Tento príspevok bol pôvodne publikovaný na stránke https://kryptomagazin.sk/gdpr-nie-je-len-kopa-papierov-tomas-jendral-o-ochrane-udajov-ai-hrozbe-a-podnikatelskom-prostredi/ a autorom článku je Marek Jendrál. Tento článok je iba kópia originálneho článku.
Keď Tomáš Jendrál začínal a prišiel za majiteľmi zabehnutých slovenských firiem radiť im s ochranou osobných údajov, málokto ho bral vážne. Dnes, o niekoľko rokov neskôr, má za sebou stovky klientov naprieč celým Slovenskom aj Českou republikou — a väčšina z nich je pri ňom od roku 2019. Rozprávali sme sa o tom, ako sa regulácia GDPR premietla do reality slovenských podnikov, kde robia firmy najväčšie chyby, a prečo je dnes pre neho väčšou hrozbou zamestnanec s ChatGPT ako samotná kontrola úradu.
Z právnickej fakulty rovno do biznisu
Tomáš Jendrál má 32 rokov a stojí za spoločnosťou Codamore s.r.o., ktorá pomáha firmám a organizáciám dostať sa do súladu s GDPR.
Nastaviť procesy, poskytovať konzultácie, vypracovať dokumentáciu, udržiavať ju aktuálnu, školiť zamestnancov v pozícii tzv. oprávnených osôb, vysvetľuje.
Záber pritom nie je len slovenský — firma funguje aj v Českej republike, s výraznou časťou aktivít priamo v Prahe.
Cesta k tomu nebola priamočiara. Počas štúdia na právnickej fakulte zakladal prvé podnikanie — malý eshop. Európske právo, vtedy pre neho „neznámy ekosystém právnych noriem,“ bol paradoxne jeden z najnáročnejších predmetov. „Ako študenti sme naňho nadávali,“ hovorí s úsmevom. Neskôr sa práve tento zdanlivo nudný predmet ukázal ako základ toho, čo robí dnes.
Keď po skončení štúdia vedel, že sa s právom nechce rozlúčiť, otázka bola jasná: v čom sa dá spojiť právo, práca s ľuďmi a technológie dohromady?
Vyštudoval som 8-ročné gymnázium v informatickej triede. Nejak to do seba zaklaplo, hovorí.
Spoluvyvinul online aplikáciu na správu GDPR agendy, ktorú firma dodnes rozvíja.
Zvyknem hovoriť, že sme skôr podnikatelia maratónci, ako šprintéri.
Fotka Tomáš Jendrál. Zdroj: kryptomagazin.sk
Predsudky, vizitka bez JUDr. a klienti, ktorí počúvali
Rozbehnutie firmy opíše bez prikrášľovania:
Stavala sa na zelenej lúke. Žiadne povedomie, marketing za milióny ani kontakty na tých správnych ľudí. Na vizitke mal v tom čase titul Mgr. — teda na prvú ani nebolo jasné, že je právnik. JUDr. prišlo až časom.
Predsudky kvôli veku?
Možno v úvode rozhovorov boli. A niekedy mám pocit, že stále sú. Po pár minútach rozhovoru vždy opadli. Rozhodovalo niečo iné — či zafungovala chémia a či druhá strana počúvala. Tí, čo nás počúvali pozorne, išli do spolupráce. Dovolím si tvrdiť, že 90 % z nich sú od roku 2019 stále našimi klientmi.
Nie je to len kopa papierov
Keď sa opýtate Jendrála, ako dnes slovenské firmy vnímajú GDPR, odpoveď je bez okolkov:
Myslím si, že všetci berú agendu GDPR ako nutné zlo. A nie je to len o GDPR — tá agenda stále pribúda. Nariadenie je záväzné viac ako osem rokov a stále v tom mnohé firmy, predovšetkým malé, nemajú jasno.
Jeden z najrozšírenejších mýtov je, že GDPR je čisto byrokratická záležitosť.
Nie je to len o kope papierov. A teda — ak je, GDPR agenda nie je zabezpečená úplne. Priamo z nariadenia totiž vyplývajú povinnosti nasadiť technické a organizačné opatrenia.
Jendrál to elegantne zjednodušuje:
Technické opatrenie je, či mám zámok tam, kde ho mám mať. Organizačné — kto každý má kľúč k tomu zámku.
Ďalší rozšírený mýtus? Že dať zamestnancovi pri nástupe podpísať súhlas so spracovaním osobných údajov znamená vyriešené GDPR.
Súhlas je častokrát nesprávne a nevhodne zvolený právny základ, vysvetľuje.
Existuje ich niekoľko — plnenie zmluvy, zákonná povinnosť, oprávnený záujem. Rovnako zaužívaná je predstava, že kontrola príde len k veľkým hráčom. Nezriedka kontrolovaní sú aj živnostníci a jednoosobové spoločnosti.
4.7
Začnite zarábať aj vy na raste Bitcoinu.
Millionero patrí ku popredným europským burzám.
Sponzorovaný obsah
Bizarné historky
Za roky praxe Jendrál videl kadečo. Jeden podnikateľ si za 500 eur kúpil návod, ako vypracovať GDPR dokumentáciu — a bol presvedčený, že má agendu spracovanú na mieru.
Iná klientka, majiteľka siete kamenárstiev, mala v dokumentácii ako dotknuté osoby uvedených pacientov.
Keď som sa jej opýtal, či mi tají, že je lekárka, alebo sú jej zákazníci pacienti, absolútne nechápala. A ja tiež nie.
Dnes Jendrála ako profesionála v oblasti GDPR oveľa viac znepokojuje niečo iné: umelá inteligencia a jej používanie bez pravidiel. „Keď zamestnanec nahrá databázu zákazníkov, zamestnancov alebo pacientov do ChatGPT, Gemini či iného nástroja, dochádza k prenosu osobných údajov tretiemu subjektu — bez právneho základu, bez zmluvy so sprostredkovateľom, a často aj bez vedomia dotknutých osôb.“ Podľa GDPR ide o porušenie viacerých článkov nariadenia a potenciálne o bezpečnostný incident, ktorý treba hlásiť Úradu na ochranu osobných údajov. „Robia to zamestnanci. Ale robia to aj samotní majitelia firiem.“
Hasiace práce a hodiny, kedy rozhodujú minúty
Každý rok sa opakuje rovnaký scenár: firmy, ktoré neboli klientmi Codamore, narazia na problém a volajú po záchrane.
V takých situáciách je našou prioritou čo najrýchlejšie zistiť rozsah problému, minimalizovať škody a splniť všetky zákonné povinnosti. Často ide o krízový manažment, kde rozhodujú hodiny, niekedy dokonca minúty.
Nástup AI otvára aj hackerom jednotlivcom možnosti, ktoré predtým neexistovali. Priama likvidačná pokuta sa Jendrálovi zatiaľ pri klientoch nestala. No situácie, kde náklady na riešenie incidentu, výpadok prevádzky a poškodená reputácia boli výrazne vyššie než preventívne nastavenie procesov — to áno.
Preventívna ochrana stojí zlomok toho, čo hasiace práce, dodáva.
Kde nariadenie mlčí: monitorovanie v digitálnom svete
Ak by mal Jendrál v ruke legislatívny prútik a mohol zmeniť jeden predpis, vedel by hneď čo by urobil.
Zmenil by som, resp. doplnil by som, právnu úpravu monitorovania zamestnancov.
GDPR túto oblasť rieši len rámcovo a odkazuje na národné pracovné právo. Slovenský Zákonník práce pritom obsahuje len niekoľko všeobecných ustanovení, ktoré podľa neho absolútne nekorešpondujú s realitou dnešného digitálneho prostredia — home office, firemné notebooky, sledovanie aktivity v systémoch, GPS v autách, biometrická dochádzka, monitorovanie e-mailov.
Dnes je situácia taká, že zamestnávatelia buď monitorujú viac, ako smú — lebo nikto presne nevie, kde je hranica — alebo sa monitorovaniu vyhýbajú úplne, aj keď by mali legitímny záujem. Oboje je zlé.
Riešením by bola samostatná právna úprava, ktorá jasne stanoví, čo zamestnávateľ môže sledovať, za akých podmienok a ako musí zamestnanca informovať. A to vrátane jasných hraníc pre AI-based monitoring, ktorý sa dnes masívne rozširuje.
Tomáš Jendrál nie len o GDPR. Zdroj: kryptomagazin.sk
Slovenské podnikateľské prostredie ako brzda pre šikovných ľudí
Na otázku, čo ho osobne najviac brzdí v raste, Jendrál odpovie bez váhania — a odpoveď mnohých prekvapí. Nie dane, nie odvody.
Najväčšou prekážkou pre rast podnikania na Slovensku podľa mňa nie sú samotné dane či odvody, ale ich neustále zmeny a celková nepredvídateľnosť podnikateľského prostredia. Podnikateľ vie fungovať aj pri vyššom daňovom zaťažení, pokiaľ sú pravidlá stabilné a vie si naplánovať budúcnosť.
Problém nastáva vtedy, keď sa podmienky menia prakticky každý rok a firmy musia viac energie venovať sledovaniu legislatívy než samotnému rozvoju podnikania. Veľmi kriticky vníma aj aktuálnu konsolidáciu verejných financií — nie nevyhnutne jej potrebu, ale spôsob realizácie, ktorý dopadá na podnikateľov naprieč celou ekonomikou bez ohľadu na veľkosť či odvetvie.
Výsledkom je nižšia ochota investovať, prijímať nových ľudí a rozširovať podnikanie.
Aplikácia, ktorá rastie s potrebami klientov
Biznis Codamore nestojí na poradenstve samotnom. Online aplikácia, ktorá pôvodne vznikla ako riešenie pre správu GDPR agendy, sa postupne rozrástla o ďalšie moduly podľa potrieb klientov — AML, kybernetická bezpečnosť, whistleblowing.
Naším cieľom nie je vytvárať ďalšiu administratívu, ale naopak odstraňovať ju. Chceme, aby sa plnenie zákonných povinností odohrávalo čo najjednoduchšie, s minimálnym vynaložením času, energie a nákladov zo strany podnikateľov.
Expanzia do ďalších krajín je v pláne, ale nie za každú cenu.
Najskôr chceme vybudovať ešte silnejší produkt a stabilnú firmu, ktorá bude dlhodobo prinášať hodnotu svojim klientom bez ohľadu na to, aké výzvy prinesie budúcnosť.
Sledujú aj možnosti európskych fondov, ktoré by mohli pomôcť zvýšiť konkurencieschopnosť na ďalších trhoch.
Rada na záver
Na záver sme Jendrála poprosili o radu pre mladých ľudí, ktorí majú nápad v regulovanej oblasti, ale boja sa urobiť prvý krok. Odpoveď tvorí akúsi filozofiu celého rozhovoru.
Práve v silno regulovaných segmentoch často vznikajú najzaujímavejšie príležitosti, pretože väčšina ľudí sa im radšej vyhne. Neodporúčam snažiť sa od prvého dňa vybudovať veľkú firmu alebo dokonalý produkt. Oveľa dôležitejšie je nájsť reálny problém, ktorý zákazníkov trápi, a overiť si, či sú za jeho riešenie ochotní zaplatiť.
A napokon — najdôležitejšia rada zo všetkých:
Nečakajte na ideálny moment. Ten pravdepodobne nikdy nepríde. Väčšina úspešných firiem nevznikla preto, že ich zakladatelia mali dokonalý plán, ale preto, že mali odvahu urobiť prvý krok.
Tomáš Jendrál tak dokazuje, že aj v zdanlivo suchej regulačnej oblasti sa dá vybudovať zmysluplný a rastúci biznis, ak človek vidí ďalej než konkurencia. V prostredí, kde väčšina firiem hľadá rýchle riešenia a lacné šablóny, stavia Codamore na dlhodobom vzťahu, kvalite a digitalizácii celej agendy. Na slovenskom trhu, kde nepredvídateľnosť pravidiel berie podnikateľom energiu, je to odvážna, no zjavne funkčná stávka.
Príspevok „GDPR nie je len kopa papierov“: Tomáš Jendrál o ochrane údajov, AI hrozbe a podnikateľskom prostredí je zobrazený ako prvý na Kryptomagazín.
