Odkedy v roku 2018 vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), ľudia v Európskej únii majú silnejšiu ochranu súkromia a údajov. Zákon však ani zďaleka nie je dokonalý - a veľké technologické spoločnosti, právnici z tohto odvetvia a lobisti sa postarali o to, aby využili všetky nástroje vo svojom arzenáli buď na obchádzanie ustanovení GDPR (nesprávnym výkladom), alebo na ovplyvňovanie verejnej mienky o zákone tak, aby spotrebiteľ neobviňoval z porušovania zákona ich, ale samotné nariadenie GDPR. V posledných rokoch to viedlo k mnohým mylným predstavám o ochrane údajov a najmä o nariadení GDPR. Preto na počesť tohtoročného Dňa ochrany údajov, noyb objasňuje 5 najčastejších mylných predstáv.
1. GDPR núti spoločnosti používať bannery cookies
Toto je nesprávne. GDPR nenúti webové stránky používať bannery cookies. Namiesto toho sú spoločnosti povinné získať váš výslovný súhlas, ak chcú sledovať váš pohyb online. Zvyčajne sa to robí s cieľom zobrazovať vám prispôsobené reklamy na základe vašich záujmov. Spoločnosti sa rozhodli požiadať vás o súhlas s bannermi cookie a často z toho obviňujú nariadenie GDPR.
To však nie je všetko: Mnohé webové stránky v záujme maximalizácie miery súhlasu - a teda aj zisku - používajú zámerne zavádzajúce a klamlivé bannery cookie, ktoré (takmer) znemožňujú odmietnutie alebo odvolanie súhlasu.
Takže keď nabudúce uvidíte banner so súbormi cookie, nezabudnite, že neexistujú kvôli GDPR, ale preto, že spoločnosť chce profitovať z vašich osobných údajov.
2. Spoločnosti sa musia obávať sankcií zo strany orgánov na ochranu údajov
Bohužiaľ, orgány na ochranu údajov (OOÚ) sa uchyľujú k prísnym donucovacím opatreniam len vo výnimočných prípadoch. Z analýzy noyb o činnosti orgánov na ochranu údajov v rokoch 2018 až 2023 vyplynulo, že len 1,3 % prípadov vyústi do pokuty. Írsky úrad DPC, ktorý je zodpovedný za väčšinu veľkých technologických spoločností (Meta, Google, Apple, OpenAI, Microsoft a mnohé ďalšie), dokonca udeľuje pokuty len v 0,26 % prípadov, ktoré rieši. A aj keď írsky úrad DPC pokutu udelí, je to ako uvádzajú médiá, sotva vždy peniaze vyberie.
Z našich takmer 900 prípadov vieme, že konanie sa často ťahá niekoľko rokov, len aby spoločnosť vyviazla s varovaním. V niektorých prípadoch si orgán na ochranu údajov dokonca vymenil úlohy a radil spoločnosti, ktorá porušila zákon o ochrane údajov. Napríklad: V roku 2024 podalnoyb žalobu na hamburský úrad DPA kvôli nezrovnalostiam v prípade Pay or Okay proti nemeckému spravodajskému časopisu SPIEGEL. Počas konania pred úradom bol hamburský úrad DPA v úzkom kontakte so spoločnosťou SPIEGEL. Namiesto toho, aby vyšetroval a rozhodoval nestranne, niekoľkokrát sa stretol aj so zástupcami spoločnosti, pozval ich do svojich priestorov a poskytol im spätnú väzbu k navrhovaným zmenám v súvislosti s ich implementáciou Pay or Okay. Za administratívne náklady konania účtoval hamburský úrad spoločnosti SPIEGEL 6 140 EUR. Lacnejšie ako prakticky akýkoľvek právnik.
Celkovo je - žiaľ - mylná predstava, že spoločnosti sa musia obávať vážnych dôsledkov zo strany orgánov na ochranu údajov za porušenie základného práva na ochranu údajov.
3. Reklama musí byť personalizovaná, inak by ju nikto nekupoval a reklamný priemysel by skrachoval!
Tvrdenie reklamného priemyslu, že vás POTREBUJE sledovať na internete a otravovať vás zavádzajúcimi bannermi s cookies, aby si udržal biznis, je viac než kontroverzné. V skutočnosti existuje mnoho alternatívnych spôsobov, ako zarábať na webových stránkach, napríklad kontextová reklama, umiestňovanie produktov, platený obsah alebo modely freemium, v ktorých je určitý obsah dostupný len za poplatok.
Dokonca aj vedecké štúdie vyvolávajú pochybnosti o ziskovosti - a teda aj o nevyhnutnosti - sledovania reklamy, ako to tvrdí reklamný priemysel. Z americkej štúdie z roku 2019 napríklad vyplýva, že používanie osobných údajov zvyšuje príjmy webovej stránky len približne o 4 %. "To zodpovedá priemernému zvýšeniu o 0,00008 USD na jednu reklamu," uvádza sa v závere štúdie.
Existujú však ešte extrémnejšie príklady: Holandský verejnoprávny vysielateľ NPO dokonca zaznamenal zvýšenie príjmov po tom, ako upustil od cielenej reklamy.
Z toho jasne vyplýva, že existujú alternatívne riešenia voči spoločnostiam, ktoré vás sledujú na internete.
4. GDPR zasahuje do slobody podnikania
Nie, nezasahuje. V Charte základných práv EÚ sa jasne uvádza, že máte "slobodu podnikať v súlade s právom Únie a vnútroštátnymi zákonmi a postupmi".
To znamená, že podniky musia dodržiavať zákony bez ohľadu na to, či sa týkajú zdaňovania, ochrany životného prostredia - alebo ochrany údajov a súkromia. Neexistuje žiadne základné právo na podnikanie, ktoré by bolo nadradené zákonnej povinnosti spoločnosti, hoci mnohé korporácie by si to želali.
Okrem toho sloboda podnikania v skutočnosti znamená, že môžete vykonávať hospodársku činnosť. Môžete sa napríklad slobodne stať lekárnikom, pričom nie je potrebné, aby jeden z vašich rodičov bol lekárnikom. Samozrejme, aj lekárnik musí dodržiavať zákony. Toisté platí pre veľké technologické a iné spoločnosti.
5. Ľudia zneužívajú svoje právo na prístup a zaplavujú spoločnosti žiadosťami o prístup
Napriek tomu, že právo na prístup podľa článku 15 GDPR je základom pre zachovanie aspoň malej kontroly nad svojimi osobnými údajmi v digitálnom veku, niektoré spoločnosti sa proti nemu búria a tvrdia, že by si vyžadovalo "neprimerané úsilie". Takéto lobistické tvrdenia sa dokonca dostali do nemeckého pozičného dokumentu, v ktorom sa žiadosti o prístup označujú za čoraz častejšie "zneužívané".
Realita však nepotvrdzuje ani toto tvrdenie. Zákon už obsahuje záruky, ktoré majú zabrániť zneužitiu: Podľa článku 12 ods. 5 GDPR môžu spoločnosti účtovať primeraný poplatok alebo dokonca žiadosti zamietnuť, ak sú "zjavne neopodstatnené alebo neprimerané, najmä z dôvodu ich opakovaného charakteru".
Okrem toho prevažná väčšina spoločností pôsobiacich v EÚ nepracuje takým spôsobom, ktorý by bol náročný na údaje, aby dostávali veľa žiadostí o prístup. V rámci (čoskoro zverejneného) prieskumu noyb 73,3 % úradníkov pre ochranu údajov (DPO) uviedlo, že právo na prístup vytvára len málo alebo žiadnu prácu. Naopak, väčšie spoločnosti často len ignorujú žiadosti spotrebiteľov o prístup alebo zadržiavajú časti informácií, na ktoré majú ľudia zo zákona nárok. Napríklad sprostredkovateľ reklamy Xandr (dcérska spoločnosť spoločnosti Microsoft) uviedol, že v roku 2022 reagoval na žiadosti o prístup a vymazanie údajov s prekvapujúcou 0 %-nou mierou.
Takisto väčšina veľkých technologických spoločností už medzičasom zaviedla nejaký automatizačný nástroj, ktorý im umožňuje hromadne plniť žiadosti o prístup podľa nariadenia GDPR, zvyčajne prostredníctvom nástroja "stiahnite si svoje informácie" - ale stále vám neposkytnú všetky vaše údaje.
Inými slovami: spoločnosti majú prostriedky na vybavovanie žiadostí o prístup bez výrazného pracovného zaťaženia. Len vám nechcú poskytnúť prístup k spracovaným informáciám.
6. Bonusová mylná predstava: s uloženými pokutami vo výške miliárd eur, noyb musí byť bohatá!
Samozrejme, noyb nedostáva žiadnu z pokút uložených orgánmi na ochranu údajov. Keď orgán na ochranu údajov vyberá pokuty, peniaze idú do štátneho rozpočtu krajiny, v ktorej má orgán sídlo (alebo v Španielsku priamo orgánu na ochranu údajov).
práca noyb na ceste k budúcnosti priaznivejšej pre ochranu osobných údajov je možná len vďaka našim 5 400 podporujúcim členom. Ak chcete aj vy prispieť k našej veci, môžete sa dozvedieť viac o našom členstve tu. Môžete nás tiež kontaktovať na adrese info@noyb.eu ak máte otázky.
