Je tomu už takmer dva roky, čo Európsky parlament a Rada EÚ vydali Nariadenie č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov známe aj ako GDPR (General Data Protection Regulation), ktoré sa začne uplatňovať 25. mája 2018. Jednotlivé členské krajiny EÚ tak mali k dispozícii priestor pre jeho transpozíciu do vnútroštátnych právnych poriadkov.
Aktuálne vládnou koalíciou schválený návrh zákona však ide nad rámec nariadenia, a to vo viacerých oblastiach, ktoré boli pripomienkované už v rámci legislatívneho procesu. Celkový počet pripomienok presiahol hranicu jednej tisícky, z nich len niektoré zákonodarca reflektoval. Vzhľadom na limitovaný priestor magazínu sa v nasledujúcom texte budeme venovať len niekoľkým z nich. V prvom rade (na rozdiel od nariadenia, podľa ktorého je možné za oprávnený záujem považovať aj priamy marketing, resp. spracúvanie osobných údajov na účely priameho marketingu) nerešpektuje špecifiká priameho marketingu na spotrebiteľskom trhu.
Praktické uplatňovanie zákona tak bude mať negatívne konzekvencie pre podnikateľské subjekty využívajúce priamy marketing ako jednu z hlavných podnikateľských činností (direct marketingové agentúry, agentúry poskytujúce tzv. lettershop, spoločnosti poskytujúce spracovanie dát a pod.), ako aj pre subjekty zabezpečujúce doručovanie priamych poštových zásielok (direct mailov) vďaka predpokladanému poklesu ich celkového počtu, či celkovo pre celý rad primárne malých a stredných podnikov, ktoré priamy marketing využívali predovšetkým z dôvodov jeho vysokej efektivity vo vzťahu k nákladom, ako aj pre neziskové organizácie, nadácie, fondy, ale aj záujmové združenia, ktoré priamy marketing využívali pre potreby fundraisingu. Jediná úľava sa týka vedenia záznamov o spracovateľských činnostiach v prípade zamestnávateľov s menej ako 250 zamestnancami.
Ďalšou z nepríjemných konzekvencií môže byť aj nárast objemu neadresnej distribúcie, ktorá bude zahlcovať naše poštové schránky. Samotná implementácia GDPR naviac so sebou prináša vysoké náklady a nevyhnutné investície do existujúcich informačných systémov, a to rádovo v rozsahu od tisícov po milióny eur (v závislosti od typu a veľkosti prevádzkovateľa alebo sprostredkovateľa), ktoré v konečnom dôsledku budú buď prenášané do cien produktov na trhu alebo zákon jednoducho nebude či už vedome alebo nevedome rešpektovaný. V prípade jeho porušenia však hrozia likvidačné pokuty. Pri nich sa uvádza len ich maximálna výška, ktorú môže Úrad na ochranu osobných údajov udeliť, a to 20 000 000 eur alebo 4% celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, v zákone absentujú jednotlivé sankčné pásma…
Spýtal sa vôbec niekto, ako sú napríklad aj orgány verejnej moci či verejnoprávne inštitúcie či ďalšie organizácie pôsobiace v rámci verejného sektora pripravené na implementáciu GDPR? Vedia vôbec, že im pre zmenu hrozí pokuta až do výšky 10 000 000 eur (alebo ako explicitne uvádza zákon ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok)? I tu sankčné pásma absentujú. Čo v ňom paradoxne nechýba, je sadzobník správnych poplatkov, ktorý sa dotýka aj kódexov správania, ktorý môže prijať združenie zastupujúce prevádzkovateľov alebo sprostredkovateľov či iný subjekt, ktorý ich zastupuje. Kódexy všeobecne idú nad rámec zákona a mali by sa podporovať. Na Slovensku ich prijímanie bude podmienené potvrdením o zaplatení správneho poplatku, ktorý je vo výške 1000 eur (ten je rovnaký i v prípade konania o zmene kódexu správania!). Bez komentára.
Mediálne známou konzekvenciou uplatňovania zákona je v súvislosti s ponukou služieb informačnej spoločnosti vyžadovanie súhlasu so spracovaním osobných údajov zákonného zástupcu v prípade, ak má dotknutá osoba menej ako 16 rokov. Ak má zákonodarca obavy, týkajúce sa „nezodpovedného“ správania maloletých primárne v online prostredí, prečo to miesto reštriktívnych opatrení nerieši zvyšovaním marketingovej a IT gramotnosti tak, ako je to aj v prípade už existujúcich programov orientovaných na finančnú gramotnosť? Paradoxne, maloletí sú trestnoprávne zodpovední od veku 14 rokov, ich priestupková zodpovednosť je od veku 15 rokov, samotný občiansky preukaz získavajú vo veku 15 rokov, no otvoriť si napr. profil na sociálnej sieti bez súhlasu rodiča budú môcť až od 16 rokov. A tu už vidíme ďalší priestor, v rámci ktorého sa bude tento zákon v praxi porušovať.
Je dosť možné, že toto bude jeden z najporušovanejších zákonov, pričom toto porušovanie bude vo väčšine prípadov neúmyselné, minimálne v prípade mladých dospievajúcich ľudí, či živnostníkov alebo malých a stredných podnikov a neziskových organizácií, ktoré si vôbec nemusia uvedomovať, že takýto „zákon“ nadobudne účinnosť 25. mája 2018. Zákon, ktorý pri jeho praktickom uplatňovaní môže dokonca vytvárať väčšiu právnu neistotu, než samotné nariadenie známe ako GDPR, zákon, o ktorom môžeme dôvodne predpokladať, že bude predmetom celého radu noviel, ktoré budú naprávať jeho aktuálne znenie.
Politikmi a politikou nerušené sviatočné chvíle Vianoc v kruhu najbližších želám nám všetkým!
#pf2018
prof. Mgr. Peter Štarchoň PhD.
Poslanec NR SR a člen pracovnej skupiny Ekonomika a financie