#jasnovEU – díl 8: Kterak se GDPR stalo nástrojem utlačování slabých a bezbranných

UPOZORNĚNÍ: Názor autora/autorů se nemusí shodovat s názorem redakce EurActiv.cz

© Shutterstock

O GDPR toho v poslední době bylo řečeno opravdu hodně. A nám nezbývá nic jiného, než se k této debatě přidat.

Seriál #jasnovEU vážně i nevážně osvětluje některá sporná témata spojená s EU. Inspiraci čerpá na sociálních sítích.

Při pohledu na sociální sítě se zdá, že první místo v kategorii „nejzbytečnější a nejhorší bruselská regulace“ patří v posledních týdnech zcela určitě GDPR, tedy novému nařízení na ochranu osobních údajů. Začne platit 25. května a čím více se toto datum blíží, tím více hysterie se českými internety šíří.

https://twitter.com/volven/status/961906642282573824

Nejprve se podívejme na to, jestli je GDPR skutečně tak hloupé a zbytečné nařízení, jak o něm statečně prohlašuje tento anonym.

Nová pravidla v první řadě reagují na rychlý technologický pokrok, kterým v poslední době procházíme. V současnosti platná směrnice na ochranu osobních údajů platí od roku 1995. Z ní vycházející česká právní úprava ochrany osobních údajů je z roku 2000. Jen pro představu – v tomto roce byl internet luxusem, který si mohl dovolit jen málokdo, chytré telefony byly hudbou vzdálené budoucnosti, pojem „cloudové úložiště“ neexistoval a Mark Zuckerberg měl dva roky před maturitou.

Od té doby se technologie vyvinuly do tehdy neuvěřitelných podob. A spolu s tím i shromažďování, uchovávání a zpracovávání osobních dat, které do digitálního světa (často i nevědomky) šíříme. A právě na to GDPR reaguje. Vždyť kdo z nás je rád, že osobní informace, které někdy někomu poskytl či je někdy někam napsal, mohou už navždy volně poletovat digitálním světem. A to nemluvě o jejich zneužívání v politickém boji, což je téma, které v posledních dnech pořádně lomcuje nejen Facebookem.

Náklady, které musí malí podnikatelé při přípravě na novou regulaci vynaložit, se na první pohled zdají jako relevantní zdroj kritiky. A ano, nařízení dopadá i na malé a střední podniky. Právě pro ně se toho však příliš nemění. Malí podnikatelé se tak nemusí žádných závratných investic bát. Pokud dosud dodržovali platnou právní úpravu ochrany osobních údajů, nebudou mít s přechodem na nová pravidla problém. Primárním cílem GDPR jsou totiž hlavně velké technologické, internetové či marketingové firmy, které jsou na zpracovávání nebo obchodování s daty prakticky založeny a zastaralá právní úprava na ně nedosahuje.

I přes to ale někteří malí podnikatelé a živnostníci na přípravu na GDPR skutečně vynakládají vysoké částky, v čemž má následující kritik bohužel pravdu …

… otázkou ale zůstává, jestli je toto podvodné jednání skutečně chybou EU a nového nařízení. Některé advokátní firmy a poradenské společnosti opravdu nabízejí, že vás za často přemrštěné částky na GDPR připraví a vy se nebudete muset o nic starat. Takové jednání je samozřejmě podvodné a v některých případech zřejmě naplňuje skutkovou podstatu některého z trestných činů.

To ale přeci neznamená, že GDPR namísto unijních občanů slouží primárně těmto „parazitům“. Notabene v případě, kdy na toto podvodné jednání pravidelně upozorňují novináři či samotní odborníci. V případě výběru nesprávné společnosti se mohou přípravy na GDPR skutečně prodražit. Tyto nešvary se však zdaleka neobjevují pouze v případě GDPR. Podvodníci se bohužel vyskytují všude, o to důležitější je být o novém nařízení co nejlépe informován a nevěřit kdejakým mýtům a povídačkám.

Pro férovost je ale třeba si přiznat, že Evropská komise v tomto ohledu lidem moc nepomohla a spíše spoléhala na to, že se o všechno postaráme sami. Česká eurokomisařka Věra Jourová nám sice loni slíbila, že na začátku tohoto roku spustí masivní informační kampaň, já si ale žádné kvalitní kampaně zatím nevšiml. Nebo má jít o nedávno vydané pokyny k GDPR, které se v ČR tak masivně šíří?

Některým se ale nelíbí něco jiného. Na přípravu prý měly firmy příliš málo času.

Ono ale více než dva roky na seznámení se s 99 články, které nařízení obsahuje, není až tak šibeniční termín. Nařízení začne na celém území EU platit 25. května 2018. Přijato ale bylo 27. dubna 2016, v Úředním věstníku EU jej pak můžeme najít od 4. května 2016, a to i v českém jazyce.

Nemůžeme samozřejmě popřít fakt, že v České republice doposud nebyl přijat tzv. adaptační zákon, který některá ustanovení nařízení upřesňuje a který se s velkou pravděpodobností nestihne do nabytí platnosti GDPR schválit. To ovšem není vina „zlého Bruselu“, nýbrž českých vlád, které se touto otázkou nezabývaly.

Pravdou ale zůstává, že nepřijetí adaptačního zákona firmám ani jiným subjektům nebrání, aby se na nová pravidla připravily. Národní předpis sice upřesňuje několik desítek ustanovení nařízení, v případě České republiky se však bude jednat o poměrně malou část z tohoto počtu. Půjde hlavně o určení věkové hranice dítěte, do které bude ke shromažďování osobních údajů potřeba souhlas zákonného zástupce, rozmezí případných pokut pro veřejné subjekty, kdo je pro účely nařízení veřejným subjektem či o provedení trestně-právní směrnice, která na GDPR navazuje.

To ale českou vládu nezbavuje odpovědnosti. Nepřijetí adaptačního zákona je totiž chybou, která v jistých ohledech skutečně může způsobit právní nejistotu.

Výbušného tématu se ale politici nakonec chytli. I když poměrně pozdě. Důkazem je už dvakrát ukázaný tweet Mariana Jurečky z KDU-ČSL.

Zrušit možnost udělení sankce, která má v každém právním předpise právě onu odstrašující – tedy fakticky zásadní – funkci je skutečně zajímavý nápad. V případě veřejných subjektů či neziskových organizací by se tak dodržování nařízení stalo prakticky nevynutitelným. Ostatní povinné subjekty tomuto nápadu zcela jistě zatleskají a na zmíněnou rovnost před zákonem si určitě ani nevzpomenou. Někteří politici si zkrátka chtějí z obecně platného a přímo vynutitelného a aplikovatelného nařízení udělat trhací kalendář.

A hlavou kroutí i samotní odborníci na GDPR …

Výše možné pokuty za porušení GDPR ale opravdu vzbuzuje velké vášně. Jsou ale na místě?

https://twitter.com/PetrMoses/status/965584113477521408

Článek 84 obecného nařízení totiž stanoví, že „sankce musí být účinné, přiměřené a odrazující“. Článek 83 nařízení pak stanoví, že v případě veřejné moci a veřejných subjektů si každý členský stát ve svém právním řádu zakotví, jaké výše mohou správní pokuty dosahovat.

Ať už na základě zákona, nebo na základě nařízení tak budou mít správní úřady stanoveny mantinely, které nemohou překročit. V jejich rámci budou při posuzování jednotlivých případů moci využívat tzv. správní uvážení, což znamená, že o konečné výši finanční sankce rozhodnou v závislosti na okolnostech konkrétního případu. Horní hranice tak od porušení sice odrazuje, udělená pokuta však musí být účinná, ale zároveň přiměřená, což mimo jiné znamená, že nesmí být likvidační. Stejně tak musí správní uvážení respektovat obecnou zásadu rovnosti před zákonem. Pokud tedy dva podobně velké podniky budou pokutovány výrazně odlišně, je zde možnost domáhat se zrušení správního rozhodnutí soudní cestou. Představa, že podnik o 50 zaměstnancích či malá obec dostane pokutu ve výši několika milionů, je proto mimo mísu.

Jestli jste dočetli až sem a přesto pořád zaujímáte vůči ochraně osobních dat striktně odmítavý postoj, určitě vám bude imponovat následující názor. Uživatel v něm ukazuje, že na jakoukoli bezpečnost svých dat již dávno zanevřel a žádná snaha o ochranu jeho údajů nemá vůbec žádný smysl …

… anebo dotyčnému prostě jen uniká onen fakt, že přesně na to, co ve svém komentáři zmiňuje, je celý koncept ochrany osobních údajů ze své podstaty zaměřen.

Pravda o GDPR ale může být ve skutečnosti mnohem prostší …

Ať tak či onak, naše redakce všem zarytým odpůrcům nařízení či dokonce celé EU vřele doporučuje k přečtení jednak oficiální příručku k GDPR vydanou Úřadem pro ochranu osobních údajů, stručnou metodiku Ministerstva průmyslu a obchodu či nedávno zveřejněné pokyny Evropské komise. Pro fajnšmekry je pak ve zmíněném Úředním věstníku EU už dva roky nachystané znění celého nařízení. Vzhledem k vypuknuté hysterii je totiž často nutné jít přímo ke zdroji. Jen tak budeme mít všichni #jasnovEU.