G-D-P-R. Čtyři písmena, která vyvolala povyk hodný vyhlášení války EU. Ale proč tolik emocí? Děje se opravdu něco tak převratného, jak se nás některá média a často i někteří odborníci napříč celým trhem snaží přesvědčit?
GDPR přitom pouze navazuje na původní cíle směrnice 95/46/ES, která sloužila především k harmonizaci úpravy pro účely fungování vnitřního trhu a zajištění volného pohybu údajů mezi členskými státy EU. V zásadě tak nejvýznamnější posun celé koncepce ochrany osobních údajů lze dle mého názoru považovat to, že původní směrnice (tj. pouze harmonizační nástroj) byla nahrazena přímo aplikovatelným, nástrojem – nařízením, které ponechává jen velmi omezený prostor pro odchylnou úpravu ze strany členských států.
Evropský zákonodárce dal v zásadě najevo, že již nestačí roztříštěná, nekonzistentní a mnohdy dokonce kontradiktorní úprava, která vznikla napříč jednotlivými členskými státy. Vznikly tak značné odchylky v právních úpravách, které navíc byly ještě podpořeny vlastní výkladovou praxí dozorových úřadů, resp. soudů. Úvodní recitály GDPR přitom výslovně zdůrazňují, že ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránily tyto jednotné zásady vzniku roztříštěnosti v provádění ochrany údajů v celé EU, která vedla k právní nejistotě a rozšířenému pocitu veřejnosti, že v souvislosti s ochranou údajů fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online.
Při pohledu na výše uvedená východiska, základní principy ochrany osobních údajů (čl. 5 GDPR) a vůbec celou koncepci GDPR, je zjevné, že v souvislosti s tímto evropským nařízením nelze hovořit o revoluci v ochraně osobních údajů. Právě naopak, nejedná se o žádný nenadálý zlom, nýbrž postupný evoluční vývoj. GDPR přebírá dosud existující principy, právní tituly, koncepty přenosů dat v EU i mimo ni, shrnuje je do komplexního a všeobecně platného kodexu a doplňuje je o několik nových povinností (např. vést záznamy o činnostech zpracování, jmenování pověřence na ochranu osobních údajů, provedení posouzení vlivu na ochranu osobních údajů). Tyto povinnosti však nikdy nedopadají, jak se občas na trhu s oblibou tvrdí, plošně na každého. Naopak nové povinnosti dopadají jen na omezený okruh činností a subjektů. Z pohledu subjektů údajů (nebo jak je příhodně označuje slovenština - dotknutých osob) potom GDPR přidává pár nových práv (jako např. právo na přenositelnost osobních údajů).
Abychom se vrátili k původní otázce – proč tedy tolik povyku? Zcela zásadní novinkou, kterou GDPR přináší, jsou pokuty, které dosahují výše až 20 milionů EUR či 4 % celosvětového ročního obratu podniku (či celé skupiny). Pokud podniku bude uložena taková pokuta (což v případě gigantických internetových hráčů není úplně vyloučené), může to být samozřejmě velký zásah do jeho ekonomiky (na druhou stranu nikdy by pokuta neměla být likvidační, k tomu nemá být správní sankciování určené) a samozřejmě rovněž do jeho reputace v očích veřejnosti.
Jaká je tedy cesta, kterou se EU chystá vydat? Defamace evropských (resp. v EU působících) podniků, jejich veřejná dehonestace a ukládání astronomických pokut? Nedomnívám se, že GDPR něco takového umožňuje. Materiální úprava celého nařízení, včetně ukládání pokut, stojí na principu prevence, risk-based přístupu a nápravných opatření. Sankce jsou samozřejmě cestou, ale až tou poslední. Nemo turpitudinem suam allegare potest, nikdo nemůže mít prospěch ze své vlastní nepoctivosti. To by měl být hlavní důvod, proč GDPR přináší možnost uložit až takto vysoké sankce. V globalizovaném světě, nadnárodních korporátních big data gigantů je zkrátka vhodné mít mechanismus, který umožní jejich postih a účinnou regulaci.
A pokud společnosti (včetně těchto gigantů), jejichž hlavní činnost je na zpracování dat závislá, horečně naříkají nad nespravedlností a přísností GDPR, posílenou ohromnými pokutami, otevřeně tím přiznávají, že nedodržovaly ani dosavadní legislativu vycházející ze směrnice 95/46/ES. Cílem GDPR není zpřísnění pravidel, ale pouze narovnání dosavadního nevyváženého postavení způsobeného nadnárodními hráči s obrovskou tržní silou. A ostatní podniky? Samozřejmě každá právní norma se dá vykládat adekvátně, restriktivně i extenzivně. Pokud se vydáme výkladem směřujícím k zákazu vyvěšování podepsaných obrázků na nástěnkách mateřských škol, zjevně jsme nepochopili smysl ochrany osobních údajů – mimochodem základního lidského práva každého z nás.
GDPR rozhodně není bezchybným předpisem. Některé povinnosti jsou v kontextu offline společností zcela nepřiměřené a směšné (a tyto je pak nezbytné mírnit výkladem ve světle shora uvedených východisek). Avšak rovněž v těchto ohledech měl sehrát svou nedílnou úlohu stát či samotná EU. To se bohužel nestalo a namísto užitečných rad či uklidnění, jsme se dočkali jen několika hysterických výkřiků některých politiků. Pokud se podaří prosadit racionální výklad jednotlivých povinností, čeká nás nejen adekvátní ochrana našich dat napříč Evropou, ale rovněž zmírnění stávající společenské frustrace, kterou „další nařízení EU“ v mnohých (důsledkem nevhodných výkladů) často vyvolává.
"Materiální úprava celého nařízení, včetně ukládání pokut, stojí na principu prevence, risk-based přístupu a nápravných opatření."
OdpovědětVymazatZákladním předpokladem je, že všichni ti, kdo implementují, kontrolují a udělují pokuty risk-based přístupu rozumí. Realitu můžete vidět na zákoně o finanční kontrole, ten je také "risk-based". Realita je taková, že aplikace není ani trochu risk-based, ale je formalistická.
Takže kontrola něco najít musí, aby zdůvodnila právo na svou existenci, kontrolovaný musí přijmout opatření, aby se nález neopakoval. Další kontrola zase něco najít musí a kontrolovaný musí přijmout další preventivní opatření ... a takto se to opakuje až do okamžiku, než se kontrolovaný definitivně zhroutí (nebo vzbouří). Ve výsledku bez nadsázky s náklady v řádech tisíců předcházíme haléřovým škodám, což s risk-based už dávno přístupem nemá nic společného.
S GDPR to jen těžko bude jiné.
Tvrzení, že "nové povinnosti dopadají jen na omezený okruh činností a subjektů" je sice na první pohled správné, ovšem fakticky by vyhodnocení, zda se kvůli GDPR nějaké procesy změnit musí, nebo ne, měl provést skoro každý, kdo dělá něco víc, než jen že chodí do práce a dělá co mu zaměstnavatel určí.
Tvrzení, že GDPR nějakým způsobem dopadá na úplně každého, kdo dělá něco víc, než že jen přežívá, má proto poměrně blízko k pravdě - dopadá na společenství vlastníků, dopadá na většinu firem, dopadá na veřejné instituce, dopadá na státní úřady, dopadá na pacienty, rodiče, uživatele internetu, ...
Kratší by byl asi seznam těch, na koho opravdu nedopadá. Jediný, na koho příliš nedopadá, je státní velký bratr, protože neobsahuje ani náznakem filozofii, která se prolíná dodatky americké ústavy a která je reprezentována slovy "Congress shall make no law that ... ".
Bohužel, při nahlédnutí do GDPR (nepředstírám, že jsme našel sílu těch 100 stran přečíst a vstřebat) se nemohu ubránit dojmu, že směrnici psali lidé, kteří nejsou schopni domyslet důsledky slov, která do směrnice napsali.
Následně doufat v rozumný výklad je sice možné, ale přemýšlel někdo nad reálnými náklady tohoto šílenství ?
Mimochodem, neměl bych náhodou všechny osoby, kterým jsem kdy odeslal e-mail, který mám nyní archivovaný ve složce "odeslaná pošta", požádat o souhlas se zpracováním jejich osobních údajů a je důvod "co kdybych to náhodou někdy potřeboval" dostatečně transparentní a srozumitelné uvedení důvodu, proč hodlám složku "Odeslaná pošta" využívat pro ukládání odeslané pošty i nadále ?