Všeobecné nariadenie o ochrane údajov (známe pod skratkou GDPR) bolo prijaté už v roku 2016, ale začalo sa v celej Európskej únii aplikovať až od 25. mája 2018. Za 3 roky aplikácie GDPR je na Slovensku najvyššou udelenou pokutou sankcia Sociálnej poisťovni vo výške 50 tisíc eur. Na porovnanie, dve najvyššie pokuty udelil Francúzsky úrad (CNIL) spoločnosti Google a to vo výškach 100 miliónov a 50 miliónov EUR. Britský dozorný úrad (ICO) dokonca uvažoval o pokute 200 miliónov eur pre British Airways, ale najvyššiu britskú pokutu nakoniec znížil (aj kvôli pandémii) na 22 miliónov.
V roku 2020 udelil Úrad na ochranu osobných údajov na Slovensku celkovo 54 pokút vo výške 103 tisíc eur. Najvyššia pokuta vo výške 20 tisíc eur bola udelená Dopravnému podniku Bratislava, priemerná pokuta dosiahla úroveň 1.913 eur. Začatých bolo 219 konaní. Najviac pokút dostali mestá a obce, najmä kvôli zverejneniu údajov zo zmlúv a rokovaní na webe, druhé v poradí boli školské zariadenia. Aj keď pokuty podľa GDPR pre slovenské firmy stále predstavujú akéhosi univerzálneho „strašiaka“, je otázne či sú obavy oprávnené. „Slovensko patrí vo výške pokút, ale aj vo výklade a vymáhaní pravidiel podľa GDPR na úplný chvost Európy. Problém však nie je GDPR, ale zákony o ochrane osobných údajov a prax, ktorú sme tu mali dávno pred GDPR. Tento historický a nesprávny prístup nám bráni venovať sa zmysluplným a novým témam. Témy ako rodné čísla, povinne zverejňované zmluvy, kamerové systémy alebo nástenky obcí – na ktoré sa Úrad svojou praxou zameriava – podľa mňa nie sú to, čomu by sme sa mali v dnešnej dobe venovať“, tvrdí Jakub Berthoty z advokátskej kancelárie DAGITAL Legal.
Zmeny, ktoré GDPR v skutočnosti prinieslo, neboli až tak výrazné, ako sa mohlo na prvý pohľad zdať. Pribudli nové povinnosti, avšak charakter regulácie ochrany osobných údajov zostal rovnaký a astronomických pokút sme sa na Slovensku stále nedočkali. Pritom GDPR nikdy nehovorilo, na čo je konkrétne potrebný súhlas a na čo nie. Presne toto však nariaďuje ePrivacy legislatíva už od roku 2002. Nové ePrivacy nariadenie teda opäť nebude úplne nové, podobne ako pred tromi rokmi nebolo nové ani GDPR. Nariadenie existuje už dnes v podobe ePrivacy smernice z roku 2002 a zákona o elektronických komunikáciách z roku 2011, ktorý smernicu do slovenskej legislatívy implementuje. Tieto predpisy vyžadujú napr. súhlas s používaním cookies, sledovaním lokalizačných údajov alebo súhlas na marketingové elektronické oslovovanie. Výnimky z týchto súhlasov sú už dnes pomerne prísne a tieto súhlasy musia spĺňať prísne požiadavky podľa GDPR. „V západnej Európe je súhlas na používanie analytických a marketingových cookies, pixelov, skriptov, či prakticky takmer všetkých platených kampaní na sociálnych sieťach, ale aj súhlas na mnohé operácie bežne vykonávané mobilnými aplikáciami, horúcou témou. Na Slovensku tieto súhlasy prakticky nikto nezbiera a téma ani len nerezonuje vo verejnej debate a už vôbec nie v činnosti regulátorov. Nikto nerieši stav, kedy väčšina cookies okien a mobilných aplikácií na internete absolútne nespĺňa základné požiadavky. Ide podľa mňa o alarmujúci stav," upozorňuje Jakub Berthoty.
Verejnosť má problém rozumieť rozdielom medzi ePrivacy legislatívou a GDPR. Častokrát dochádza k zámene týchto rozdielnych predpisov, ktoré, ako sa zdá, treba chápať a aplikovať spoločne na viaceré, dnes už bežne používané technológie. Jasné však nie sú ani národné predpisy, ktoré sa snažia implementovať túto legislatívu EÚ a ani postavenie rôznych regulátorov. Na Slovensku sa ePrivacy vôbec nedodržiava a nekontroluje, pritom je primárne zodpovednosťou štátu správne implementovať a vynucovať dodržiavanie právnych predpisov EÚ.