České specifikum. Jak se z GDPR stal byznys se strachem
Vedete v podniku evidenci účelů zpracování osobních údajů? Uvádíte na stránkách kategorie subjektů zpracovávaných údajů a doby uchování jejich dat? To byste ale měli. Už téměř dvacet let to ukládá zákon č. 101/2000 Sb., o ochraně osobních údajů.
S blížícím se jarem 2018 sílil v českém rybníčku právního povědomí nevídaný malstróm. Václav Klaus mladší přidal další položku na svůj nekonečný seznam důvodů, proč okamžitě opustit Unii, a dokonce i Michael Třeštík, jenž jindy publikuje veselé a povzbudivé příspěvky, pod vlivem souvisejícího školení psal o zhoubě lidstva. Dne 25. května totiž vstoupilo v účinnost GDPR, obecné nařízení o ochraně osobních údajů.
Slyšeli jste o hře Louny?
Stručný (a pokud možno nezaujatý) úvod do problematiky:
Chránit osobní údaje je dobré, třeba kvůli bezpečnosti státu: není žádným tajemstvím, že největší politické strany ve Spojených státech i ve Velké Británii cílí své kampaně na nerozhodnuté voliče. To je skvělé, protože utrácet za letáčky pro voliče, kteří vám hlas dají tak jako tak, jsou vyhozené peníze. Méně skvělé je, když váš nepřítel (veden stejnou ekonomickou úvahou, že armáda statistiků a robustní inzertní rozpočet vycházejí pořád levněji než konvenční válka), používá tutéž taktiku, aby ovlivnil vaše obyvatelstvo k hlasování ve vašich vlastních volbách v jeho prospěch.
Prozaičtějším důvodem, proč je vhodnější ochranu osobních údajů pro členské státy Unie upravit jednotně, je obchod. Členské státy milují obchod (proto si, koneckonců, Unii založily) a ruku v ruce s tím chovají odpor k čemukoli, co by mu kladlo překážky. Jednou z takových překážek může být i geoblocking, praktika, kdy obchodníci odmítají doručovat zboží do jiných členských států nebo v nich poskytovat služby. Větu “Video není ve vaší zemi dostupné” jsme asi viděli všichni. Geoblocking elektronických služeb bude brzy zakázán, což znamená, že osobní údaje uživatelů (přinejmenším jejich přihlašovací údaje) začnou po Unii cirkulovat v míře dosud nevídané. V takové situaci, pokud to tedy jako svazek států s ochranou údajů myslíte vážně, nedává smysl, aby někteří členové Unie mohli na svoje území lákat poskytovatele cloudových služeb výměnou za snížené nároky na jejich regulaci. Ostatně, pracovní právo a právo ochrany životního prostředí se ze stejných příčin harmonizují už desítky let.
My všichni jsme Gogo
Ochrana osobních údajů není v České republice žádnou novinkou, v Ústavě o ní mluvíme už od devadesátých let a prováděcí předpis vznikl těsně po přelomu tisíciletí. Přesto byla odjakživa… svá.
Před několika lety jsem v obchodních podmínkách jedné z nových českých bank nalezl ustanovení, podle kterého, odvolá-li klient souhlas se zpracováním osobních údajů, mu banka bude nucena vypovědět všechny smlouvy, neboť bez zpracování osobních údajů bankovní služby poskytovat nelze. To je samozřejmě pravda, ale k plnění povinnosti ze smlouvy nebo ze zákona souhlas se zpracováním údajů potřeba není a nikdy nebyl - ust. § 5 odst. 2 zákona o ochraně osobních údajů to uvádí docela jasně.
A tím se dostáváme k hlavnímu poselství tohoto článku:
Pokud si pozorný čtenář dal tu práci a srovnal úpravu v současném zákoně s GDPR, nemohlo mu uniknout, že se mnoho nemění - na to ostatně narážela i provokativní otázka v úvodu. Jistě, GDPR mluví o “pověřencích”, výslovně zakotvuje některá práva subjektů údajů a klade určité nároky na dokumentaci, ale to jsou prkotiny. Neříkám, že jsou to pro velkou organizaci prkotiny laciné, ale prkotiny to jsou: taková dokumentační povinnost platí, jako mnoho věcí, už dnes a je pochopitelná. Do počítače vám nikdo nevidí. Jak jinak byste chtěli Úřadu pro ochranu osobních údajů v případě úniku dokázat, že jste se chovali rozumně a udělali všechno pro to, aby k němu nedošlo?
Jádro pudla
Pokud jste starostou, mohli jste se v uplynulých měsících setkat s nabídkou instalace skleněných stěn, aby vám hosté nemohli číst adresy z obálek dopisů. V jedné školce zase sňali z nástěnek obrázky dětí, protože je měly podepsané.
V práci jsem dostal za úkol najít cizojazyčné články o implementaci GDPR ve zdravotnictví. Takové články nejsou. Dokonce i když člověk vyhledá “ochrana osobných údajov”, výsledný výpis odkazů v něm vyvolá dojem, že Slováci žijí v nějaké úplně jiné a mnohem klidnější unii. (Upozornění čtenáři: Obsahem odkazu je výpis článků, v čase se bude měnit.)
Tak proč všechna ta panika?
Nechci znít útočně, ale ryba smrdí od hlavy. Vinou systematické práce dozorového Úřadu na podrývání povědomí o tom, co ochrana osobních údajů vlastně je a jaký má vůbec smysl, došlo k totálnímu rozklížení reality a ušlechtilého cíle zákona. Úřad sice nakonec vyvinul jakési úsilí a vytvořil stránky věnované nové legislativě, spustil je ale pouhých 14 dní před účinností nové legislativy. GDPR coby nařízení nevyžaduje zvláštní vnitrostátní prováděcí předpis, je však nanejvýš vhodné, aby členské státy zákonem upravily působnost nařízení na své vlastní složky (jmenovitě obce), čehož se české Ministerstvo vnitra hanebně pokusilo využít k zatemnění údajů o práci státu.
Já jsem unavený. Ve chvílích zřejmého rozporu mezi evropskou legislativou a zdravým rozumem se řídím následujícím dvoukrokovým testem: je pravděpodobné, že by evropské instituce vytvořily něco, čím vědomě zkazí život půlmiliardě obyvatel Unie? A pokud snad ano (nalejme si čistého vína): je pravděpodobné, že by si toho, u všech všudy, všimli jenom Češi?
Předpisy na ochranu osobních údajů nemají za cíl terorizovat drobné podnikatele - kavárna s pěti pobočkami má jen stěží potenciál napáchat stejnou škodu jako ledabylý mobilní operátor, to ale nezaručuje, že se po ní orgán dozoru nebude vozit. Osobně mám za to, že za rok u nás po něčem jménem GDPR neštěkne pes a všechno bude při starém. Ti, kteří na ochranu OÚ kašlali doteď, v tom budou pokračovat, a jen čas od času se v novinách dočteme o některém z dalších divných rozhodnutí českého Úřadu pro ochranu osobních údajů, úřadu, který si z pojmů jako “předvídatelnost” a “legitimní očekávání” udělal dobrý den a jehož rozhodovací praxe připomíná kolo štěstí.
Stařec hrozil pěstí oblakům
Jak ve svém skvělém článku napsal Jan Moláček, jsme národem zvěstovatelů konce. Ono je to logické - sedět nazlobeně v koutku a těšit se, že možná přijde den, kdy k planoucímu nebi vítězoslavně vztyčíme zatnutou pěst s výkřikem: “Já vám to říkal!” je mnohem jednodušší než se o něco přičinit.
Ale GDPR není cíl a sezením v koutku se naplnit nedá; není to něco, co uděláte jednou a budete v suchu. Ochrana osobních údajů je (stejně jako hygiena nebo bezpečnost na pracovišti) o způsobu dělání věcí. Pokud dodržujete už v současnosti platné zásady, shromažďujete jen to nezbytné a jen po nezbytnou dobu, nemáte a nikdy jste neměli se čeho bát. Pokud naopak hordíte všechno, co vám přijde pod ruku, soboty trávíte rozesíláním spamu a nejtvrdší heslo na vašem úložišti má čtyři znaky, pak Pán s vámi. Potenciální sankční stropy jsou od května vážně vysoké.
Článek vyšel na stránkách fakultního časopisu Právo21.
Další články
Může soud snížit náhradu za spoluvlastnický podíl u „spekulantů“?
Lze snížit náhradu za spoluvlastnický podíl při zrušení a vypořádání spoluvlastnictví, pokud došlo ke spekulativnímu nabytí takového podílu? Nejvyšší soud nyní upřesnil, kdy to možné je – a kdy ne.
EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
Evropská databáze zdravotnických prostředků EUDAMED je jednou z nejvýznamnějších novinek, které přináší nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostických zdravotnických prostředcích in vitro (IVDR).
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
