Čtvrt roku s GDPR aneb žádný boom se nekoná
Nezdá se to, ale je tomu již čtvrt roku, co se celá Evropská unie včetně České republiky horečně připravovala na začátek účinnosti Obecného nařízení o ochraně osobních údajů (známé jako GDPR). První půle letošního roku byla plná obav, temných předpovědí a negativních názorů na tuto problematiku.
S odstupem času lze konstatovat, že po 25. květnu 2018 k žádné tragédii nedošlo. Země se točí dál, politici stále pletichaří a obyčejný lid se s novými pravidly srovnal. Na druhou stranu, nic není ideální. Co zajímavého se tedy u nás za poslední 3 měsíce v oblasti GDPR událo?
Adaptační zákon o zpracování osobních údajů je stále jen ve fázi návrhu.
Vláda předložila návrh zákona poslanecké sněmovně koncem března. Již tehdy bylo zřejmé, že se zákon nestihne projednat do stanoveného květnového termínu. Ani v srpnu na tom nejsme o moc lépe. Návrh zákona neprošel ani druhým čtením, neboť projednávání bylo na schůzi přerušeno a poslanci se krátce na to rozutekli na dovolenou. Návrh zákona se tedy opět na řadu dostane nejdříve v září.
Že nebyl zákon dosud přijat, nás v podstatě může nechat chladnými, protože podstata regulace ochrany osobních údajů je v Obecném nařízení. Navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští a nahradí dosavadní zákon o ochraně osobních údajů.
Jak to tak bývá, většina členských zemí EU své adaptační zákony stihly připravit. Kromě Česka mají zpoždění při přijímání národních norem Belgie, Bulharsko, Kypr, Řecko, Maďarsko, Litva a Slovinsko.
Úřad pro ochranu osobních údajů se nadále považuje za dozorový orgán, i když adaptační zákon nebyl dosud přijat.
Stále častěji se ozývají hlasy, že v ČR panuje jakési bezvládí, jelikož nový zákon o zpracování osobních údajů nebyl dosud přijat a tím nebyl stanoven dozorový úřad nad ochranou osobních údajů. V podobném duchu se vyjádřilo i MPSV ve své tiskové zprávě.
Proti těmto úvahám se však Úřad pro ochranu osobních údajů (ÚOOÚ) důrazně ohradil a trvá na tom, že dozorový úřad v ČR existuje a bude existovat i nadále. Je jím ÚOOÚ, který stejně jako všechny ostatní správní úřady v ČR nemá právní subjektivitu. Je pouhým souborem kompetencí, tudíž je lhostejné, který zákon jej zřizuje, zda zákon o ochraně osobních údajů nebo zákon o zpracování osobních údajů. Podstatná je jeho působnost. Nicméně sama předsedkyně ÚOOÚ Ivana Janů nedávno uvedla, že sankce úředníci nebudou dávat do doby, než bude adaptační zákon účinný.
Navzdory očekávání se se stížnostmi pytel neroztrhl.
ÚOOÚ aktuálně prověřuje několik případů úniků dat, které se týkají většího počtu osob, a spolupracuje s dalšími evropskými dozorovými úřady na řešení některých z nich. Úřad na svých stránkách rovněž uvádí, že od 25. května do druhé poloviny července obdržel téměř 650 stížností v souvislosti s Obecným nařízením o ochraně osobních údajů, což je zhruba trojnásobný nárůst ve srovnání se stejným obdobím loňského roku.
Dle sdělení Andrei Jelinek, předsedkyně nedávno zřízené Evropské rady pro ochranu údajů, byly na mezinárodní úrovni zaregistrovány stížnosti proti velkým institucím. Rakouský právník Max Schrems, dlouhodobý kritik toho, jak Facebook a Google nakládají s daty, podal žalobu právě na zmíněný Facebook, na jeho dvě společnosti Instagram a WhatsApp a jednu na Android, který patří Googlu. Společnosti Facebook i Google tak hrozí pokuta více než 3,5 miliard eur (každé).
GDPR mělo mimo jiné zamezit nevyžádaným obchodním sdělením a zprávám. To se zatím úplně nedaří.
S nástupem GDPR neustaly telefonáty s nabídkami zboží a služeb. Jak uvedl mluvčí ÚOOÚ Tomáš Paták část ze stížností na porušení nových pravidel tvoří oblast telemarketingu či praktiky při vyžadování souhlasu se zpracováním osobních údajů.
E-mailové schránky nejednoho z nás byly doslova zahlceny žádostmi o poskytnutí souhlasu ať už ze strany firem nebo i veřejných institucí. Bohužel zde došlo k nepochopení právního titulu souhlasu. V řadě běžných situací totiž souhlas vůbec potřeba není. Mnohdy se lze opřít o jiný právní titul například smluvní vztah se subjektem údajů, plnění právních povinností správce nebo oprávněný zájem správce a v těchto případech dokonce souhlas nesmí být vyžadován. Stále se nepodařilo vyvrátit mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy se zpracováním osobních údajů vyřešeny.
Zpravodajský server U.S. News and World Report ve svém článku o GDPR uvádí, že přestože mnozí odborníci tvrdí, že může trvat několik let, dokud nebudou schopni posoudit účinnost GDPR, většina věří, že se nakonec podaří vrátit soukromí zpět jejich vlastníkům.
Kostky byly vrženy a první nárazovou vlnu máme za sebou. Teď bude záležet na přístupu občanů, podnikatelů, úřadů i institucí.