sa zistí, že organizácia v týchto oblastiach zlyháva – ale ešte to nie je úplne tam a Room porovnáva situáciu so situáciou kybernetickej bezpečnosti pred desiatimi rokmi.

„Najväčšou lekciou GDPR je, že predstavenstvo nekupuje v zmysluplnom zmysle to, čo máme s kybernetickou sieťou. Nie je to len realizácia niekoľkých miliónov libier rozpočtu na program ochrany údajov, nie je to o najatí niekoľkých ponúk na ochranu údajov, to nie je nákup rady,“ vysvetľuje.

"Je to o tom, že predstavenstvo hovorí: 'Ja sám chcem vlastniť súkromie údajov, chcem tomu porozumieť a klásť o tom ťažké otázky' - to je ponaučenie z posledných 12 mesiacov."

Pre organizácie, ktoré ešte nenakúpili, sa môže stať, že si začnú dávať pozor až vtedy, keď im – alebo niektorému z ich konkurentov – udelí vysoká pokuta.

„Bohužiaľ, veľmi často je vytváranie zmien v zmýšľaní spoločnosti spojené s tým, že musíme trpieť bolesťou: to je dôvod, prečo má GDPR veľké pokuty, aby spôsobilo bolesť,“ hovorí Room. "Pokiaľ nepríde bolesť, nikdy sa nekúpia, pretože existuje hádka okolo humbuku Y2K."

GDPR je do značnej miery európsky projekt, ale jeho dôsledky pociťuje celý svet – v Bezprostredne po nadobudnutí platnosti európski používatelia zistili, že nemajú prístup k niektorým hosťom v USA webové stránky. V niektorých prípadoch to stále platí. Je to preto, že GDPR neplatí len v rámci EÚ; ak organizácie narábajú s osobnými údajmi občanov EÚ, tak aj keď majú sídlo niekde inde na svete by mohol byť dobre definovaný ako prevádzkovateľ údajov alebo spracovateľ údajov a stále bude musieť zohľadňovať právne predpisy o ochrane súkromia.

POZRITE SI: Čo je GDPR? Všetko, čo potrebujete vedieť o nových všeobecných nariadeniach o ochrane údajov

Zdá sa však, že niektoré z najmocnejších korporácií v Silicon Valley sa už pripravujú na pôsobenie vo svete, kde sa musí na údaje uplatňovať väčšia úroveň transparentnosti a súkromia.

Len tento mesiac Google oznámil, že bude uchovávať údaje o polohe na zariadeniach len za určitú sumu času pred jeho odstránením, zatiaľ čo Mark Zuckerberg z Facebooku začal hovoriť o jeho dôležitosti súkromia. Nie každý je presvedčený.

„Je to príliš málo, príliš neskoro. Mnohí z týchto technologických gigantov sa snažia využiť súkromie na vyplnenie titulkov a tvrdia, že súkromie je pre nás dôležité. Ale snažím sa pochopiť, ako by sa ich procesy a to, ako zaobchádzajú s údajmi, mohli tak rýchlo zmeniť,“ hovorí Iannopollo.

A teraz existuje množstvo podobných nových legislatívnych opatrení na ochranu súkromia po celom svete, s krajinami ako sú Brazília, Južná Kórea, Japonsko a Indiou teraz všetci pripravujú svoje vlastné zákony týkajúce sa ochrany údajov, zatiaľ čo Kalifornia – domov Silicon Valley – sa tiež chystá zaviesť svoje vlastné Kalifornský zákon o ochrane súkromia spotrebiteľov. Tie by zrejme neboli tak vysoko na programe, keby nebolo GDPR prvé.

„Z dlhodobého hľadiska sa domnievam, že uvidíme vyššiu úroveň ochrany súkromia na celom svete. Pretože, či sa vám to páči alebo nie, GDPR nastavuje nový globálny štandard ochrany súkromia a údajov súlad a vidíte, že stále viac krajín dodržiava aspoň niektoré prvky GDPR,“ hovorí Breitbarth.

PREČÍTAJTE SI VIAC O GDPR A OCHRANE ÚDAJOV

• EÚ skontroluje porušenie GDPR v zmluvách Microsoftu s inštitúciami EÚ
• Ako GDPR pomáha kybernetickej bezpečnosti
• YouTube, Facebook a Google News budú „priamo ovplyvnené“, pretože Európa schváli nové pravidlá týkajúce sa autorských práv na internete
• Bezpečnosť údajov je hlavným problémom dodržiavania GDPR
• Firmy, ktoré nespĺňajú ciele kalifornského zákona o ochrane súkromia spotrebiteľov (TechRepublic)
• Google sa odvoláva na pokutu 57 miliónov USD GDPR, obhajuje postupy ochrany osobných údajov (GDPR)