Mysterium pojmu ‚zpracování‘. Nepochopení GDPR přineslo absurdní obavy |
Rok poté, co nařízení vstoupilo v účinnost, odborníci hodnotí jeho dopad pozitivně, v praxi se však stále setkávají s jeho pokřiveným výkladem. Varují před obrovskou nerovností, kterou mezi veřejnou a soukromou sféru vrazil takzvaný adaptační zákon.
„Nařízení na jednu stranu přispělo k tomu, že se v mnoha organizacích začala věnovat procesům zpracování osobních údajů mnohem větší pozornost, což je určitě dobře. Na druhou stranu je možné sledovat tendence, kdy se GDPR někdy začíná používat jako univerzální výmluva pro to, že něco nejde udělat nebo nějaké informace nelze poskytnout, i když to ve skutečnosti nebývá pravda,“ upozornil Vladan Rámiš, předseda výboru Spolku pro ochranu osobních údajů.
„Souhlas“ na každém rohu
Odborníci upozorňují, že část odborné i laické veřejnosti stále klade rovnítko mezi GDPR a souhlas se zpracováním osobních údajů. „To je ale nesmysl, je to naopak. Souhlas je nejméně preferovaný důvod zpracování údajů a jeho řádné udělení je navíc dost problematické,“ vysvětlil Jaroslav Tajbr z advokátní kanceláře Squire Patton Boggs. Podle jeho zkušenosti však některé velké finanční instituce podmiňují schválení úvěru podpisem souhlasu se zpracováním osobních údajů, a to včetně souhlasu marketingového.
Hysterii, která vznikla před účinností obecného nařízení, podpořila zejména obava z obrovských pokut, které mohou dosahovat až 20 milionů eur, ale to v případě velkých globálních firem. Obava z plošného pokutování českých zpracovatelů osobních údajů se nenaplnila. Úřad pro ochranu osobních údajů (ÚOOÚ) jich podle GDPR udělil jen osm, a to v celkové výši 370 tisíc korun.
„V adaptačním období jsme vsadili více na poradní a konzultační roli. Pokud to situace dovoluje, preferujeme například informační dopisy správcům údajů, které lze vnímat jako nápravné. Postupujeme tak v situaci, kdy si myslíme, že je věc řešitelná jiným způsobem než represí,“ vysvětlil Josef Prokeš, ředitel sekce správní na ÚOOÚ.
Takový přístup může však podle Michala Nulíčka z advokátní kanceláře Rowan Legal část povinných subjektů udržovat v nečinnosti. „Úřad je na svoje kapacitní možnosti mimořádně aktivní a to, že jsou ukládány nízké sankce, není důvodem pro rezignaci na GDPR. Nicméně stále existuje velký podíl těch, kteří tomuto tématu nepřikládají velkou váhu a případně vyčkávají na první velké pokuty,“ myslí si Nulíček.
Úřadů se pokuty netýkají
Až koncem letošního dubna, tedy téměř rok po účinnosti obecného nařízení, vstoupila v platnost tuzemská legislativa, která některé oblasti nařízení upravuje a zpřesňuje formou takzvaného adaptačního zákona. Legislativa zároveň přináší některé výjimky. Třeba zákaz sankcionování úřadů a dalších orgánů veřejné moci, což je trnem v oku řady odborníků.
„Považuji to za absolutní propadák. V důsledku této nepochopitelné změny dochází k obrovské neodůvodněné nerovnosti mezi veřejnou a soukromou sférou, ale především to znamená, že GDPR bude veřejná správa ignorovat. Už dnes dochází k tomu, že pověřenci, již byli jmenováni jako strážci ochrany osobních údajů u úřadů, dostávají hromadné výpovědi,“ upozornil Nulíček. Úkolem pověřenců pro ochranu osobních údajů je přitom monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z nařízení.
Skutečnost, že jsou obavy namístě, potvrdil i Prokeš z ÚOOÚ. „Řada správců z veřejného sektoru dnes bohužel hodnotí výjimky z trestání tak, že si pověřence nemusí díky absenci trestání vůbec pořizovat,“ upozornil v rozhovoru pro LN.
Kroky vedoucí ke snižování významu pověřenců v některých organizacích v souvislosti s omezením sankcí pro veřejnoprávní subjekty zaznamenali i ve Spolku pro ochranu osobních údajů. „K omezování pravomocí nebo snižování významu role a postavení pověřence pro ochranu osobních údajů však dochází i v organizacích, ve kterých má pověřenec své nezastupitelné místo. To může bohužel vést k tomu, že se vytratí pozitivní vliv GDPR na úroveň ochrany osobních údajů fyzických osob, protože pověřenci mají být těmi, kdo pomáhají s implementací GDPR,“ potvrdil Rámiš.
