1. Zachovaj si chladnú hlavu
Najväčšou chybou, ktorú som pri práci na GDPR urobil bolo, že som tak trochu spanikáril. Skoro celý internet bol plný článkov o tomto novom európskom nariadení, ktoré je nesmierne komplikované, no keď ho nejaká firma nedodrží, čakajú ju devastačné pokuty. Mesiace a mesiace nás médiá masírovali tým, že musíme splniť všetky zákonné náležitosti do 25. mája 2018, inak nás čaká peklo.
Keď som sa o tomto zákone dozvedel, začal som panikáriť, podobne ako mnoho iných malých online podnikateľov z môjho okolia. Panika však nikdy nie je dobrá, pretože ti zahmlí myseľ a nie si schopný jasne myslieť, vďaka čomu začneš robiť zlé rozhodnutia.
2. Never všetkému, čo čítaš na internete (vrátane hodnoverných zdrojov)
Jedna neúplná veta spôsobila, že som skoro prišiel o stovky a stovky emailových adries, ktoré mi trvalo nazbierať roky.
V mnohých zahraničných článkoch o GDPR som sa dočítal, že toto nové nariadenia platí spätne, a že ak si doteraz zbieral emailové adresy z podhľadu GDPR nesprávne, tak si musíš od každého jedného človeka na svojom zozname vyžiadať opätovný súhlas; v opačnom prípade musíš dané emailové adresy vymazať.
V mnohých článkoch však hovorili o zbieraní emailových adries všeobecne a neurobili veľmi dôležitý rozdiel medzi nekomerčnými emailami (napríklad keď niekto zadarmo odoberá tvoje články z blogu) a komerčnými emailami – keď je niekto prihlásený na tvoj komerčný emailový zoznam (napr. odber firemných noviniek, informácie o nových produktoch, zľavy, akcie a podobne).
Vďaka tomu som sa vyplašil a niekoľko dní pred termínom GDPR som začal žiadať všetkých vyše tisíc odoberateľov nových článkov z tohto blogu o znovu-potvrdenie ich prihlásenia sa na odber. Tiež som im napísal, že ak svoje prihlásenie nepotvrdia, budem ich musieť z odberu odstrániť.
Stovky ľudí svoje prihlásenie potvrdili, za čo som im nesmierne vďačný. No ďalšie stovky a stovky ľudí daný email z nejakého dôvodu ani nevideli, ani si ho neprečítali. A ja by som ich mal teraz všetkých vymazať? Prišlo mi to nefér, ani nie tak voči mne ako voči nim samotným. Veď oni chcú byť na mojom zozname, inak by sa tam sami neprihlásili, a taktiež sa z neho mohli (a stále môžu) kedykoľvek odhlásiť.
Môjmu bratovi sa to nezdalo a pýtal sa ma, či skutočne musím všetkých tých ľudí zo svojho zoznamu vymazať. Vtedy som sa v nejakom inom článku dočítal, že znovu-potvrdenie prihlásenie na odber emailov platí IBA v prípade zasielania komerčných informácií. Ľudia, ktorí sú na mojom zozname na odber nových článkov, sa prihlásili na odber článkov z môjho blogu. GDPR mi zakazuje poslať im bez ich predchádzajúceho súhlasu komerčný email, ale nehovorí nič o posielaní toho, na čo sa sami dobrovoľne prihlásili – nových článkov z tohto blogu.
GDPR mi zakazuje poslať im bez ich predchádzajúceho súhlasu komerčný email, ale nehovorí nič o posielaní toho, na čo sa sami dobrovoľne prihlásili – nových článkov z tohto blogu.
Túto informáciu som si overil u ďalších niekoľko rôznych zdrojov a nakoniec som preto nikoho z odberu nových článkov Sám Sebe Pán neodhlásil. Tí z vás, ktorí sa sami odhlásili v minulosti, sú aj naďalej odhlásení. Tí z vás, ktorí sa chcú odhlásiť, tak môžu urobiť kedykoľvek kliknutím na odkaz, ktorý sa nachádza v pätičke každého emailu s novým článkom, ktorý vám odo mňa kedy prišiel. Ak si prihlásený/á na odber nových článkov, ale chceš sa prihlásiť aj na odber občasných komerčných emailov (max. 1 mesačne) s informáciami o nových produktoch či službách Sám Sebe Pán, môžeš sa prihlásiť priamo pod týmto článkom.
Ak máš s prihlásením či odhlásením nejaký problém, prípadne máš akúkoľvek otázku ohľadom ochrany svojich osobných údajov, môžeš mi napísať vyplnením tohto formulára.
3. Niekedy je lepšie nebyť prvý
Čím bližšie bol termín platnosti GDPR, tým väčší tlak na mňa vyvíjali nie len rôzne články na internete, alebo aj moji klienti. Niektorí z nich chceli zapracovať GDPR do svojho podnikania aj 6 mesiacov pred termínom platnosti. Ja sám verím tomu, že čím dlhšie sa nejaký problém odkladá, tým viac stresu nám spôsobuje samotný fakt, že daný problém ešte stále nie je vyriešený. Avšak, pri GDPR som sa zámerne rozhodol čakať. Videl som totiž, že aj obrovské, multimiliónové firmy ešte žiadne (verejne viditeľné) zmeny zapracované nemali. Taktiež v tej dobe neexistovali skoro žiadne nástroje, ktoré by podnikateľom prácu na GDPR zjednodušili. Vedel som, že čím viac sa bude termín blížiť, tým viac reálnych riešení a nástrojov bude dostupných, vďaka čomu bude implementácia tohto nariadenia podstatne jednoduchšia.
Určil som si, že na GDPR začnem pracovať od 1. mája. Veril som, že 4 týždne pred termínom už bude existovať množstvo praktických riešení a nástrojov, a že veľké firmy už dávno budú na GDPR pripravené. Nesmierne som sa však mýlil.
Začiatkom mája existovalo iba niekoľko málo nástrojov, ktoré mali neúplnú funkcionalitu a často vyslovene nefungovali. Skúšal som nástroj za nástrojom a vždy som natrafil na nejaký problém. Mnohé malé aj veľké firmy verejne prehlasovali, že na GDPR pracujú a že nové nástroje budú dostupné čoskoro, no mnoho z nich meškalo. Opäť raz sa ukázalo, ako si väčšina ľudí veci necháva na poslednú chvíľu. Ja, ani moji klienti sme však nemali na výber. Buď by sme všetko naprogramovali na mieru, čo by bolo nesmierne náročné na čas a na financie, alebo sme museli počkať na to, kým iní prídu s vhodnými nástrojmi, ktoré budú fungovať.
Na GDPR som v máji pracoval každý deň, no čím bližšie bol termín platnosti tohto nariadenia, tým viac som bol zmätený. Nepomáhal ani fakt, že mnoho autorov rôznych systémov a nástrojov, ktoré mali podnikateľom prechod na GDPR uľahčiť, publikovalo nejasné či často dokonca vyslovene nesprávne informácie (viď. bod 2 vyššie). Postupne, krok za krokom, som však riešil jeden GDPR problém za druhým.
4. Veľké projekty rozdeľ na malé úlohy
Mnoho ľudí bolo kvôli GDPR vyplašených. Tých úloh, ktoré bolo treba urobiť pre to, aby bola malá firma v súlade s týmto nariadením bolo tak veľa, že mnohí boli zúfalí. Aj ja sám som sa párkrát pristihol pri myšlienke, že sa na to všetko vykašlem a skončím s podnikaním. Podobné slabé chvíľky však našťastie rýchlo prejdú.
Ak máš pocit, že je nejaký problém pre teba príliš veľkým sústom, rozdeľ si ho na menšie časti. Na najmenšie možné úlohy. Všetko, čo treba urobiť, si zapíš, a potom začni pracovať na jeden úlohe za druhou. Nestresuj sa s tým, že je na tvojom zozname 20 úloh. Teraz riešiš iba jednu z nich, takže môžeš ostatné ignorovať. Takto sa tvoria hudobné albumy. Takto sa píšu scenáre či knihy. Nikto si nesadne za stôl s tým, že teraz ide napísať knihu. Píše kapitolu po kapitole, odsek po odseku. Nestresuje sa s tým, že mu ešte ostáva napísať 10 kapitol. Teraz je jeho úlohou dokončiť tú jednu, na ktorej aktuálne pracuje.
5. Situácia zvyčajne nie je až taká tragická, ako sa hovorí / očakáva
Tí z vás, ktorí sú dosť starí na to, aby si pamätali rok 1999 a prechod na rok 2000, si možno spomínajú na hystériu, ktorú ten prechod spôsobil. Skoro celý svet na obával toho, že počítače nezvládnu prechod na nové tisícročie, akciové trhy sa začnú rúcať, lietadlá začnú padať z oblohy a nastane koniec sveta. Samozrejme, keď nový rok 2000 prišiel, absolútne nič sa nestalo a ľudia aj naďalej riešili svoje každodenné problémy.
GDPR bolo vo svete podnikateľov asi podobnou bublinou ako prechod na rok 2000. Odvšadiaľ na nás kričali, že musíme spĺňať nový zákon do 25. mája 2018, inak nám hneď na nasledujúci deň dajú miliónové pokuty. Väčšina webov totiž (verím tomu, že zámerne) opomenula to, že ešte pred tým, ako vám kontrolný úrad dá obrovskú likvidačnú pokutu, vás musí upozorniť, potom vám dá formálne pokarhanie, a až potom, keď dané problémy vo svojom podnikaní nenapravíte, až potom vás môže pokutovať.
6. Bez systémov si stratený
Verím tomu, že bez zapracovania jasných systémov do podnikania nie je možné byť 100% v súlade so všetkými zákonmi SR a nariadeniami EÚ. Tých zákonov a pravidiel, ktoré musia online podnikatelia na Slovensku dodržiavať je toľko, že jednoducho nie je možné si ich všetky pamätať. Preto, keď nemáš vytvorené procesy, ktoré dodržiavaš ty, aj všetci tvoji zamestnanci a externí partneri, skôr či neskôr nejaké zákony či nariadenia tvoja firma poruší.
7. Menej ako 100% je stále viac ako 0%
Bohužiaľ, jednou z najsmutnejších častí podnikania na Slovensku je fakt, že mnohé štátne úrady nechcú dávať podnikateľom oficiálne, záväzné stanoviská, kvôli čomu sa musia podnikatelia spoliehať na právnikov a iných profesionálov. Verím tomu, že malé firmy (a hlavne mikroblogeri) nemajú prostriedky na vypracovávanie auditov a drahé konzultácie s právnikmi a externými firmami, a preto si podnikatelia nebudú na 100% istí tým, či je ich firma či web stránka plne v súlade s platnými zákonmi. Čo však môže urobiť každý bloger a každá malá firma, je dať si do poriadku minimálne tie hlavné, najviac viditeľné časti svojho podnikania. Keď totiž kontrola uvidí, že mnoho vecí si do svojho podnikania zapracoval, aj keď nebudeš mať podľa zákona úplne všetko, určite ti toho odpustia viac ako firme, ktorá neurobila úplne nič.
8. Na všetkom zlom sa dá nájsť niečo dobré
Mnoho podnikateľov bralo GDPR ako čisto zlé nariadenie, ktoré je zbytočné, prehnané a spôsobuje iba komplikácie malým podnikateľom, zatiaľ čo obrovské firmy si stále budú robiť veci po svojom. Na začiatku som to videl podobne aj ja. Čím viac som sa však o GDPR vzdelával, tým viac som si začal uvedomovať, že mnoho z myšlienok tohto nariadenia ide tým správnym smerom.
Samozrejme, že obrovské firmy si vždy nájdu spôsoby, ako zákon obísť alebo ako si ho prispôsobiť tak, aby im čo najviac vyhovoval. No aj napriek tomu verím, že GDPR mnoho, mnoho vecí vylepšilo, a že dnes, skoro 2 mesiace od jeho platnosti, majú ľudia výrazne väčšiu kontrolu nad tým, ako sú ich osobné údaje spracovávané firmami, ktorých nástroje používajú.
Záver
GDPR je pre podnikateľov nesmierne otravný zákon a jeho zapracovanie do podnikania nie je jednoduché, ale úprimne, som rád, že tu je. Bol by som ešte radšej, ak by Úrad na ochranu osobných údajov SR viac spolupracoval s podnikateľmi a viac im pomáhal s reálnym zapracovaním GDPR a iných zákonov do ich podnikania. Kto vie, možno sa raz dočkáme aj toho.
– Lubo Jurík, 21. júla 2018, Compose Coffee, Busan, Južná Kórea
A čo ty?
Riešil si GDPR vo svojom podnikaní? Aký je tvoj postoj? Nevedel si si s niečím rady? Napíš mi do diskusie nižšie.
Ľubo ja som sa vyplašila tiež. Informácie boli dosť nejasné a aj keď nijako nepodnikám, blog píšem a tak som sa obávala, že sa to týka aj môjho nekomerčeného blogu. Vďaka tvojmu článku a aj mnohým ďalším som pochopila, že sa nie je čoho báť. Je však pravda, že to spôsobilo chaos a strach z pokút.
Ahoj Janka, dakujem za tvoj komentar. Ako presne to budu urady riesit uvidime az casom. Doteraz som vsak nepocul na Slovensku o ziadnej firme, ktora by dostala pokutu kvoli poruseniu GDPR.
O tom, či niekto dostane pokutu sa ani nedozvieš. Rozhodnutia správnych orgánov sa nezverejňujú. Plus kým bude nejaké rozhodnutie právoplatné a vykonateľné, ubehne ešte veľa času. Najprv musí úrad vykonať kontrolu. Tá trvá spravidla do 6 mesiacov. Ak aj rozhodne o porušení zákona, tak následne podáva kontrolovaný subjekt opravný prostriedok. Odvolacie konanie trvá cca. 3 mesiace. Následne musí úrad začať správne konanie o uložení pokuty, ktoré trvá asi 6 mesiacov Voči tomuto subjekt podá odvolanie. Odvolacie konanie trvá asi 3 mesiace. Ak úrad odvolanie zamietne, subjet podá preskúmavaciu žalobu s návrhom na odklad vykonateľnosti rozhodnutia na príslušný krajský súd. O tom bude súd rozhodovať asi 2-3 roky. Ak subjektu nevyhovie, ten podáva kasačnú sťažnosť na Najvyšší súd. Toto konanie bude trvať asi 2 roky. Ak ani tu subjekt neuspeje, podáva moderačnú žalobu s návrhom na odklad vykonateľnosti rozhodnutia. Toto bude trvať asi 1 rok. Ak súd nevyhovie, prichádza ma rad odvolanie na Najvyšší súd SR o ktorom bude súd rozhodovať asi 1 rok. Tj. pokutu bude musieť subjekt reálne zaplatiť asi za 10 rokov od začiatku kontroly a to len v tom prípade, ak nebude robiť úradom ani súdom obštrukcie. Pri vhodne zvolenej obštrukčnej stratégii, to celé môže trvať 15-20 rokov. Takže tak skoro o žiadne zaplatenej pokute počuť nebudeš. Resp. keď budeš, bude to na základe právnej situácie, ktorá už nebude aktuálna.
Celé GDPR je u malých firiem, ktoré nemajú zamestnancov o asi 3 dňoch vytvárania zbytočných dokumentov, upravení webu, podmienok uvedených na webe, podpísaní sprostredkovateľských zmlúv.. Za 1 týždeň sa to dá v pohode zvládnuť
Takto to je so sudnictvom na Slovensku? Parada.
1. Právo neplatí retrospektívne. Vyplýva to tak z Ústavy SR, ako aj z medzinárodných zmlúv, ktorými je Slovenská republika viazaná.
2. GDPR je problém, ale všetko vyriešiš s Wordom, Excelom alebo nejakou menšou relačnou databázou a vhodne upraveným mailchimpom.
3. Čím väčšia firma, tým nákladnejšie opatrenia. Najviac sa to dotýka nemocníc.
4. Väčšina tých, čo ponúkajú drahé riešenia ani len netušia, že vôbec nič nepochopili.
5. Ak by mal niekto záujem, robil som pred časom na túto tému školenie. Urobil som z neho videozáznam. Záznam som ho len pre svoju vlastnú potrebu. Nie je preto zostrihaný. Na požiadanie poskytnem. Nič za to nechcem, ale podmienkou je, že nebude zverejnené ani bez ďalšieho môjho súhlasu šírené.
Ahoj Eduard,
1. Ano, viem, ze pravo spatne neplati. Myslim vsak, ze v tomto pripade to dava vyznam, pretoze nove nariadenie hovori o tom, ze od 25. maja 2018 nemozes posielat komercne emaily ludom, ktori ti dopredu nedali suhlas (cize ten zakon plati od 25. maja 2018, nie skor). Ak mas teda na zozname povedzme 1000 emailovych adries od ludi, ktori ti nedali vyslovene suhlas na zasielanie komercnych emailov, tak im od 25. maja 2018 nemozes poslat ziadny komercny email. Da sa teda povedat, ze ten zakon plati platne, nie? Alebo som to mal popisat nejakou inou frazou?
2. Znie to velmi jednoducho, no nie som si isty, ci to staci. Taktiez, pre mnoho ludi je prave vytvaranie oficialnych dokumentov ci tabuliek velkym problemom.
3. Suhlasim s tym, ze stastne institucie to maju najnarocnejsie. A ano, hlavne nemocnice, poistovne a podobne institucie, ktore zaznamenavaju citlive osobne udaje.
4. Presne toto komplikuje veci. Alebo mozno to niektore firmy pochopili, ale zamerne zavadzaju, aby ich produkt znel ako presne to, co ludia kvoli GDPR potrebuju.
5. To je od teba velkoryse. Ja by som mal urcite zaujem. Moj email poznas – lubo@samsebepan.sk. Suhlasim, ze to video nikde nebudem zdielat a nikomu bez tvojho suhlasu neposkytnem.
Má to pár GB a cez mail to neprelezie. Hodím to na FTP a pošlem ti údaje do mailu.
Jasne, akokolvek ti to vyhovuje :)