Dva roky s GDPR: Apokalypsa se nekonala a Británie se pravidlům nevyhne

Věra Jourová a Didier Reynders © EPA

Komise dnes zveřejnila hodnotící zprávu k GDPR. Úspěchy jsou velké, ale i po dvou letech je stále co zlepšovat. Problémem jsou rozdíly v implementaci i nedostatek úředníků. A i když Boris Johnson tvrdil opak, nařízení bude muset dodržovat i Británie.

Po dvou letech účinnosti obecného nařízení pro ochranu osobních údajů (General Data Protection Regulation, GDPR) se Komise rozhodla zveřejnit hodnotící zprávu.

V té zmiňuje oblasti, na které je třeba se v blízké budoucnosti zaměřit. Ani po dvou letech totiž GDPR neplní svou úlohu stoprocentně a je co zlepšovat. Zároveň však komisaři zdůrazňují i přínosy revoluční změny v ochraně osobních údajů Evropanů.

Infografika: Co zásadního přináší GDPR?

Pro mnoho lidí je nové nařízení pro ochranu osobních údajů (GDPR) velkým strašákem, který přináší množství nových povinností. V následující infografice přinášíme ve zjednodušené formě informace, co si pod novým nařízením vlastně představit a jaké nejdůležitější změny přináší.

Jak se vyhnout pokutě? GDPR se týká každého z nás, firmy ale přípravu podceňují

Nové nařízení o ochraně osobních údajů se dotkne každého, kdo jakýmkoli způsobem uchovává nebo zpracovává osobní data. Jde tedy o obrovské množství podnikatelů, živnostníků, veřejných institucí nebo organizací. Velká část z nich ale stále neví, jak k novým pravidlům přistoupit. Co jsou tedy ty základní kroky, které by měl co nejdříve učinit každý, koho se GDPR týká?

„Evropská pravidla pro ochranu dat se stala kompasem, který nás vede digitální transformací, jsou důležitým pilířem pro naše další politiky včetně ‚datové strategie‘ či našeho přístupu k umělé inteligenci,“ prohlásila při představení zprávy místopředsedkyně Komise Věra Jourová (ANO).

„GDPR je skvělým příkladem toho, jak EU respektuje základní práva, posiluje své občany a přináší podnikatelům příležitosti, aby co nejvíce využili digitální revoluci. Zároveň však musíme všichni pokračovat v práci, aby GDPR zcela naplnilo svůj potenciál,“ dodala.

Mezi státy jsou rozdíly

Přetrvávajícím problémem je podle komisařů hlavně rozdílná implementace předpisu napříč EU. GDPR je sice nařízení, které je přímo aplikovatelné, některá jeho ustanovení však předpokládají bližší specifikaci ve vnitrostátních právních řádech. A to se ukázalo jako ne příliš šťastné.

„GDPR úspěšně plní svůj účel a stalo se východiskem pro státy, které chtějí svým občanům zaručit vysokou míru ochrany. Dnešní hodnotící zpráva ale ukazuje, že můžeme dělat ještě více,“ uvedl eurokomisař pro spravedlnost Didier Reynders.

„Potřebujeme více sjednotit aplikaci pravidel napříč Unií. To je důležité jak pro naše občany, tak pro podnikatele, především pak pro malé a střední podniky. Komise bude i nadále pokrok v oblasti aplikace GDPR monitorovat, a to v úzké spolupráci s evropským výborem na ochranu dat i s členskými státy,“ dodal.

Příkladem takových rozdílů je třeba stanovení věkové hranice, od které mohou děti samy udělit souhlas se zpracováním svých osobních údajů. Týká se to například uživatelů Facebooku či jiných sociálních sítí.

„Firmy poskytující služby informační společnosti nezletilým osobám musejí v každé zemi rozlišovat mezi věkem potenciálních uživatelů v závislosti na tom, ve které členské zemi mají tyto osoby bydliště,“ uvádí Komise v hodnotící zprávě.

Věková hranice se v EU pohybuje od 13 do 16 let. Devět zemí se rozhodlo pro nejvyšší možnou hranici, osm zemí se naopak přiklonilo k té nejnižší. Česko si zvolilo variantu 15 let.

„Tyto rozdíly jsou v rozporu s hlavním smyslem GDPR, kterým je vytvoření stejné úrovně ochrany osob i obchodních příležitostí v členských státech,“ uvádí report Komise.

Revoluce v ochraně osobních údajů se blíží, velkým firmám budou hrozit větší pokuty

V EU se radikálně změní pravidla pro ochranu osobních údajů. Nové nařízení začne sice platit až v květnu příštího roku, podnikatelé ale mají plné ruce práce už teď. Na nová pravidla se totiž musí řádně připravit. V opačném případě jim budou hrozit pokuty do výše 20 milionů eur nebo do 4 % jejich globálního ročního obratu.

Prostor pro uvážení na národních úrovních je výsledkem několikaletého a složitého vyjednávání textu nařízení. Kvůli potřebě dosažení konsensu si mnohé státy doslova vynutily, aby nařízení taková ustanovení obsahovala. Samozřejmě, že na úkor jednotné implementace ve všech státech.

Komise proto zvažuje, že představí návrh novely nařízení, která by úpravu sjednotila napříč celou Unií.

Pro malé firmy je úprava přísná, uznává Komise

V dokumentu je naznačena i možnost uvolnění pravidel pro malé a střední podniky, jejichž podnikání není založeno na sběru, shromažďování a zpracování osobních dat. Sama Komise ale uvádí, že v tomto ohledu by upřednostnila namísto změny předpisu spíše benevolentnější přístup a pomoc ze strany národních úřadů na ochranu osobních údajů.

To je mimochodem praxe, která se osvědčila i v České republice.

Samotné nařízení sice umožňuje udělit finanční sankce až do výše 20 milionů eur nebo 4 % globálního obratu společnosti. Český Úřad pro ochranu osobních údajů (ÚOOÚ) však obavy z obrovských sankcí dlouhodobě mírní a připomíná, že dosud „provinilce“ pokutoval přiměřeně a nehodlá na tom nic měnit.

„Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uklidňoval před dvěma lety ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující, což mimochodem stojí i v samotném nařízení.

„Strašit takovými sankcemi menší firmu nebo školu je nesmysl,“ upozornili tehdy úředníci z ÚOOÚ.

GDPR: Obavy z obrovských pokut jsou nesmysl, budeme pokutovat pořád stejně, říká český úřad

GDPR umožňuje ukládat vysoké pokuty. Úřad na ochranu osobních údajů ale připomíná, že i teď může ukládat pokuty do výše až 10 milionů, a žádná z finančních sankcí nepřevýšila ani polovinu této sumy. Obce prý pokutuje v řádech desetitisíců korun.

Správní úřady v celé EU tak mají jasně stanoveny mantinely, které nemohou překročit. V jejich rámci při posuzování jednotlivých případů užívají tzv. správní uvážení, což znamená, že o konečné výši finanční sankce rozhodnou v závislosti na okolnostech konkrétního případu.

Dosud nejvyšší pokutu udělily na základě GDPR francouzské úřady. Společnosti Google za porušení pravidel ohledně transparentnosti při shromažďování a zpracování osobních údajů vyměřily v roce 2019 sankci ve výši 50 milionů eur (1,25 bilionu korun).

Irsko a Lucembursko pod velkým tlakem

Hodnotící zpráva zároveň upozorňuje na nedostatečné kapacity úřadů na ochranu osobních údajů v zemích, jako je Irsko či Lucembursko.

„Největší technologické nadnárodní společnosti mají svá sídla v Irsku a Lucembursku. Proto příslušné úřady v těchto zemích často rozhodují důležité přeshraniční případy a potřebují více úředníků, než by se podle velikosti jejich populace mohlo zdát,“ uvádí report.

Většina zemí je na GDPR připravena. Nejvíc práce měli v Irsku, kde sídlí internetoví giganti

Většina unijních zemí pravděpodobně stihne přijmout národní legislativu upřesňující GDPR včas. Česká republika mezi nimi ale není. Nejdůslednější v přípravě na nové nařízení byli Irové, kteří se musí vypořádat s tím, že na jejich území sídlí ty největší internetové společnosti.

Rozdíly mezi lidskými i finančními kapacitami vnitrostátních úřadů se však dle Komise objevují napříč celou EU.

To může mít za následek rozdíly v aplikaci i vynucování evropských pravidel v jednotlivých zemích. V konečném důsledku tak můžou být firmy v jedné zemi v tomto ohledu zvýhodněny oproti společnostem v jiných státech.

Například v Řecku nebo v Bulharsku došlo dokonce ke snížení počtu úředníků v příslušných orgánech, a to o 15, respektive o 14 %.

Británie se GDPR nevyhne, upozorňuje Komise

Na počátku letošního roku se britský premiér Boris Johnson nechal slyšet, že díky odchodu země z EU se Britové nebudou muset strachovat s dodržováním GDPR, Británie si prý přijme svou vlastní úpravu. Johnson tehdy zdůraznil, že Británie si vytvoří vlastní a nezávislou politiku v celé řadě oblastí včetně ochrany dat.

Komise je ale opačného názoru. Vázanost pravidly GDPR je prý základním předpokladem vzájemné spolupráce jak v oblasti vymáhání práva, tak v oblasti bezpečnosti.

Dva roky s GDPR: Pro některé firmy představuje nařízení stále problém, míní experti

Firmy mají i dva roky od vstupu nařízení GDPR v platnost s jeho uplatňováním stále problémy. Dnes zveřejněná zpráva navíc upozorňuje na podfinancování národních úřadů pro ochranu údajů, které mají nad dodržováním nařízení dohled. 

„Vysoká úroveň konvergence v oblasti ochrany dat je důležitá pro dosažení rovných podmínek mezi dvěma tak úzce provázanými ekonomikami,“ uvádí zpráva.

V Bruselu už také začali pracovat na hodnocení toho, zda současná britská pravidla na ochranu osobních údajů splňují přísné požadavky plynoucí z GDPR.

Jeden příklad za všechny. Británie by kupříkladu měla ráda přístup k evropské databázi otisků prstů, a to pro účely trestního řízení. To je zcela legitimní požadavek, EU však chce mít jistotu, že taková data budou sbírána a zpracovávána v rámci pravidel platných v Unii.