Boli kroky, ako sa Facebook vyrovnal s GDPR dostatočné?
Bez nazretia do internej „kuchyne bezpečnosti“ Facebooku nie je možné objektívne posúdiť, aké zmeny prijali, je však možné pozorovať, že Facebook postupne kladie väčší dôraz na „opt-in“ prístup. To znamená, že pokiaľ užívateľ sám neupraví nastavenia alebo aktívne neudelí súhlas, jeho údaje by sa nemali spracúvať alebo poskytovať vo väčšom rozsahu.
Aká bola situácia s ochranou osobných údajov na sieti predtým?
Z právneho hľadiska sa požiadavky na bezpečnosť osobných údajov príchodom GDPR zásadne nezmenili. Už predchodca GDPR, smernica EÚ na ochranu osobných údajov z roku 1995 požadovala zabezpečenie osobných údajov so zreteľom na stav techniky v závislosti od toho, aké sú s nimi spojené riziká, aké údaje sa spracúvajú a akým spôsobom. Rovnako aj mnohé princípy na ochranu osobných údajov sú v IT bezpečnosti známe už aspoň 20 rokov. Je však pravdou, že až do príchodu GDPR mnohé spoločnosti fungujúce v online svete nebrali ochranu osobných údajov veľmi vážne.
Myslíte si, že pre viacerých užívateľov bolo až prijatie tohto nariadenia prebudenie, čo všetko o nich sociálna sieť zbiera?
Napriek tomu, že dotknuté osoby mali mnohé práva aj pred GDPR, ako povinnosť spoločností transparentne informovať o spracúvaní osobných údajov. Obsahovala ich už smernica EÚ na ochranu osobných údajov z roku 1995. GDPR predsa len otvorilo diskusiu o ochrane osobných údajov a ľudia sa začali viac zaujímať o to, čo všetko sa s ich osobnými údajmi deje. Ochrana osobných údajov donedávna patrila medzi podružné témy a až teraz si aj spoločnosti začali uvedomovať, že si s osobnými údajmi nemôžu robiť čo len chcú.
A z pohľadu firiem, ktoré teraz musia deklarovať, aké dáta zbierajú a čo s nimi robia, išlo o veľkú zmenu?
Povinnosť spoločností informovať fyzické osoby, čo všetko s ich údajmi robia, už poznal aj náš predchádzajúci zákon o ochrane osobných údajov, ktorým sa transponovala smernica EÚ na ochranu osobných údajov z roku 1995. GDPR však túto informačnú povinnosť rozšírilo, a teda užívatelia a klienti majú získať väčší prehľad o tom, ako sa s ich osobnými údajmi nakladá. GDPR je v účinnosti viac ako osem mesiacov a túto základnú povinnosť si v súčasnosti neplní ešte stále mnoho spoločností. Kladne je možné hodnotiť to, že po príchode GDPR si spoločnosti začali robiť „poriadok“ v tom, ako osobné údaje spracúvajú, zbavujú sa osobných údajov, ktoré nepotrebujú alebo dokonca nie sú oprávnení mať. Zároveň viac dbajú na kontrolu toho, kto všetko k týmto osobným údajom má prístup.
Ako často sa na vás teraz obracajú klienti s tým, že ich osobné údaje boli na Facebooku zneužité?
Zatiaľ sme nemali ani jeden dopyt od klienta, ktorý by mal záujem uskutočniť právne kroky voči Facebooku. Nie je však možné vylúčiť, že niektoré fyzické osoby podali podnety alebo sťažnosti na Úrad na ochranu osobných údajov SR v súvislosti Facebookom.
Zamávala dôverou užívateľov zo Slovenska kauza Cambridge Analytica?
Dovolíme si vysloviť názor, že kauzu Cambridge Analytica vníma veľmi zanedbateľný počet slovenských užívateľov. Osobný údaj a súkromie jednotlivca sa však začínajú stávať univerzálnym „platidlom“ alebo „komoditou“, preto sa nesmieme pasívne spoliehať iba na proaktívny prístup spoločností v ochrane nášho súkromia, ale mali by sme si aj sami udržať kontrolu nad tým, čo dobrovoľne poskytujeme a zverejňujeme takmer každý deň.