Většina zemí je na GDPR připravena. Nejvíc práce měli v Irsku, kde sídlí internetoví giganti

© Shutterstock

Většina unijních zemí pravděpodobně stihne přijmout národní legislativu upřesňující GDPR včas. Česká republika mezi nimi ale není. Nejdůslednější v přípravě na nové nařízení byli Irové, kteří se musí vypořádat s tím, že na jejich území sídlí ty největší internetové společnosti.

Evropské nařízení o ochraně osobních údajů (GDPR) začne platit 25. května v celé EU. Přesto některá jeho ustanovení vyžadují konkretizaci na národní úrovni. K tomu má sloužit přijetí tzv. adaptačního zákona. Na jeho přípravu a schválení měly členské státy více než dva roky.

Většině unijních zemí tato lhůta stačila a upřesňující národní zákony přijaly včas. Česká republika mezi nimi ale není. Stejně jako v případě Belgie, Bulharska, Kypru, Řecka, Maďarska, Litvy a Slovinska budou i Češi v některých konkrétních bodech nějakou dobu v jakémsi právním vakuu.

Dobrým příkladem toho, co má upravit národní legislativa, je věková hranice dětí, do které bude třeba získat ke zpracování osobních údajů souhlas zákonného zástupce. Nařízení totiž stanoví pouze rozmezí 13 až 16 let.

„Nařízení v sobě nese veškerou úpravu dané problematiky, nicméně asi v 50 článcích uvádí, že si každý stát může danou oblast blíže upravit. Klasickým příkladem je třeba věková hranice dětí, k jejichž zpracování osobních údajů je třeba souhlasu zákonného zástupce,“ uvedla pro server EURACTIV.cz právní konzultantka pro ochranu dat a GDPR Eva Škorničková.

Zástupci ministerstva vnitra byli přitom ještě na počátku tohoto roku poměrně optimističtí a věřili, že se zákon stihne schválit včas. „Očekáváme, že se to podaří, ale bude záležet na Poslanecké sněmovně. Ministerstvo vnitra navrhne vládě, aby Poslaneckou sněmovnu požádala o schválení zákona v prvním čtení,“ uvedl tehdy pro server EURACTIV.cz mluvčí ministerstva Ondřej Krátoška.

Podle něj však nepřijetí zákona moc komplikací nepřinese. „Adaptační legislativa upravuje pouze postavení Úřadu na ochranu osobních údajů, některé výjimky a zpřesňuje ustanovení GDPR, které zpřesnění umožnují. Nestanoví však žádné požadavky nad rámec GDPR nebo platného zákona 101/2000 Sb., takže správci nebudou v žádném případě zatíženi povinnostmi navíc,“ zdůraznil.

Fungování ÚOOÚ se může s přijetím nové legislativy skutečně proměnit. „Zásadní změny se týkají vnitřní organizace ÚOOÚ, kdy dojde k zániku zvláštní funkce inspektorů a ke vzniku funkce 2 místopředsedů. Kontroly tak bude moci řídit více zaměstnanců ÚOOÚ, než stávajících 7 inspektorů,“ uzavřel Krátoška.

GDPR se týká hlavně Googlu nebo Facebooku

Největší dopad však nařízení bude mít na „internetové giganty“ typu Google, Facebook nebo Twitter. Zvlášť důležitá tak byla příprava irské právní úpravy, jelikož právě v této zemi mají z důvodu daňových výhod tyto společnosti své centrály.

Irská vláda se proto už v loňském roce rozhodla posílit rozpočet místního komisaře pro ochranu dat o více než čtyři miliony eur. Letos pak tento úřad hospodaří s téměř 12 miliony eur (asi 300 milionů korun). Jak upozorňuje ČTK, stále jde o necelou tisícinu ročních zisků společnosti Facebook.

Agentura Reuters ovšem upozornila, že mnoho unijních států přípravu podcenilo. „Zjistili jsme, že naše zdroje jsou nedostatečné k tomu, abychom mohli zvládnout úkoly, které nám GDPR dává,“ řekla Reuters například šéfka francouzského dohledového orgánu CNIL Isabelle Falque-Pierrotinová.

Dohled nad dodržováním osobních údajů mají totiž i nadále v gesci jednotlivé národní úřady a nikoli třeba Evropské komise.

Nově vznikající Evropský sbor pro ochranu osobních údajů (EDPB), tvořený šéfy národních dohledových úřadů, má jen dohlížet na konzistentní uplatňování pravidel napříč EU a umožňovat efektivní spolupráci svých členů.

Závazná rozhodnutí bude ale moci přijímat jen v případě sporů ohledně přeshraničního zpracovávání dat, aby nedocházelo k tomu, že se v různých zemích Unie bude stejná věc řešit různým způsobem.