První a druhý díl speciálu GDPR najdete zde a zde.
Na aktuální otázky týkající se GDPR jsme se zeptali čtyř odborníků, kteří se ochranou osobních údajů zabývají. Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.
7. Kde vidíte pro stát/ÚOOÚ prostor pro to, aby mohl přispět k efektivnímu a hospodárnému plnění povinností v oblasti ochrany dat?
Žůrek: GDPR je komplexní právní předpis, který ochranu osobních údajů při jejich zpracování posunul do oblasti „řemesla“. Prostor proto vidím pro zevšeobecňování jeho pravidel tak, aby malí správci nebyli zatěžováni nutností studovat obsáhlý a složitý předpis, ale měli jednoduchý návod, co musí dodržovat. Úřad pro ochranu osobních údajů na tento požadavek reagoval vydáním Desatera zpracování pro správce, které vystihuje nejdůležitější povinnosti a principy, na kterých ochrana osobních údajů při zpracování stojí. Dále lze čerpat zevšeobecněné informace ze Základní příručky k GDPR, též dostupné na www.uoou.cz. Tyto internetové stránky doporučuji všem, jelikož tam „své“ informace nalezne každý. Tím, že Úřad pro ochranu osobních údajů není regulátor, ale dozorový úřad, je zde rozhodně prostor pro větší aktivitu jednotlivých ministerských resortů nebo sdružení, asociace správců, které mohou zainteresovaným subjektům být nápomocni při řešení jejich typických problémů. Po účinnosti GDPR bude prostor i pro to, aby Úřad pro ochranu osobních údajů prokázal rozumný přístup v uplatňování dozorových pravomocí (zejména nápravných), což ostatně předem deklaroval.
Rámiš: Určitě jak před ÚOOÚ, tak před příslušnými ministerstvy stojí velký úkol v oblasti prevence a osvěty. Bohužel ne vždy jsou doporučení a stanoviska zejména jednotlivých ministerstev zcela v souladu s GDPR. Náš Spolek pro ochranu osobních údajů již k několika takovým materiálům připravil kritické připomínky. Velmi přínosné by bylo, pokud by ústřední orgány státní správy svoje návrhy stanovisek k GDPR dávaly odborné veřejnosti předem k veřejné diskuzi, jako to začal dělat právě ÚOOÚ.
Nonnemann: Bohužel ne všechny resorty dokázaly během dvou uplynulých let analyzovat svoji sektorovou legislativu a připravit návrh na úpravu tam, kde je to nezbytné pro aplikaci GDPR jako přímo účinného nařízení. Řadu nepřesností či nesouladů bude nutno překonávat výkladem, což právní jistotě adresátů práva nepřispěje. Jednotlivé resorty by podle mého názoru měly aktivněji vystupovat při nastavování pravidel pro zpracování osobních údajů v rámci svého sektoru, protože Úřad pro ochranu osobních údajů je a zůstane dozorovým úřadem, není regulátorem, a pravidla pro zpracování dat by obecně nastavovat neměl. Od Úřadu pro ochranu osobních údajů potom v souladu s řadou vyjádření jeho představitelů v uplynulém období s důvěrou očekávám racionální a spravedlivý výklad nařízení a souvisejících předpisů.
Pattynová: Považuji za důležité, aby velké rezorty, finanční správa, nemocnice, školy a další pro občana klíčové instituce, dokázaly transparentně komunikovat, jak nakládají s daty občanů, a aby občané získali důvěru, že stát chrání jejich soukromí. Máme nedávnou zkušenost s totalitním režimem a související kritický pohled na státní instituce; GDPR je příležitostí pracovat na vztahu důvěry mezi občanem a státem. Pokud jde o ÚOOÚ, tak občané i soukromé firmy budou kriticky hodnotit, do jaké míry je GDPR vynucováno stejně ve veřejném i soukromém sektoru.
8. Souhlasíte s navrhovaným výrazným snížením sankcí pro státní správu a samosprávu?
Rámiš: Z mého pohledu je to přínosné, protože cílem předpisů o ochraně osobních údajů by mělo být chránit skutečně údaje v rámci procesu nakládání s nimi a ne plnit státní rozpočet. Na druhé straně, pokud dojde ke snížení pokut pro státní správu, jen obtížně se bude obhajovat praxe, kdy by za typově stejné porušení GDPR dostal podnikatel řádově vyšší sankce než orgán veřejné správy.
Nonnemann: Ne, nesouhlasím. Je pravdou, že otázka, zda má být veřejný sektor či veřejná správa jako taková za porušení práva finančně postižena, není jednoznačná, nicméně měla by být řešena komplexně a systematicky, nikoliv na základě mediální kampaně ad hoc u jednoho z řady předpisů upravujících veřejnoprávní dozor. A navíc, pokud se podíváme do historie dozorové činnosti Úřadu pro ochranu osobních údajů, vidíme, že ty nejvyšší sankce za významná porušení pravidel pro zpracování osobních údajů dostávaly často právě orgány státní správy.
Pattynová: Z hlediska důvěry podnikatelů ve spravedlivé legislativní prostředí to není ideální řešení. Snížením sankcí stát komunikuje, že sám není plně připraven chránit soukromí občanů a nechce v této oblasti nést plnou odpovědnost. Podnikatelé vynakládající velké prostředky na ochranu soukromí budou těžko akceptovat, že stát nechce nést stejné břemeno. Rozumím, že obce, malé školy a jiné menší organizace potřebují od státu pomoc. Bylo by však vhodnější, kdyby stát těmto organizacím pomohl zajistit ochranu soukromí, než aby jim snižoval sankce. Snížení sankce pro velké rezorty, jako např. ministerstvo vnitra či ministerstvo financí, je alarmující. U těchto rezortů občan může spravedlivě očekávat, že ochranu soukromí beze zbytku a s plnou odpovědností zajistí.
Žůrek: Každá právní norma, aby byla úplná, musí obsahovat sankci. Právě sankce má za úkol přimět (donutit) adresáty chovat se podle normou nastavených pravidel. Finanční sankce patří obecně mezi nejdůležitější sankce, které právní předpisy obsahují. Nevidím proto důvod, aby některé subjekty byly úplně vyloučeny z možnosti jim udělit finanční sankci, jelikož poté by pro ně právní norma ztratila donucující složku, což by se odrazilo i v jejich liknavém přístupu při plnění povinností, což by byl negativní jev. To i v případě výrazného snížení možné pokuty, např. na částku 5 000 Kč. Nevidím však důvod, proč pro organizace státní správy či samosprávy nemohly být pokuty nastaveny do maximální výše, kterou měl zákon č. 101/2000 Sb., o ochraně osobních údajů, tj. 10 000 000 Kč.
9. Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?
Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.
Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.
Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.
Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.
Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.
10. V poslední době se okolo GDPR rozvinula určitá hysterie. Myslíte, že se skutečně jedná o „GDPR bublinu“? A pokud ano, kdy taková bublina praskne?
Žůrek: Před cca rokem a půl se začalo o GDPR více mluvit a zejména v souvislosti s vysokými sankcemi, které GDPR umožňuje udělit. Tím začal „obchod“ se strachem, kdy byl strach z GDPR přiživován informacemi, jak vysoké pokuty tento předpis uděluje uložit. Někteří lidé v GDPR ucítili šanci a bez nějakých předchozích znalostí či působení v této oblasti se začali vydávat za největší experty na GDPR. Tím, že předtím se této oblasti nevěnovali, tj. neznali ani zákon č. 101/2000 Sb., o ochraně osobních údajů, neznali ani souvislosti a začali GDPR prezentovat jako revoluci (nutno poznamenat, že v základních principech a povinnostech je GDPR stejné jako zmíněný zákon č. 101/2000 Sb.). Zároveň šířili mýty typu, že šifrování je povinné nebo že každý musí mít pověřence pro ochranu osobních údajů, na což Úřad pro ochranu osobních údajů záhy reagoval vydáním dokumentu nazvaného Desatero omylů. Tak se začalo soukolí strachu pomalu rozvíjet a setkali jsme se v rámci konzultační agendy s dotazy typu, jestli děti ještě budou smět si podepsat namalovaný obrázek nebo co je pravdy na tom, že GDPR zakazuje šanony (smějí podepsat a šanony GDPR nezakazuje, jen je nutné dávat pozor na jejich vhodné umístění).
Pattynová: Je to podobné, jako kdyby nově a během krátkého období začala být přísně vynucována jakákoli jiná oblast práva. Pokud by např. dosud daňové předpisy nebyly přísně vynucovány a najednou byly za jejich porušení zavedeny vysoké sankce, způsobilo by to určitou „paniku“. Zkušenosti z jiných přísně vynucovaných oblastí, jako je např. soutěžní či daňové právo, ukazují, že tyto oblasti jsou brány velmi vážně. Myslím, že do budoucna ochrana soukromí, stejně jako soutěžní či daňové právo, bude hrát velkou roli při jakékoli transakci nebo strukturování nového produktu.
Nonnemann: Tato do velké míry skutečně hysterie je podle mého názoru způsobena především dvěma aspekty. Prvním je to, že některé subjekty dosud ochraně osobních údajů nevěnovaly dostatečnou pozornost či dokonce dosavadní právní předpisy přímo ignorovaly a nyní je vyděsily vysoké sankce, které GDPR přináší. Druhým potom skutečnost, že GDPR využila řada subjektů, často bez jakékoliv praktické zkušenosti s ochranou osobních údajů či informací obecně, k agresivnímu nabízení více či méně smysluplných služeb. Bublina jistě splaskne, ale je skutečností, že ochrana osobních údajů jako téma se dostalo na jinou úroveň a bude mu věnována daleko větší pozornost.
Rámiš: Částečně určitě. Na druhé straně tato bublina byla do jisté míry způsobena i tím, že doposud nebyla ochraně osobních údajů věnována taková pozornost, jakou si zasloužila. Zvýšení této pozornosti s sebou ale aktuálně přineslo jeden negativní jev - že se ono pověstné kyvadlo příliš vychýlilo na druhou stranu a na ochranu osobních údajů jsou někdy kladeny nesmyslné požadavky, které ani neodpovídají stanoviskům dozorového orgánu. Doufám, že po 25. 5. se situace uklidní a všichni uvidí, že život jde dál, že GDPR je sice důležitý předpis, ale nemůže zastavit chod společnosti.
Konec třídílného seriálu.
