GDPR je tu, kaj pa zdaj

V petek je začela veljati splošna uredba o varstvu osebnih podatkov (GDPR), o čemer se je ogromno govorilo. Čeprav je bila sprejeta že leta 2016, se je pred petkovo uveljavitvijo zdelo, kakor da bo ta teden konec interneta. V resnici pa se ni zgodilo nič pretresljivega, le nekateri ameriški časniki so v EU še nedostopni.

Minuli teden so Evropejci v svoje elektronske predale prejeli več spama kot v celem mesecu pred tem, saj je domala vsako podjetje poslalo obvestilo o začetku uporabe GDPR s prošnjo, naj jim dovolijo še dalje pošiljati elektronska sporočila. Ghosteryju je na primer uspelo poslati to sporočilo tako, da so bili vsi prejemniki v polju To, torej so razkrili elektronske naslove veliko uporabnikov.

Nekatera podjetja so poslala celo papirnata obvestila, da jih odslej zavezuje GDPR in da ne bodo preveč vsiljivi. Glavna novost GDPR je strožja zaščita osebnih podatkov, saj morajo odslej podjetja izkazati pravno podlago za njihovo obdelavo in hranjenje, eden izmed načinov pa je tudi izrecno soglasje.

Nekateri ameriški časniki niso uspeli pravočasno ugotoviti, kako bi se prilagodili GDPR. Los Angeles Times in Chicago Tribune sta taka primera, saj se obiskovalcem iz EU prikaže sporočilo, da trenutno iščejo tehnične rešitve za delovanje v skladu z GDPR, zato stran ni dostopna. Nedostopni so še nekateri manj znani časniki, denimo Orlando Sentinel ali Baltimore Sun. Gre za medije, ko sodijo v skupini Tronc and Lee Enterprises. Ker se je za GDPR vedelo že dolgo, čeprav nekatere podrobnosti glede samega izvajanja še danes niso povsem jasne, je to precej neresno.

Facebook, Google, Instagram in WhatsApp so se takoj znašli pod drobnogledom. Skupina noyb.eu, ki jo vodi aktivist Max Schrems, ki je znan predvsem po uspešnem tožarjenju s Facebookom Irska, stranem očita, da uporabnike prisilijo v soglasje. Facebook in Google je že prvi dan doletela tožba v višini 7,6 milijarde evrov, ker da ne upoštevata GDPR, ki jo je vložil Schrems. Podjetji seveda trdita, da sta se na GDPR pripravljali več kot leto dni in da je vse v najlepšem redu. Francoska skupina La Quadrature du Net je vložila tudi tožbe zoper Apple, Amazon in Linkedin.

Namen GDPR je potrošnike bolje zaščiti pred nepoštenimi praksami, s katerimi ponudniki storitev in izdelkov pridobijo njihove osebne podatke in jih potem uporabljajo za lastne potrebe. Odslej morajo uporabnikom jasno razkriti, kaj in zakaj bodo zbirali in obdeloval, soglasje pa mora biti izrecno in ne sme biti avtomatično (torej odpadejo vnaprej odkljukane možnosti). Uporabniki bodo imeli možnost zahtevati vpogled v podatke in njihov izbris, če bodo nehali uporabljati storitev. Kršiteljem grozijo visoke globe, ki lahko znašajo 20 milijonov evrov ali do 4 odstotke letnega prometa podjetja. GDPR velja za vsa podjetja, ki poslujejo z državljani EU, četudi so locirana v tujini.

Slovenija pa medtem še vedno razmišlja, kateri organ in kdaj bo pooblastila za izvajanje prekrškovnih postopkov skladno z Uredbo.