Prečo je GDPR dokumentácia za 49 eur hazard, nie riešenie

Právne dokumenty na mieru. Za 2 minúty bez predražených právnikov.

Predstavte si, že hľadáte účtovníka. Nájdete niekoho, kto sa prezentuje takto: web nazve “nenavidimucto.sk” a ako hlavný claim uvedie, že nenávidí dane, nenávidí výkazy, nenávidí počítanie — pretože pokuty sú obrovské a účtovníci príšerne drahí. Preto ponúka daňové priznanie za 49 EUR, hotové do dvoch dní, bez predražených účtovníkov. A ak nahráte do pripraveného rozhrania posledný výpis z banky a dostanete  obratom orientačný odhad, koľko zaplatíte na daniach. Úplne zadarmo a bez ďalších záväzkov.

Človek nemusí mať titul z ekonómie z Harvardu, aby chápal, že toto nemôže dopadnúť dobre.

A predsa — ak ide o ochranu osobných údajov, pri “GDPR bez právnikov za 49 eur” sa u mnohých red flag neaktivuje.

Prípadová štúdia

Vyššie opísaný model som si nevymyslela. Skutočne existuje spoločnosť ktorá presne týmto spôsobom ponúka “právne záväznú GDPR dokumentáciu” – a pozor, aj obchodné podmienky a ďalšie dokumenty pre e-shopy. Zakladateľ tejto firmy je WordPress web dizajnér a UX špecialista.

Úvodná stránka sa sugestívne pýta: “Porušuje váš web GDPR?” A hneď aj sľubuje: ”Skontrolujeme váš web a vygenerujeme dokumenty v súlade s požiadavkami EÚ.” 

Využila som túto možnosť — a zadala som web samotného zakladateľa spoločnosti. Skóre: 30/100.

Medzi nálezmi boli Google Analytics cookies nastavené pred súhlasom — kritické porušenie ePrivacy smernice. Privacy policy bez právnych základov pre jednotlivé účely spracúvania. Privacy policy bez retenčných dôb. A odporúčanie: “Väčšinu nálezov vyrieši naše GDPR dokumenty na mieru.”

Myslím, že bežný užívateľ by sa potešil, ako rýchlo sa dopracoval k výsledku a ako lacno kúpil riešenie. Ani by netušil, že v skutočnosti si kúpil problém. 

Spoločnosť uvádza, že produkt beží na Claude API a jeden z dôvodov, prečo dôverovať produktu má byť skutočnosť, že “Naše AI sa učilo na databáze reálnych GDPR dokumentov zo slovenského trhu.”

Tisíc dokumentov znie solídne. Kým si nepoložíte základnú otázku – aká je čistota trénovacích dát?

GDPR dokumenty zo slovenského trhu sú notoricky rôznorodej kvality — skopírované šablóny, zastarané verzie, dokumenty bez právneho základu pre jednotlivé účely spracúvania. Ak model trénujete na tisícke dokumentov s neznámou kvalitou a bez právnickej kurately, netrénujete ho na best practice. Trénujete ho na priemere. A to nie je kompliment.

Mohla by som reagovať a poukázať aj na ďalšie prehnané vyhlásenia spoločnosti, mohla by som kritizovať ich vlastnú privacy policy, v ktorej uvádzajú neaktuálnu adresu dozorného orgánu alebo tvrdia, že podpísali sprostredkovateľskú zmluvu s Googlom a Anthropicom, ktorých nazýva “spracovatelia” namiesto správneho “sprostredkovatelia”. Toto všetko sú však indikátory neodbornosti, ktoré bežný užívateľ nemá šancu rozpoznať. 

Už som to spomínala v e-booku “3 varovné signály toxických GDPR ponúk”. Jedným z nich je, že GDPR “robí” firma, ktorá sa reálne profiluje v inom odbore.  A to, že niekto robí webky a vie si vygenerovať texty z claude.ai, fakt neznamená, že dokáže poskytnúť odbornú a kvalitne vykonanú službu v oblasti ochrany osobných údajov. 

GDPR nie je formalita. GDPR je zákon

Privacy policy je frontend. GDPR je backend.

A bez backendu frontend nebeží. To by mal vedieť každý UX dizajnér.

Privacy policy je dokument viditeľný používateľovi. Za ním stojí celá architektúra: právny základ pre každý účel spracúvania, záznamy o spracovateľských činnostiach, zmluvy so sprostredkovateľmi podľa čl. 28, posúdenie vplyvu na ochranu údajov, procesy pre vybavovanie práv dotknutých osôb, retenčné doby, technické a organizačné opatrenia.

Keď dozorný orgán príde na kontrolu, nebude čítať váš dokument ako literárny text. Bude sa pýtať:

  • Ukážte mi záznamy o spracovateľských činnostiach.
  • Ukážte mi zmluvy so sprostredkovateľmi.
  • Ukážte mi, ako vybavujete žiadosti o výmaz.
  • Na akom právnom základe posielate newsletter?
  • Bolo vykonané DPIA pred zavedením tohto nástroja?

Na tieto, a mnohé ďalšie otázky AI generátor za 49 EUR neodpovie.

Aktuálne pred takýmito praktikami neexistuje iná ochrana, než vlastný zdravý rozum a zodpovednosť.  Regulácia GDPR nestanovuje podmienky kto môže tieto služby poskytovať. Právna cesta existuje – napríklad prostredníctvom žaloby pre nekalú súťaž (§ 44 a nasl.) alebo § 45 — klamlivú reklamu, resp.  zákon č. 147/2001 Z. z. o reklame. Ak niekto poskytuje právne poradenstvo bez oprávnenia — čo je možná interpretácia “právne záväzné dokumenty”— môže ísť o neoprávnený výkon advokácie. Každá z týchto ciest je však zdĺhavá a výsledok je neistý. Najlepšia dostupná ochrana je vlastný úsudok. Pretože zodpovednosť pred dozorným orgánom zostáva tam, kde bola vždy. 

U prevádzkovateľa.

Kontaktovať

Categories: ,

Latest Posts

Categories

Tags

bezpečnostné opatrenia bezpečnosť bezpečný web compliance DPO e-mail facebook firemné procesy GDPR GDPR compliance GDPR dokumentácia GDPR prax GDPR školenie implementácia GDPR incidenty IT kybernetická bezpečnosť manžment rizík náklady GDPR náklady na GDPR ochana osobných údajov ochrana osobných údajov ochrana súkromia oprávnený záujem personalistika podvodný e-mail povinnosti prevádzkovateľa priame volania práva dotknutých osôb sextortioin sociálne inžinierstvo sociálne siete sprostredkovateľ sprostredkovateľská zmluva správa sociálnych sietí strata osobných údajov súhlas súhlas podľa GDPR súkromie súlad s GDPR volania zamestnanie zodpovedná osoba základy GDPR zásady GDPR