GDPR – Quo vadis, EU?

G-D-P-R. Čtyři písmena, která vyvolala povyk hodný vyhlášení války EU. Ale proč tolik emocí? Děje se opravdu něco tak převratného, jak se nás některá média a často i někteří odborníci napříč celým trhem snaží přesvědčit?

Především bychom se měli zamyslet nad tím, proč bylo GDPR (z angl. General Data Protection Regulation) v roce 2016 vůbec přijato. Podle zdůvodnění evropského zákonodárce byl jeden z (hlavních) důvodů přijetí nového předpisu především globalizace, rychlý rozvoj technologií a související významný nárůst rozsahu shromažďování a sdílení osobních údajů, jakož i technologický vývoj, který umožnil soukromým společnostem a orgánům veřejné moci využívat osobní údaje ve stále větším rozsahu. Ambicí tohoto předpisu je tak nejen narovnat současný stav zpracování osobních údajů, ale vytvořit právní rámec pro rozvoj digitální ekonomiky do budoucna, který fyzickým osobám poskytne kontrolu nad jejich údaji a v konečném důsledku podpoří důvěru založenou na vymahatelnosti práva v oblasti digitální ekonomiky (a to včetně základů umělé inteligence – viz např. právo nebýt předmětem pouze automatizovaného rozhodování). GDPR je v současné době jednou z nejkomplexnějších právních úprav ochrany soukromí na světě a je pravděpodobné, že ovlivní tuto oblast práva v řadě zemí mimo EU, jak již ostatně můžeme sledovat např. na asijském trhu.


GDPR přitom pouze navazuje na původní cíle směrnice 95/46/ES, která sloužila především k harmonizaci úpravy pro účely fungování vnitřního trhu a zajištění volného pohybu údajů mezi členskými státy EU. V zásadě tak nejvýznamnější posun celé koncepce ochrany osobních údajů lze dle mého názoru považovat to, že původní směrnice (tj. pouze harmonizační nástroj) byla nahrazena přímo aplikovatelným, nástrojem – nařízením, které ponechává jen velmi omezený prostor pro odchylnou úpravu ze strany členských států.

Evropský zákonodárce dal v zásadě najevo, že již nestačí roztříštěná, nekonzistentní a mnohdy dokonce kontradiktorní úprava, která vznikla napříč jednotlivými členskými státy. Vznikly tak značné odchylky v právních úpravách, které navíc byly ještě podpořeny vlastní výkladovou praxí dozorových úřadů, resp. soudů. Úvodní recitály GDPR přitom výslovně zdůrazňují, že ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránily tyto jednotné zásady vzniku roztříštěnosti v provádění ochrany údajů v celé EU, která vedla k právní nejistotě a rozšířenému pocitu veřejnosti, že v souvislosti s ochranou údajů fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online.

Při pohledu na výše uvedená východiska, základní principy ochrany osobních údajů (čl. 5 GDPR) a vůbec celou koncepci GDPR, je zjevné, že v souvislosti s tímto evropským nařízením nelze hovořit o revoluci v ochraně osobních údajů. Právě naopak, nejedná se o žádný nenadálý zlom, nýbrž postupný evoluční vývoj. GDPR přebírá dosud existující principy, právní tituly, koncepty přenosů dat v EU i mimo ni, shrnuje je do komplexního a všeobecně platného kodexu a doplňuje je o několik nových povinností (např. vést záznamy o činnostech zpracování, jmenování pověřence na ochranu osobních údajů, provedení posouzení vlivu na ochranu osobních údajů). Tyto povinnosti však nikdy nedopadají, jak se občas na trhu s oblibou tvrdí, plošně na každého. Naopak nové povinnosti dopadají jen na omezený okruh činností a subjektů. Z pohledu subjektů údajů (nebo jak je příhodně označuje slovenština -  dotknutých osob) potom GDPR přidává pár nových práv (jako např. právo na přenositelnost osobních údajů).

Abychom se vrátili k původní otázce – proč tedy tolik povyku? Zcela zásadní novinkou, kterou GDPR přináší, jsou pokuty, které dosahují výše až 20 milionů EUR či 4 % celosvětového ročního obratu podniku (či celé skupiny). Pokud podniku bude uložena taková pokuta (což v případě gigantických internetových hráčů není úplně vyloučené), může to být samozřejmě velký zásah do jeho ekonomiky (na druhou stranu nikdy by pokuta neměla být likvidační, k tomu nemá být správní sankciování určené) a samozřejmě rovněž do jeho reputace v očích veřejnosti.

Jaká je tedy cesta, kterou se EU chystá vydat? Defamace evropských (resp. v EU působících) podniků, jejich veřejná dehonestace a ukládání astronomických pokut? Nedomnívám se, že GDPR něco takového umožňuje. Materiální úprava celého nařízení, včetně ukládání pokut, stojí na principu prevence, risk-based přístupu a nápravných opatření. Sankce jsou samozřejmě cestou, ale až tou poslední. Nemo turpitudinem suam allegare potest, nikdo nemůže mít prospěch ze své vlastní nepoctivosti. To by měl být hlavní důvod, proč GDPR přináší možnost uložit až takto vysoké sankce. V globalizovaném světě, nadnárodních korporátních big data gigantů je zkrátka vhodné mít mechanismus, který umožní jejich postih a účinnou regulaci.

A pokud společnosti (včetně těchto gigantů), jejichž hlavní činnost je na zpracování dat závislá, horečně naříkají nad nespravedlností a přísností GDPR, posílenou ohromnými pokutami, otevřeně tím přiznávají, že nedodržovaly ani dosavadní legislativu vycházející ze směrnice 95/46/ES. Cílem GDPR není zpřísnění pravidel, ale pouze narovnání dosavadního nevyváženého postavení způsobeného nadnárodními hráči s obrovskou tržní silou. A ostatní podniky? Samozřejmě každá právní norma se dá vykládat adekvátně, restriktivně i extenzivně. Pokud se vydáme výkladem směřujícím k zákazu vyvěšování podepsaných obrázků na nástěnkách mateřských škol, zjevně jsme nepochopili smysl ochrany osobních údajů – mimochodem základního lidského práva každého z nás.

GDPR rozhodně není bezchybným předpisem. Některé povinnosti jsou v kontextu offline společností zcela nepřiměřené a směšné (a tyto je pak nezbytné mírnit výkladem ve světle shora uvedených východisek). Avšak rovněž v těchto ohledech měl sehrát svou nedílnou úlohu stát či samotná EU. To se bohužel nestalo a namísto užitečných rad či uklidnění, jsme se dočkali jen několika hysterických výkřiků některých politiků. Pokud se podaří prosadit racionální výklad jednotlivých povinností, čeká nás nejen adekvátní ochrana našich dat napříč Evropou, ale rovněž zmírnění stávající společenské frustrace, kterou „další nařízení EU“ v mnohých (důsledkem nevhodných výkladů) často vyvolává.