Reforma ochrany dat: sankce mohou být pro firmy likvidační, tvrdí právníci

Zdroj: shuttestock.com; autor: Alexander Supertramp

O reformním balíčku ochrany osobních dat členské státy jednají už od roku 2012. Za tu dobu prošel původní návrh řadou změn a příští týden mají státy konečně rozhodnout o společném postoji. Své si k dokumentu řeklo i Česko, kterému se nelíbil například způsob zavedení sankcí při porušení povinnosti, které z legislativy vyplývají. Navrhovanou podobu sankcí kritizují i právníci oslovení EurActivem. Pokuty totiž podle nich budou pro firmy likvidační. Rozpaky vyvolává i zavedení funkce inspektora osobních dat.

Již za týden se má Rada EU dohodnout na společném postoji k reformnímu balíčku ochrany dat, který byl Komisí navržen již v roce 2012.

Původní návrh Komise prošel za poslední tři roky řadou změn. Každý stát by si totiž rád prosadil své priority a jednání jsou složitá. I českým vyjednavačům se podařilo řadu požadavků prosadit, na lámání chleba však dojde v polovině června, kdy k jednomu stolu zasednou ministři spravedlnosti a vnitra států EU. Zde se má rozhodnout o společném postoji v rámci Rady.

Jak řekl EurActivu český zdroj podílející se na vyjednávání v Radě, současná podoba dokumentu je oproti návrhu Komise výrazně přesnější a zaručuje větší právní jistotu pro podniky a zároveň více flexibility pro členské státy. Téměř každý odstavec prošel nějakou změnou, hlavní myšlenka ale zůstává zachována.

Od počátku jednání zaznívá hlasitá kritika z řad evropských firem, které s osobními daty evropských občanů nakládají. Těch se totiž nová úprava dotkne nejvíc. Pro evropské podniky vznikne řada nových povinností, ve kterých se často neumí zorientovat. Požadují proto upřesnění toho, co budou muset a naopak nebudou smět při nakládání s údaji svých zákazníků dělat.

Nepřiměřené sankce

Jednou z kritizovaných částí ze strany České republiky jsou sankce za porušení povinnosti. Výše sankcí by měla odpovídat 0,5 až 2 % ročního obratu firem. Evropský parlament žádá dokonce 5 %.

"Za prohřešek spáchaný z nedbalosti teoreticky hrozí stejná sankce jako za úmyslné systematické páchání trestné činnosti s osobními údaji"

Právní experti oslovení EurActivem to považují za nepřiměřené a pro řadu životaschopných firem dokonce za likvidační. Problém také může nastat při určování ročního obratu podniku.

„Návrh navíc explicitně nezohledňuje míru zavinění narušitele soukromí. Proto za prohřešek spáchaný z nedbalosti teoreticky hrozí stejná sankce jako za úmyslné systematické páchání trestné činnosti s osobními údaji,“ řekl EurActivu advokát zabývající se ochranou dat spolupracující s mezinárodní advokátní kanceláří DLA Piper Prague Stanislav Bednář.

Podobný názor sdílí senior právnička společnosti Vodafone Czech Republic a.s. Vanda Kellerová, podle které by právní rámec měl rozlišovat mezi úmyslným porušením povinností stanovených nařízením a porušením těchto povinností z nedbalosti.

„Výše sankcí by se měla odvíjet od velikosti zásahu do soukromí subjektu údajů, nikoliv od výše obratu porušujícího subjektu,“ řekla Kellerová redakci.

Maximální hranice výše sankcí

Za vágní považuje současný návrh sankcí advokát Ondřej Kramoliš z mezinárodní právní firmy Allen&Overy, který se věnuje právu obchodních společností a ochraně osobních údajů. Podle něj by měla být spíše stanovena jasná maximální částka.

Určení maximální hranice bylo další z možností, jak sankce v rámci reformního balíčku pojmout. Úskalím však je, že by sankce nepostihovaly stejně malé firmy jako velké giganty, kteří na evropském trhu figurují. Částka, která je vysoká pro malé firmy, by totiž byla příliš nízká pro evropské firmy s ročním obratem mnohonásobně vyšším.

Česká republika navrhla také třetí možnost, tedy sankce v podobě denních pokut. Větší podporu však tento návrh mezi ostatními členskými zeměmi nezískal. EurActivu to sdělil zdroj, který se podílí na vyjednávání v rámci Rady EU.

Denní pokuty jsou využívány například v českém trestním zákoníku a jejich hlavní myšlenkou je, aby měl peněžitý trest stejný vliv na různě bohaté pachatele. Stejný princip by se dal uplatnit i v případě sankcí za porušení pravidel při nakládání s osobními údaji. Pokuta by se tak odvíjela od závažnosti přestupku a zároveň od majetkových poměrů firem.

Sankce nebudou jediné opatření

Kromě sankcí bude mít podle návrhu dozorový orgán, v případě Česka Úřad na ochranu osobních údajů, možnost uložit i jiné nápravné opatření. Mělo by se jednat například o dočasný zákaz předávání údajů do třetích zemí, nebo vydání varování či nařízení, aby firma situaci napravila. Ve hře je také pozastavení zpracování osobních dat.

Dalším problémem, který se snažily členské státy vyřešit, bylo upřesnění okolností, za jakých má dozorový orgán sankci uložit. Vyjednavači ze zemí EU proto připravili nový článek, který tato hlediska upravuje a zahrnuje i řadu polehčujících i přitěžujících okolností pro zpracovatele dat. To podle českého účastníka jednání zvyšuje právní jistotu nové reformy.

O posílení právní jistoty pro zpracovatele dat se členské státy snažily také odstraněním některých pravomocí Komise, které byly proškrtány zhruba na čtvrtinu. V případě schválení by tak Komise neměla mít možnost přijímat takové množství dílčích předpisů upřesňujících povinnosti a podmínky pro zpracovatele dat, jak bylo stanoveno v původním návrhu.

Kde je věková hranice?

Jedním z dalších úskalí, které reforma firmám přinese, je i nutnost souhlasu s poskytování osobních údajů dětí na internetu. Podle zdroje podílejícího se na vyjednávání, se fráze o ochraně osobních dat dětí porůznu objevovaly v celém dokumentu bez toho, aby by bylo jasné, co právně znamenají. Česká republika na to hleděla kriticky a nakonec se podařilo, aby byly tyto fráze v některých částech omezeny nebo zcela vypuštěny.

"Pokud budou těmito inspektory osoby s dostatečnými vědomostmi v oblasti ochrany osobních údajů, mohlo by dojít ke zlepšení povědomí o ochraně osobních údajů ve společnostech"

Největší dohady se však vedly o stanovení věku, od kterého za dítě nemusí s poskytnutím údajů souhlasit rodič. Hranicí se podle návrhu Komise stalo stáří 13 let. Do dovršení tohoto by tak musel k poskytováním údajů o svém dítěti dát souhlas rodič nebo opatrovník. Firmy však upozorňují na to, že není snadné zjistit, zda za počítačem sedí dítě, nebo dospělý. Členské státy věkovou hranici zvedly na 18 let, ale vnitrostátně mohou stanovit jiné podmínky. S tím počítá i Česká republika.

Oba advokáti oslovení EurActivem s potřebou souhlasu rodičů souhlasí a hranici 13 let považují za rozumnou. Stanislav Bednář však kritizuje to, že pro některé účely je stanovena hranice věku dítěte na 18 let. Tyto nejasnosti by podle něj měly být odstraněny.

Inspektor osobních údajů

Návrh reformního balíčku hovoří také o nutnosti zavedení funkce jakéhosi inspektora či manažera osobních dat pro firmy či instituce, které osobní data zpracovávají.

„Pokud budou těmito inspektory osoby s dostatečnými vědomostmi v oblasti ochrany osobních údajů, mohlo by dojít ke zlepšení povědomí o ochraně osobních údajů ve společnostech, které s osobními údaji nakládají,“ řekl EurActivu Kramoliš.

Povinnost by se měla týkat státní správy a všech větších společností s více než 250 zaměstnanci.

Podle Bednáře by taková povinnost donutila zpracovatele dat brát ochranu osobních údajů vážně, upozorňuje ale na nedostatky návrhu.

„Evropští zákonodárci zvolili velmi nešťastnou cestu, řekl bych typicky evropsky byrokratickou: chtějí nařídit angažování odborníka, který navíc zřejmě bude muset být z důvodu nezávislosti externí, tedy drahý, a bude prakticky neodvolatelný, i kdyby porušil své povinnosti,“ vysvětluje.

Na tuto část reformy hleděla kriticky i Česká republika, která prosazovala, aby tato povinnost byla závazná pouze pro státní správu. Pro podniky by to mělo být dobrovolné opatření.

Pokud by ale firma chtěla být iniciativní a funkci inspektora zavést, měla by za to mít úlevy, navrhuje Česko. Například by nemusela připravovat zprávu o hodnocení dopadů na ochranu osobních dat, která bude také povinná. Česká strana navíc žádala, aby byly úlevy ještě vyšší. To se ale nepodařilo prosadit, tvrdí zdroj účastnící se vyjednávání. Proto je Česko spokojené alespoň s dobrovolností inspektora.

Smluvní podmínky nikdo nečte

Kellerová považuje zavedení funkce inspektora za logické.

„I v jiných oblastech dochází k aplikaci ISO standardů, včetně jmenování osob odpovědných za dohled nad dodržováním legislativních požadavků v určité vymezené oblasti, například pro oblast kybernetické bezpečnosti,“ vysvětluje s tím, že ve společnosti Vodafone byla pozice Privacy Officer s odpovídajícími povinnostmi a pravomocemi zavedena již před devíti lety.

Vedle zavedení funkce inspektora osobních dat nebo sankcí vznikne podnikatelům celá řada dalších povinností, které se projeví i ve vztahu k zákazníkovi.

Právníci také upozorňují na to, že reforma povede k přepracování spotřebitelských smluv a všeobecných podmínek, které většina lidí stejně přeskakuje, a firmám přitom vzniknou nové náklady.

Autor: Eliška Kubátová