Pro mnohé společnosti i spotřebitele byl 25. květen 2018 z hlediska významu osobních údajů převratným milníkem. I díky vysoké mediální pozornosti si spotřebitelé začali uvědomovat svá práva a organizace své povinnosti. Nařízení, které bylo schváleno v dubnu 2016 a o dva roky později nabylo účinnosti, s sebou přineslo mnoho změn ve fungování dotčených organizací. Co konkrétně? Jak GDPR vnímá veřejnost? A změnilo se v praxi vlastně vůbec něco?
Z pohledu spotřebitelů je všeobecně možné konstatovat, že se se zavedením GDPR do praxe více zajímají o své osobní údaje a jejich následnou formu zpracování prostřednictvím organizací, kterým data poskytují. Zároveň v případě společností, které nejsou u spotřebitelů příliš známé nebo mají negativní reputaci z minulého období, jsou zákazníci obezřetnější a častěji se také seznamují s podmínkami ochrany osobních údajů daných společností.
Víte, že… Třetina uživatelů přiznává, že nečtou ujednání společností o podmínkách ochrany osobních údajů vůbec? Pro více než polovinu respondentů je významným rizikem potenciální zneužití osobních údajů ve prospěch třetí strany, zároveň také necelých 20 % respondentů potvrdilo potenciální ukončení obchodního vztahu s organizací, ve které by došlo k úniku jimi svěřených osobních údajů. Více než polovina ale současně ráda poskytne více svých osobních údajů výměnou za možnost získat personalizované nabídky nebo slevy. Pozitivem ale je, že pro stejné množství respondentů je problematika ochrany osobních údajů v současné době jasnější.
Z hlediska výkonu práv je mezi respondenty nejrozšířenější znalost o odvolání poskytnutého souhlasu, naopak nejméně využívaným právem je možnost přenosu osobních údajů a přístupu k nim. Všeobecně z průzkumu vyplývá, že více než polovina respondentů si je vědoma práv, která s sebou GDPR přinesla, ale jen necelých 12 % respondentů je někdy uplatnila. Uvedená hodnota představuje relativně vysoký podíl informovaných uživatelů, komparace s výsledky studií zabývajících se implementací jiných regulací zpravidla poskytují hodnoty v rozmezí 10–30 %.
Příprava na 25. květen 2018 si u mnoha organizací vyžádala nejen spoustu času, ale také značné finanční investice, které společnosti vynakládají i nadále po klíčovém květnovém datu. Mnoho z nich navýšilo z důvodu implementace GDPR personální kapacity, které ale dle jejich názoru stále není možné považovat za dostačující, přičemž překážkou jsou nejčastěji nedostatečné finanční prostředky pro dlouhodobější využívání externích personálních zdrojů. Z pohledu navýšení interních zdrojů firmy často narážejí na nízký počet kvalifikovaných lidí na trhu práce, spojený primárně s nízkou úrovní nezaměstnanosti.
Zároveň 92 % organizací potvrdilo, že jsou schopny udržet implementované standardy i v dlouhodobém časovém horizontu. Lze konstatovat, že většina organizací využívá různé interní a externí nástroje podpory pro zajištění aktivit spojených s GDPR. Dalším důležitým faktorem je etické a zodpovědné chování organizací v dané oblasti. Dodržování pravidel spojených s implementací GDPR je jedením z klíčových faktorů v procesu budování důvěry a pozitivní reputace dané organizace. S uvedeným výrokem se ztotožňuje 59 % respondentů. Necelá polovina dotazovaných respondentů věří, že organizace nyní dbají na korektnost při spravování osobních údajů více než před implementací GDPR. Spolu s tím stoupla i míra povědomí spotřebitelů o způsobu zpracování a využívání dat ze strany organizací.
V souvislosti s GDPR jsme v 11 zemích provedli rozsáhlý průzkum, do něhož se zapojilo 2750 respondentů. Cílem průzkumu bylo zjistit stav implementace a dopady souvisejících opatření GDPR z pohledu společností i zainteresovaných spotřebitelů půl roku od nabytí účinnosti. Zajímají vás podrobnější informace? Projděte si celý report.
A jaká je naše zkušenost z GDPR projektů? Můžeme potvrdit, že výsledky průzkumu více méně korespondují s našimi zkušenostmi z implementací projektů v České republice. Nabytím účinnosti nařízení GDPR jsme zaznamenali vlnu žádostí výkonu práv subjektů, která byla samozřejmě v mnohých případech prvotní euforií směřující ke zjištění „co o mně společnost ví“. Postupem času se počet žádostí kontinuálně snižuje a je možné předpokládat, že s odstupem šesti měsíců se výkonu práv ve větší míře než na začátku platnosti dožadují osoby, které mají reálný zájem o uplatnění některého z práv.
Na straně společností zase můžeme vidět ustálení prvotního stresu z termínu nabytí účinnosti, mnoho z nich se v současnosti věnuje vylaďování a zefektivňování procesů navržených často narychlo s cílem stihnout květnový termín. Část z nich zvažuje také možnou synergii s očekávaným nařízením ePrivacy. Nařízení má za cíl chránit obsah komunikací, jakými jsou instant messaging, VoIP, e-mailové a komunikační služby, společně s daty, která při využívání těchto komunikačních prostředků vznikají. Z pohledu obchodu je možné očekávat citelné dopady na případnou monetizaci dat získaných prostřednictvím souborů cookies.
Článek je součástí zpravodaje dReport – březen 2019, Právní novinky.
Semináře, webcasty, pracovní snídaně a další akce pořádané společností Deloitte.
