Čo som sa naučil vďaka GDPR – európskemu nariadeniu na ochranu osobných údajov

1. Zachovaj si chladnú hlavu

Najväčšou chybou, ktorú som pri práci na GDPR urobil bolo, že som tak trochu spanikáril. Skoro celý internet bol plný článkov o tomto novom európskom nariadení, ktoré je nesmierne komplikované, no keď ho nejaká firma nedodrží, čakajú ju devastačné pokuty. Mesiace a mesiace nás médiá masírovali tým, že musíme splniť všetky zákonné náležitosti do 25. mája 2018, inak nás čaká peklo.

Keď som sa o tomto zákone dozvedel, začal som panikáriť, podobne ako mnoho iných malých online podnikateľov z môjho okolia. Panika však nikdy nie je dobrá, pretože ti zahmlí myseľ a nie si schopný jasne myslieť, vďaka čomu začneš robiť zlé rozhodnutia.

2. Never všetkému, čo čítaš na internete (vrátane hodnoverných zdrojov)

Jedna neúplná veta spôsobila, že som skoro prišiel o stovky a stovky emailových adries, ktoré mi trvalo nazbierať roky.

V mnohých zahraničných článkoch o GDPR som sa dočítal, že toto nové nariadenia platí spätne, a že ak si doteraz zbieral emailové adresy z podhľadu GDPR nesprávne, tak si musíš od každého jedného človeka na svojom zozname vyžiadať opätovný súhlas; v opačnom prípade musíš dané emailové adresy vymazať.

V mnohých článkoch však hovorili o zbieraní emailových adries všeobecne a neurobili veľmi dôležitý rozdiel medzi nekomerčnými emailami (napríklad keď niekto zadarmo odoberá tvoje články z blogu) a komerčnými emailami – keď je niekto prihlásený na tvoj komerčný emailový zoznam (napr. odber firemných noviniek, informácie o nových produktoch, zľavy, akcie a podobne).

Vďaka tomu som sa vyplašil a niekoľko dní pred termínom GDPR som začal žiadať všetkých vyše tisíc odoberateľov nových článkov z tohto blogu o znovu-potvrdenie ich prihlásenia sa na odber. Tiež som im napísal, že ak svoje prihlásenie nepotvrdia, budem ich musieť z odberu odstrániť.

Stovky ľudí svoje prihlásenie potvrdili, za čo som im nesmierne vďačný. No ďalšie stovky a stovky ľudí daný email z nejakého dôvodu ani nevideli, ani si ho neprečítali. A ja by som ich mal teraz všetkých vymazať? Prišlo mi to nefér, ani nie tak voči mne ako voči nim samotným. Veď oni chcú byť na mojom zozname, inak by sa tam sami neprihlásili, a taktiež sa z neho mohli (a stále môžu) kedykoľvek odhlásiť.

Môjmu bratovi sa to nezdalo a pýtal sa ma, či skutočne musím všetkých tých ľudí zo svojho zoznamu vymazať. Vtedy som sa v nejakom inom článku dočítal, že znovu-potvrdenie prihlásenie na odber emailov platí IBA v prípade zasielania komerčných informácií. Ľudia, ktorí sú na mojom zozname na odber nových článkov, sa prihlásili na odber článkov z môjho blogu. GDPR mi zakazuje poslať im bez ich predchádzajúceho súhlasu komerčný email, ale nehovorí nič o posielaní toho, na čo sa sami dobrovoľne prihlásili – nových článkov z tohto blogu.

GDPR mi zakazuje poslať im bez ich predchádzajúceho súhlasu komerčný email, ale nehovorí nič o posielaní toho, na čo sa sami dobrovoľne prihlásili – nových článkov z tohto blogu.

Túto informáciu som si overil u ďalších niekoľko rôznych zdrojov a nakoniec som preto nikoho z odberu nových článkov Sám Sebe Pán neodhlásil. Tí z vás, ktorí sa sami odhlásili v minulosti, sú aj naďalej odhlásení. Tí z vás, ktorí sa chcú odhlásiť, tak môžu urobiť kedykoľvek kliknutím na odkaz, ktorý sa nachádza v pätičke každého emailu s novým článkom, ktorý vám odo mňa kedy prišiel. Ak si prihlásený/á na odber nových článkov, ale chceš sa prihlásiť aj na odber občasných komerčných emailov (max. 1 mesačne) s informáciami o nových produktoch či službách Sám Sebe Pán, môžeš sa prihlásiť priamo pod týmto článkom.

Ak máš s prihlásením či odhlásením nejaký problém, prípadne máš akúkoľvek otázku ohľadom ochrany svojich osobných údajov, môžeš mi napísať vyplnením tohto formulára.

3. Niekedy je lepšie nebyť prvý

Čím bližšie bol termín platnosti GDPR, tým väčší tlak na mňa vyvíjali nie len rôzne články na internete, alebo aj moji klienti. Niektorí z nich chceli zapracovať GDPR do svojho podnikania aj 6 mesiacov pred termínom platnosti. Ja sám verím tomu, že čím dlhšie sa nejaký problém odkladá, tým viac stresu nám spôsobuje samotný fakt, že daný problém ešte stále nie je vyriešený. Avšak, pri GDPR som sa zámerne rozhodol čakať. Videl som totiž, že aj obrovské, multimiliónové firmy ešte žiadne (verejne viditeľné) zmeny zapracované nemali. Taktiež v tej dobe neexistovali skoro žiadne nástroje, ktoré by podnikateľom prácu na GDPR zjednodušili. Vedel som, že čím viac sa bude termín blížiť, tým viac reálnych riešení a nástrojov bude dostupných, vďaka čomu bude implementácia tohto nariadenia podstatne jednoduchšia.

Určil som si, že na GDPR začnem pracovať od 1. mája. Veril som, že 4 týždne pred termínom už bude existovať množstvo praktických riešení a nástrojov, a že veľké firmy už dávno budú na GDPR pripravené. Nesmierne som sa však mýlil.

Začiatkom mája existovalo iba niekoľko málo nástrojov, ktoré mali neúplnú funkcionalitu a často vyslovene nefungovali. Skúšal som nástroj za nástrojom a vždy som natrafil na nejaký problém. Mnohé malé aj veľké firmy verejne prehlasovali, že na GDPR pracujú a že nové nástroje budú dostupné čoskoro, no mnoho z nich meškalo. Opäť raz sa ukázalo, ako si väčšina ľudí veci necháva na poslednú chvíľu. Ja, ani moji klienti sme však nemali na výber. Buď by sme všetko naprogramovali na mieru, čo by bolo nesmierne náročné na čas a na financie, alebo sme museli počkať na to, kým iní prídu s vhodnými nástrojmi, ktoré budú fungovať.

Na GDPR som v máji pracoval každý deň, no čím bližšie bol termín platnosti tohto nariadenia, tým viac som bol zmätený. Nepomáhal ani fakt, že mnoho autorov rôznych systémov a nástrojov, ktoré mali podnikateľom prechod na GDPR uľahčiť, publikovalo nejasné či často dokonca vyslovene nesprávne informácie (viď. bod 2 vyššie). Postupne, krok za krokom, som však riešil jeden GDPR problém za druhým.

4. Veľké projekty rozdeľ na malé úlohy

Mnoho ľudí bolo kvôli GDPR vyplašených. Tých úloh, ktoré bolo treba urobiť pre to, aby bola malá firma v súlade s týmto nariadením bolo tak veľa, že mnohí boli zúfalí. Aj ja sám som sa párkrát pristihol pri myšlienke, že sa na to všetko vykašlem a skončím s podnikaním. Podobné slabé chvíľky však našťastie rýchlo prejdú.

Ak máš pocit, že je nejaký problém pre teba príliš veľkým sústom, rozdeľ si ho na menšie časti. Na najmenšie možné úlohy. Všetko, čo treba urobiť, si zapíš, a potom začni pracovať na jeden úlohe za druhou. Nestresuj sa s tým, že je na tvojom zozname 20 úloh. Teraz riešiš iba jednu z nich, takže môžeš ostatné ignorovať. Takto sa tvoria hudobné albumy. Takto sa píšu scenáre či knihy. Nikto si nesadne za stôl s tým, že teraz ide napísať knihu. Píše kapitolu po kapitole, odsek po odseku. Nestresuje sa s tým, že mu ešte ostáva napísať 10 kapitol. Teraz je jeho úlohou dokončiť tú jednu, na ktorej aktuálne pracuje.

5. Situácia zvyčajne nie je až taká tragická, ako sa hovorí / očakáva

Tí z vás, ktorí sú dosť starí na to, aby si pamätali rok 1999 a prechod na rok 2000, si možno spomínajú na hystériu, ktorú ten prechod spôsobil. Skoro celý svet na obával toho, že počítače nezvládnu prechod na nové tisícročie, akciové trhy sa začnú rúcať, lietadlá začnú padať z oblohy a nastane koniec sveta. Samozrejme, keď nový rok 2000 prišiel, absolútne nič sa nestalo a ľudia aj naďalej riešili svoje každodenné problémy.

GDPR bolo vo svete podnikateľov asi podobnou bublinou ako prechod na rok 2000. Odvšadiaľ na nás kričali, že musíme spĺňať nový zákon do 25. mája 2018, inak nám hneď na nasledujúci deň dajú miliónové pokuty. Väčšina webov totiž (verím tomu, že zámerne) opomenula to, že ešte pred tým, ako vám kontrolný úrad dá obrovskú likvidačnú pokutu, vás musí upozorniť, potom vám dá formálne pokarhanie, a až potom, keď dané problémy vo svojom podnikaní nenapravíte, až potom vás môže pokutovať.

6. Bez systémov si stratený

Verím tomu, že bez zapracovania jasných systémov do podnikania nie je možné byť 100% v súlade so všetkými zákonmi SR a nariadeniami EÚ. Tých zákonov a pravidiel, ktoré musia online podnikatelia na Slovensku dodržiavať je toľko, že jednoducho nie je možné si ich všetky pamätať. Preto, keď nemáš vytvorené procesy, ktoré dodržiavaš ty, aj všetci tvoji zamestnanci a externí partneri, skôr či neskôr nejaké zákony či nariadenia tvoja firma poruší.

7. Menej ako 100% je stále viac ako 0%

Bohužiaľ, jednou z najsmutnejších častí podnikania na Slovensku je fakt, že mnohé štátne úrady nechcú dávať podnikateľom oficiálne, záväzné stanoviská, kvôli čomu sa musia podnikatelia spoliehať na právnikov a iných profesionálov. Verím tomu, že malé firmy (a hlavne mikroblogeri) nemajú prostriedky na vypracovávanie auditov a drahé konzultácie s právnikmi a externými firmami, a preto si podnikatelia nebudú na 100% istí tým, či je ich firma či web stránka plne v súlade s platnými zákonmi. Čo však môže urobiť každý bloger a každá malá firma, je dať si do poriadku minimálne tie hlavné, najviac viditeľné časti svojho podnikania. Keď totiž kontrola uvidí, že mnoho vecí si do svojho podnikania zapracoval, aj keď nebudeš mať podľa zákona úplne všetko, určite ti toho odpustia viac ako firme, ktorá neurobila úplne nič.

8. Na všetkom zlom sa dá nájsť niečo dobré

Mnoho podnikateľov bralo GDPR ako čisto zlé nariadenie, ktoré je zbytočné, prehnané a spôsobuje iba komplikácie malým podnikateľom, zatiaľ čo obrovské firmy si stále budú robiť veci po svojom. Na začiatku som to videl podobne aj ja. Čím viac som sa však o GDPR vzdelával, tým viac som si začal uvedomovať, že mnoho z myšlienok tohto nariadenia ide tým správnym smerom.

Samozrejme, že obrovské firmy si vždy nájdu spôsoby, ako zákon obísť alebo ako si ho prispôsobiť tak, aby im čo najviac vyhovoval. No aj napriek tomu verím, že GDPR mnoho, mnoho vecí vylepšilo, a že dnes, skoro 2 mesiace od jeho platnosti, majú ľudia výrazne väčšiu kontrolu nad tým, ako sú ich osobné údaje spracovávané firmami, ktorých nástroje používajú.

Záver

GDPR je pre podnikateľov nesmierne otravný zákon a jeho zapracovanie do podnikania nie je jednoduché, ale úprimne, som rád, že tu je. Bol by som ešte radšej, ak by Úrad na ochranu osobných údajov SR viac spolupracoval s podnikateľmi a viac im pomáhal s reálnym zapracovaním GDPR a iných zákonov do ich podnikania. Kto vie, možno sa raz dočkáme aj toho.

– Lubo Jurík, 21. júla 2018, Compose Coffee, Busan, Južná Kórea

A čo ty?

Riešil si GDPR vo svojom podnikaní? Aký je tvoj postoj? Nevedel si si s niečím rady? Napíš mi do diskusie nižšie.