Menu

Evropské nařízení GDPR s odstupem času

20. 11. 2019 Autor: Jan Koranda Kategorie: Ochrana osobních údajů

Od chvíle, kdy nařízení GDPR nabylo účinnosti, brzy uplyne rok a půl. A přestože bylo spojováno s mnohými katastrofickými scénáři, je již nyní možné říci, že se žádný z nich nenaplnil. Některé mýty – např. zákaz podepisování výkresů dětmi nebo zákaz zveřejňování fotografií ze školních akcí - byly vyvraceny ještě před květnem 2018, jiné však nadále přežívaly a jejich vyvracení je možné pouze prostřednictvím další osvěty. Zajímavé je, že panika z GDPR přešla ve chvíli, kdy nařízení nabylo účinnosti a stalo se tak novinářsky nezajímavé. Pojďme se spolu podrobněji podívat na vývoj ochrany osobních údajů pod GDPR a na případné úspěchy i neúspěchy nařízení.

Obavy z nařízení vyplývaly mimo jiné z významného zvýšení pokut, jimiž lze sankcionovat porušení právní povinnosti. Nařízení GDPR umožňuje udělit pokutu ve výši 20 000 000 eur nebo 4 % obratu, podle toho, která částka je vyšší. Úřad pro ochranu osobních údajů, který o případných pokutách v této oblasti rozhoduje, však již od počátku avizoval, že nehodlá udělovat pokuty v likvidační výši a že bude přihlížet k velikosti podniku a míře jeho provinění. V prvním roce účinnosti GDPR se pak postoj Úřadu projevil i v jeho činnosti. Do letošního května Úřad udělil osm pokut v celkové výši 370 000 Kč, jednotlivé pokuty se tedy maximální možné výši ani zdaleka nepřibližují.

Přijetí celoevropského nařízení zabývající se ochranou osobních údajů mělo dva hlavní důvody: sjednocení úrovně ochrany osobních údajů na celém evropském vnitřním trhu na straně jedné a přizpůsobení ochrany osobních údajů stále postupujícímu technologickému vývoji na straně druhé. Díky tomu, že bylo GDPR přijato jako nařízení, je míra harmonizace v této právní oblasti vyšší než v době před GDPR, kdy byla ochrana osobních údajů upravována pouze směrnicí. Díky tomu je pro podnikatele mnohem jednodušší splňovat standardy ochrany osobních údajů v jednotlivých členských státech.

Naplnění druhého důvodu existence GDPR je přeci jen mnohem složitější. Nařízení GDPR bylo schváleno již v roce 2016, práce na něm tedy musely začít ještě o několik let dříve. Technologický vývoj však nezpomalil, naopak. Zejména rozvoj internetu a jeho používání přináší neustále nové způsoby nakládání s osobními údaji a nutnost jejich ochrany. Legislativní proces přitom nemůže ze své podstaty pracovat stejně rychle, jak rychle se mění okolnosti, na které potřebuje reagovat. Zákonodárci se tak tomuto tématu musí nadále věnovat a GDPR vhodně doplňovat.

Nesporným úspěchem GDPR je, že se ochrana osobních údajů stala předmětem debat ve veřejném prostoru. Díky tomu si mnoho lidí uvědomilo, že jejich osobní údaje jsou hodny ochrany, a jakým nástrahám vlastně musí čelit. Navíc přinutil správce osobních údajů znovu se zabývat postupy zpracování, které provádějí, a přizpůsobit je standardům stanoveným novou, případně však i starou právní úpravou.

Ne všechny výsledky GDPR jsou v tuto chvíli pozitivní. Nedávno byla například zveřejněna studie britského profesora práva, který pod záminkou uplatnění práva na informace získal od několika společností osobní údaje své manželky. Další společnosti na jeho žádost nereagovaly vůbec nebo odpověděly, že žádné údaje nezpracovávají, i když to zjevně nebyla pravda. Správně, tedy odmítnutím žádosti kvůli nedostatečné identifikaci žadatele zareagovalo jen zhruba 40 % oslovených společností.

Dalším problémem aplikace GDPR mohou být nedostatky v technologiích, s nimiž nařízení při přijímání počítalo. Příkladem za všechny může být nastavení prohlížeče Do Not Track, které mělo umožňovat uživatelům používat internetové stránky bez toho, aby byly jejich osobní údaje zpřístupňovány třetím osobám. Nedávno se však zjistilo, že nastavení Do Not Track nikdy nefungovalo. Kvůli tomu je vymáhání ochrany osobních údajů na internetu mnohem obtížnější.

Předtím, než nařízení GDPR nabylo účinnosti, o něm někteří říkali, že jde o evoluci, nikoliv o revoluci, a toto očekávání se naplnilo. Úřad nezačal provádět stovky zbytečných kontrol ani nedošlo k nárůstu pokut do závratných výší. Neskončily e-shopy ani děti ve školkách nepřestaly malovat výkresy. Evropská unie pouze aktualizovala ochranu osobních údajů na úroveň potřeb digitálního věku.

Obavy z nařízení vyplývaly mimo jiné z významného zvýšení pokut, jimiž lze sankcionovat porušení právní povinnosti. Nařízení GDPR umožňuje udělit pokutu ve výši 20 000 000 eur nebo 4 % obratu, podle toho, která částka je vyšší. Úřad pro ochranu osobních údajů, který o případných pokutách v této oblasti rozhoduje, však již od počátku avizoval, že nehodlá udělovat pokuty v likvidační výši a že bude přihlížet k velikosti podniku a míře jeho provinění. V prvním roce účinnosti GDPR se pak postoj Úřadu projevil i v jeho činnosti. Do letošního května Úřad udělil osm pokut v celkové výši 370 000 Kč, jednotlivé pokuty se tedy maximální možné výši ani zdaleka nepřibližují.

Přijetí celoevropského nařízení zabývající se ochranou osobních údajů mělo dva hlavní důvody: sjednocení úrovně ochrany osobních údajů na celém evropském vnitřním trhu na straně jedné a přizpůsobení ochrany osobních údajů stále postupujícímu technologickému vývoji na straně druhé. Díky tomu, že bylo GDPR přijato jako nařízení, je míra harmonizace v této právní oblasti vyšší, než v době před GDPR, kdy byla ochrana osobních údajů upravována pouze směrnicí. Díky tomu je pro podnikatele mnohem jednodušší splňovat standardy ochrany osobních údajů v jednotlivých členských státech.

Naplnění druhého důvodu existence GDPR je přeci jen mnohem složitější. Nařízení GDPR bylo schváleno již v roce 2016, práce na něm tedy musely začít ještě o několik let dříve. Technologický vývoj však nezpomalil, naopak. Zejména rozvoj internetu a jeho používání přináší neustále nové způsoby nakládání s osobními údaji a nutnost jejich ochrany. Legislativní proces přitom nemůže ze své podstaty pracovat stejně rychle, jak rychle se mění okolnosti, na které potřebuje reagovat. Zákonodárci se tak tomuto tématu musí nadále věnovat a GDPR vhodně doplňovat.

Nesporným úspěchem GDPR je, že se ochrana osobních údajů stala předmětem debat ve veřejném prostoru. Díky tomu si mnoho lidí uvědomilo, že jejich osobní údaje jsou hodny ochrany, a jakým nástrahám vlastně musí čelit. Navíc přinutil správce osobních údajů znovu se zabývat postupy zpracování, které provádějí, a přizpůsobit je standardům stanoveným novou, případně však i starou právní úpravou.

Ne všechny výsledky GDPR jsou v tuto chvíli pozitivní. Nedávno byla například zveřejněna studie britského profesora práva, který pod záminkou uplatnění práva na informace získal od několika společností osobní údaje své manželky. Další společnosti na jeho žádost nereagovaly vůbec nebo odpověděly, že žádné údaje nezpracovávají, i když to zjevně nebyla pravda. Správně, tedy odmítnutím žádosti kvůli nedostatečné identifikaci žadatele zareagovalo jen zhruba 40 % oslovených společností.

Dalším problémem aplikace GDPR mohou být nedostatky v technologiích, s nimiž nařízení při přijímání počítalo. Příkladem za všechny může být nastavení prohlížeče Do Not Track, které mělo umožňovat uživatelům POUŽÍVÁNÍ internetové stránky bez toho, aby byly jejich osobní údaje zpřístupňovány třetím osobám. Nedávno se však zjistilo, že nastavení Do Not Track nikdy nefungovalo. Kvůli tomu je vymáhání ochrany osobních údajů na internetu mnohem obtížnější.

Předtím, než nařízení GDPR nabylo účinnosti, o něm někteří říkali, že jde o evoluci, nikoliv o revoluci, a toto očekávání se naplnilo. Úřad nezačal provádět stovky zbytečných kontrol ani nedošlo k nárůstu pokut do závratných výší. Neskončily e-shopy ani děti ve školkách nepřestaly malovat výkresy. Evropská unie pouze aktualizovala ochranu osobních údajů na úroveň potřeb digitálního věku.