Gdpr 2.0

Dobre napísané - zosumarizované argumenty pre potrebu opravy GDPR.

Treba povedať, že GDPR má zmysel, princípy GDPR sú správne, ale problémy z praxe sú veľké. Pridávam stručný opis hlavných problémov GDPR mojimi slovami:

  1. Nadužívanie súhlasu so spracovaním osobných údajov ako jednej možnosti zo šiestich zákonných dôvodov. To sa prejavuje zbytočným otravovaním ľudí vyžadovaním súhlasu - kliknúť na webe, podpísať na papieri. Tento postup sa v posledných rokoch zvrhol. Často ide o vynútený súhlas, čím sa prevádzkovateľ služby zbavuje zodpovednosti a prenáša riziko na dotknutú osobu, pričom dotknutá osoba nemá na výber. Podľa GDPR je takýto súhlas neplatný. Súlad s GDPR sa nekontroluje dostatočne. Súčasný stav upevňuje monopolné postavenie niekoľkých poskytovateľov IT služieb a internetového marketingu (Google, Microsoft, Facebook, Amazon…).

  2. Neposúdenie práv dotknutej osoby pri použití zákonného dôvodu oprávneného záujmu na spracovanie osobných údajov na strane prevádzkovateľa. Ak prevažujú práva dotknutej osoby, oprávnený záujem sa nemôže použiť.

  3. Nesprávna implementácia GDPR v bežnom živote. Nedostatočné informovanie dotknutej osoby o rozsahu, účele, dobe spracovania osobných údajov. Súhlas/nesúhlas so spracovaním osobných údajov alebo s použitím cookies nič nerieši. Bez ohľadu na rozhodnutie dotknutej osoby sú osobné údaje alebo cookies spracované. Tento problém súvisí aj s rozdielnym právnym nastavením súhlasu: EU default opt-in / USA default opt-out. Väčšina cloudových IT služieb je prevádzkovaná firmami z USA a ignoruje tento rozdiel.

  4. Neistota pri cezhraničnom prenose osobných údajov, najmä EÚ-USA po druhom zrušení dohody Európskym súdnym dvorom (Schrems). Cezhraničný prenos a voľný pohyb osobných údajov je postavený na rovnocennej ochrane osobných údajov v EÚ a inom štáte, čo je logické. Aktuálny stav sa rieši formálne zmluvou medzi prevádzkovateľom a sprostredkovateľom spracovania osobných údajov, s dodatkom o úrovni zabezpečenia údajov. Ale v reálnom živote nevidno žiadne zlepšenie oproti minulosti, ťažko veriť takej ochrane.

  5. GDPR predpokladá použitie statickej IT služby v jednom štáte. GDPR nie je pripravené pre nové technológie: AI, IoT, big data, cloud, virtuálne služby, distribuované úložisko, biometria.

  6. Nejasné odlíšenie komerčného použitia osobných údajov od súkromného, umeleckého, vedeckého, štátneho. Nejasné pravidlá pre anonymizované/pseudonymizované údaje a otvorené údaje.

  7. Nejasné pravidlá pre spracovanie osobných údajov inej osoby. Príklad: Osoba používa webmail, kde udelila súhlas so spracovaním svojich osobných údajov. Pošta má však odosielateľa aj príjemcu. Má webmail súhlas druhej strany komunikácie, prípadne inej osoby, o ktorej sa píše? Môže sa súhlas udeliť aj za iné osoby bez ich vedomia? Alebo má odosielať chápať príjemcu ako prevádzkovateľa spracovania osobných údajov odosielateľa a webmail je sprostredkovateľ, ktorý má s príjemcom-prevádzkovateľom zmluvný vzťah?

  8. Nejasné rozlíšenie medzi prevádzkovateľom a sprostredkovateľom spracovania osobných údajov. Príklad: Zamestnávateľ vyžaduje od zamestnanca používať IT službu externého poskytovateľa, v ktorej sa spracúvajú osobné údaje. Podľa GDPR zamestnávateľ je prevádzkovateľ a externý poskytovateľ IT služby je sprostredkovateľ na základe zmluvného vzťahu s prevádzkovateľom, pričom sprostredkovateľ má vykonávať len pokyny prevádzkovateľa. Je OK, keď podmienky sú napísané externým poskytovateľom IT služby a zamestnávateľ s nimi iba súhlasí? Čo ak rozsah poskytovaných IT a s tým súvisiacie spracovanie osobných údajov je širší ako účel spracovania osobných údajov na strane zamestnávateľa? Napr. firemná pošta cez Gmail, pričom Google spracúva údaje aj na iné účely, napr. Google Analytics. Zrejme by sa taký externý poskytovateľ IT služby mal chápať ako prevádzkovateľ a mal by od každého používateľa (zamestnanca) získať súhlas. Táto situácia platí aj pre žiaka/študenta školy, podobne ako pre zamestnanca.

  9. V legislatíve sa vyskytuje viacnásobné pokrytie niektorých práv a povinností alebo rozdielne definície práv a povinností. Jednotný digitálny trh EÚ ešte nie je dokončený.

1 Like

Prakticka ukazka: