České specifikum. Jak se z GDPR stal byznys se strachem

Vedete v podniku evidenci účelů zpracování osobních údajů? Uvádíte na stránkách kategorie subjektů zpracovávaných údajů a doby uchování jejich dat? To byste ale měli. Už téměř dvacet let to ukládá zákon č. 101/2000 Sb., o ochraně osobních údajů.

Právnická fakulta MU v Brně
Foto: Fotolia

S blížícím se jarem 2018 sílil v českém rybníčku právního povědomí nevídaný malstróm. Václav Klaus mladší přidal další položku na svůj nekonečný seznam důvodů, proč okamžitě opustit Unii, a dokonce i Michael Třeštík, jenž jindy publikuje veselé a povzbudivé příspěvky, pod vlivem souvisejícího školení psal o zhoubě lidstva. Dne 25. května totiž vstoupilo v účinnost GDPR, obecné nařízení o ochraně osobních údajů.

Slyšeli jste o hře Louny?

Stručný (a pokud možno nezaujatý) úvod do problematiky:

Chránit osobní údaje je dobré, třeba kvůli bezpečnosti státu: není žádným tajemstvím, že největší politické strany ve Spojených státech i ve Velké Británii cílí své kampaně na nerozhodnuté voliče. To je skvělé, protože utrácet za letáčky pro voliče, kteří vám hlas dají tak jako tak, jsou vyhozené peníze. Méně skvělé je, když váš nepřítel (veden stejnou ekonomickou úvahou, že armáda statistiků a robustní inzertní rozpočet vycházejí pořád levněji než konvenční válka), používá tutéž taktiku, aby ovlivnil vaše obyvatelstvo k hlasování ve vašich vlastních volbách v jeho prospěch.

Prozaičtějším důvodem, proč je vhodnější ochranu osobních údajů pro členské státy Unie upravit jednotně, je obchod. Členské státy milují obchod (proto si, koneckonců, Unii založily) a ruku v ruce s tím chovají odpor k čemukoli, co by mu kladlo překážky. Jednou z takových překážek může být i geoblocking, praktika, kdy obchodníci odmítají doručovat zboží do jiných členských států nebo v nich poskytovat služby. Větu “Video není ve vaší zemi dostupné” jsme asi viděli všichni. Geoblocking elektronických služeb bude brzy zakázán, což znamená, že osobní údaje uživatelů (přinejmenším jejich přihlašovací údaje) začnou po Unii cirkulovat v míře dosud nevídané. V takové situaci, pokud to tedy jako svazek států s ochranou údajů myslíte vážně, nedává smysl, aby někteří členové Unie mohli na svoje území lákat poskytovatele cloudových služeb výměnou za snížené nároky na jejich regulaci. Ostatně, pracovní právo a právo ochrany životního prostředí se ze stejných příčin harmonizují už desítky let.

My všichni jsme Gogo

Ochrana osobních údajů není v České republice žádnou novinkou, v Ústavě o ní mluvíme už od devadesátých let a prováděcí předpis vznikl těsně po přelomu tisíciletí. Přesto byla odjakživa… svá.

Před několika lety jsem v obchodních podmínkách jedné z nových českých bank nalezl ustanovení, podle kterého, odvolá-li klient souhlas se zpracováním osobních údajů, mu banka bude nucena vypovědět všechny smlouvy, neboť bez zpracování osobních údajů bankovní služby poskytovat nelze. To je samozřejmě pravda, ale k plnění povinnosti ze smlouvy nebo ze zákona souhlas se zpracováním údajů potřeba není a nikdy nebyl - ust. § 5 odst. 2 zákona o ochraně osobních údajů to uvádí docela jasně.

A tím se dostáváme k hlavnímu poselství tohoto článku:

Pokud si pozorný čtenář dal tu práci a srovnal úpravu v současném zákoně s GDPR, nemohlo mu uniknout, že se mnoho nemění - na to ostatně narážela i provokativní otázka v úvodu. Jistě, GDPR mluví o “pověřencích”, výslovně zakotvuje některá práva subjektů údajů a klade určité nároky na dokumentaci, ale to jsou prkotiny. Neříkám, že jsou to pro velkou organizaci prkotiny laciné, ale prkotiny to jsou: taková dokumentační povinnost platí, jako mnoho věcí, už dnes a je pochopitelná. Do počítače vám nikdo nevidí. Jak jinak byste chtěli Úřadu pro ochranu osobních údajů v případě úniku dokázat, že jste se chovali rozumně a udělali všechno pro to, aby k němu nedošlo?

Jádro pudla

Pokud jste starostou, mohli jste se v uplynulých měsících setkat s nabídkou instalace skleněných stěn, aby vám hosté nemohli číst adresy z obálek dopisů. V jedné školce zase sňali z nástěnek obrázky dětí, protože je měly podepsané.

V práci jsem dostal za úkol najít cizojazyčné články o implementaci GDPR ve zdravotnictví. Takové články nejsou. Dokonce i když člověk vyhledá “ochrana osobných údajov”, výsledný výpis odkazů v něm vyvolá dojem, že Slováci žijí v nějaké úplně jiné a mnohem klidnější unii. (Upozornění čtenáři: Obsahem odkazu je výpis článků, v čase se bude měnit.)

Tak proč všechna ta panika?

Nechci znít útočně, ale ryba smrdí od hlavy. Vinou systematické práce dozorového Úřadu na podrývání povědomí o tom, co ochrana osobních údajů vlastně je a jaký má vůbec smysl, došlo k totálnímu rozklížení reality a ušlechtilého cíle zákona. Úřad sice nakonec vyvinul jakési úsilí a vytvořil stránky věnované nové legislativě, spustil je ale pouhých 14 dní před účinností nové legislativy. GDPR coby nařízení nevyžaduje zvláštní vnitrostátní prováděcí předpis, je však nanejvýš vhodné, aby členské státy zákonem upravily působnost nařízení na své vlastní složky (jmenovitě obce), čehož se české Ministerstvo vnitra hanebně pokusilo využít k zatemnění údajů o práci státu.

Já jsem unavený. Ve chvílích zřejmého rozporu mezi evropskou legislativou a zdravým rozumem se řídím následujícím dvoukrokovým testem: je pravděpodobné, že by evropské instituce vytvořily něco, čím vědomě zkazí život půlmiliardě obyvatel Unie? A pokud snad ano (nalejme si čistého vína): je pravděpodobné, že by si toho, u všech všudy, všimli jenom Češi?

Předpisy na ochranu osobních údajů nemají za cíl terorizovat drobné podnikatele - kavárna s pěti pobočkami má jen stěží potenciál napáchat stejnou škodu jako ledabylý mobilní operátor, to ale nezaručuje, že se po ní orgán dozoru nebude vozit. Osobně mám za to, že za rok u nás po něčem jménem GDPR neštěkne pes a všechno bude při starém. Ti, kteří na ochranu OÚ kašlali doteď, v tom budou pokračovat, a jen čas od času se v novinách dočteme o některém z dalších divných rozhodnutí českého Úřadu pro ochranu osobních údajů, úřadu, který si z pojmů jako “předvídatelnost” a “legitimní očekávání” udělal dobrý den a jehož rozhodovací praxe připomíná kolo štěstí.

Stařec hrozil pěstí oblakům

Jak ve svém skvělém článku napsal Jan Moláček, jsme národem zvěstovatelů konce. Ono je to logické - sedět nazlobeně v koutku a těšit se, že možná přijde den, kdy k planoucímu nebi vítězoslavně vztyčíme zatnutou pěst s výkřikem: “Já vám to říkal!” je mnohem jednodušší než se o něco přičinit.

Ale GDPR není cíl a sezením v koutku se naplnit nedá; není to něco, co uděláte jednou a budete v suchu. Ochrana osobních údajů je (stejně jako hygiena nebo bezpečnost na pracovišti) o způsobu dělání věcí. Pokud dodržujete už v současnosti platné zásady, shromažďujete jen to nezbytné a jen po nezbytnou dobu, nemáte a nikdy jste neměli se čeho bát. Pokud naopak hordíte všechno, co vám přijde pod ruku, soboty trávíte rozesíláním spamu a nejtvrdší heslo na vašem úložišti má čtyři znaky, pak Pán s vámi. Potenciální sankční stropy jsou od května vážně vysoké.


Článek vyšel na stránkách fakultního časopisu Právo21.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články