České specifikum: Z GDPR se stal byznys se strachem

25. 5. 2018
Foto: CC0 1.0, bez názvu, Kristina Flour

Vedete v podniku evidenci účelů zpracování osobních údajů? Uvádíte na stránkách kategorie subjektů zpracovávaných údajů a doby uchování jejich dat? To byste ale měli. Už téměř dvacet let to ukládá zákon č. 101/2000 Sb., o ochraně osobních údajů. GDPR není revoluční novinkou, ale další z řady bublin, na které se dá dobře vydělat.

S blížícím se jarem 2018 sílil v českém rybníčku právního povědomí nevídaný malstróm. Václav Klaus mladší přidal další položku na svůj nekonečný seznam důvodů, proč okamžitě opustit Unii, a dokonce i Michael Třeštík, jenž jindy publikuje veselé a povzbudivé příspěvky, psal o zhoubě lidstva. Dnešním dnem totiž vstoupilo v účinnost GDPR, obecné nařízení o ochraně osobních údajů.

Slyšeli jste o hře Louny? Slyšeli jste o ochraně osobních údajů?

Chránit osobní údaje je dobré. Třeba kvůli bezpečnosti státu. Není žádným tajemstvím, že největší politické strany ve Spojených státech i ve Velké Británii cílí své kampaně na nerozhodnuté voliče. To je skvělé, protože utrácet za letáčky pro voliče, kteří vám hlas dají tak jako tak, jsou vyhozené peníze. Méně skvělé je, když váš nepřítel (veden stejnou ekonomickou úvahou, že armáda statistiků a robustní inzertní rozpočet vycházejí pořád levněji než konvenční válka), používá tutéž taktiku k ovlivnění obyvatelstva při hlasování.

Prozaičtějším důvodem, proč je vhodné ochranu osobních údajů pro členské státy Unie upravit jednotně, je obchod. Členské státy milují obchod (proto si, koneckonců, Unii založily) a ruku v ruce s tím chovají odpor k čemukoli, co by mu kladlo překážky.

Jednou z překážek může být geoblocking, praktika, kdy obchodníci odmítají doručovat zboží do jiných členských států nebo v nich poskytovat služby. Větu „Video není ve vaší zemi dostupné” jsme asi viděli všichni. Geoblocking elektronických služeb bude brzy zakázán, což znamená, že osobní údaje uživatelů (přinejmenším ty přihlašovací) začnou po Unii cirkulovat v míře dosud nevídané. V takové situaci nedává smysl, aby někteří členové Unie mohli na svoje území lákat poskytovatele cloudových služeb výměnou za snížené nároky na jejich regulaci. Ostatně, pracovní právo a právo ochrany životního prostředí se ze stejných příčin harmonizují už desítky let.

My všichni jsme Gogo

Ochrana osobních údajů není v České republice žádnou novinkou. V Ústavě o ní mluvíme už od devadesátých let a prováděcí předpis vznikl těsně po přelomu tisíciletí. Přesto byla odjakživa svá.

Před několika lety jsem v obchodních podmínkách jedné z nových českých bank nalezl ustanovení, podle kterého, odvolá-li klient souhlas se zpracováním osobních údajů, mu banka bude nucena vypovědět všechny smlouvy, neboť bez zpracování osobních údajů bankovní služby poskytovat nelze. To je samozřejmě pravda, ale k plnění povinností ze smlouvy nebo ze zákona souhlas se zpracováním údajů potřeba není a nikdy nebyl. [1]

Pokud si pozorný čtenář dal tu práci a srovnal úpravu v současném zákoně s GDPR, nemohlo mu uniknout, že se mnoho nemění. Jistě, GDPR mluví o „pověřencích”, výslovně zakotvuje některá práva subjektů údajů a klade určité nároky na dokumentaci, ale to jsou prkotiny. Neříkám, že jsou to pro velkou organizaci prkotiny laciné, ale prkotiny to jsou. Taková dokumentační povinnost platí, jako mnoho věcí, už dnes a je pochopitelná. Do počítače vám nikdo nevidí. Jak jinak byste chtěli Úřadu pro ochranu osobních údajů v případě úniku dokázat, že jste se chovali rozumně a udělali všechno pro to, aby k němu nedošlo?

GDPR nápadně připomíná film Čtyři vraždy stačí, drahoušku. Postavy v něm hledají zločince Gogo, jen aby se ukázalo, že všichni jsou Gogo.Všichni se ohánějí GDPR, ale nedodají to, co má smysl a obsah.

GDPR se v posledních měsících stalo terčem kritiky, vtipů i často komentovaným fenoménem.

Jádro pudla

Pokud jste starostou, mohli jste se v uplynulých měsících setkat s nabídkou instalace skleněných stěn, aby vám hosté nemohli číst adresy z obálek dopisů. V jedné školce zase sňali z nástěnek obrázky dětí, protože je měly podepsané.

V práci jsem dostal za úkol najít cizojazyčné články o implementaci GDPR ve zdravotnictví. Takové články nejsou. Dokonce i když člověk vyhledá „ochrana osobných údajov”, výsledný výpis odkazů v něm vyvolá dojem, že Slováci žijí v nějaké úplně jiné a mnohem klidnější unii.[2] Tak proč všechna ta panika?

Nechci znít útočně, ale ryba smrdí od hlavy. Vinou systematické práce dozorového Úřadu na podrývání povědomí o tom, co ochrana osobních údajů vlastně je a jaký má vůbec smysl, došlo k totálnímu rozklížení reality a ušlechtilého cíle právní úpravy. Úřad sice nakonec vyvinul jakési úsilí a vytvořil stránky věnované nové legislativě, spustil je ale pouhých 14 dní před její účinností.

GDPR coby nařízení nevyžaduje zvláštní vnitrostátní prováděcí předpis. Je však nanejvýš vhodné, aby členské státy zákonem upravily působnost nařízení na své vlastní složky (jmenovitě obce), čehož sečeské Ministerstvo vnitra hanebně pokusilo využít k zatemnění údajů o práci státu.

Já jsem unavený. Ve chvílích zřejmého rozporu mezi evropskou legislativou a zdravým rozumem se řídím následujícím dvoukrokovým testem: je pravděpodobné, že by evropské instituce vytvořily něco, čím vědomě zkazí život půlmiliardě obyvatel Unie? A pokud snad ano (nalejme si čistého vína): je pravděpodobné, že by si toho, u všech všudy, všimli jenom Češi?

Předpisy na ochranu osobních údajů nemají za cíl terorizovat drobné podnikatele. Kavárna s pěti pobočkami má jen stěží potenciál napáchat stejnou škodu jako ledabylý mobilní operátor, to ale nezaručuje, že se po ní orgán dozoru nebude vozit.

Osobně mám za to, že za rok u nás po něčem jménem GDPR neštěkne pes a všechno bude při starém. Ti, kteří na ochranu osobních údajů kašlali doteď, v tom budou pokračovat, a jen čas od času se v novinách dočteme o některém z dalších divných rozhodnutí českého Úřadu pro ochranu osobních údajů. Úřadu, který si z pojmů jako „předvídatelnost” a „legitimní očekávání” udělal dobrý den a jehož rozhodovací praxe připomíná kolo štěstí.

Stařec hrozil pěstí oblakům

Jak ve svém skvělém článku napsal Jan Moláček, jsme národem zvěstovatelů konce. Ono je to logické. Sedět nazlobeně v koutku a těšit se, že možná přijde den, kdy k planoucímu nebi vítězoslavně vztáhneme zatnutou pěst s výkřikem: „Já vám to říkal!” je mnohem jednodušší než se o něco přičinit.

Ale GDPR není cíl a sezením v koutku se naplnit nedá. Není to něco, co uděláte jednou a budete v suchu. Ochrana osobních údajů je (stejně jako hygiena nebo bezpečnost na pracovišti) o způsobu dělání věcí. Pokud dodržujete už v současnosti platné zásady, shromažďujete jen to nezbytné a jen po nezbytnou dobu, nemáte a nikdy jste se neměli čeho bát. Pokud naopak hordíte všechno, co vám přijde pod ruku, soboty trávíte rozesíláním spamu a nejtvrdší heslo na vašem úložišti má čtyři znaky, pak Pán s vámi. Sankční stropy budou od dnešního dne vážně vysoké.


[1]  Ustanovení § 5 odstavec 2 zákona o ochraně osobních údajů to uvádí jasně.

[2] Upozornění čtenáři: Obsahem odkazu je výpis článků, v čase se bude měnit.

Čtěte také:


Hořkosladce

Jak mi neprodali pivo aneb Stať o některých aspektech kontraktace při maloobchodním prodeji alkoholu

Stať o vlastnictví nebeských těles



Autor: Marek Tesař

Vydavatel

  • Právo21, z. s.
  • Václavkova 1267/46
  • 615 00 Brno
  • IČO 07174918
  • ISSN 2570-8805 (Print)
  • ISSN 2570-8813 (Online)
  • MK ČR E 22833

Odběr novinek

  • Upozornění na nové články a zajímavosti nejen ze světa práva přímo do vašeho e-mailu. Od odběru novinek se můžete kdykoli odhlásit.

Přidejte se k nám

  • Chcete se podílet na tvorbě časopisu či se jen dozvědět informace o nás? Napište na redakce@pravo21.online. Detailní informace o publikačním procesu najdete zde.