Ve svém příspěvku se budu krátce věnovat kontextu legislativy, do nějž GDPR zapadá, co se stalo na evropské a české úrovni. Dále budu hovořit o implementaci GDPR, a to specificky v malých a středních korporacích, a také výjimkách, na které lze při implementaci v menších společnostech, které s daty nijak sofistikovaně nenakládají, spoléhat. Nakonec se podíváme na to, kam vede cesta dál, od GDPR k jakémusi právnímu rámci digitální ekonomiky v Evropě.
Legislativní kontext
Pokud jde o legislativu, objevily se dvě hlavní oblasti, které GDPR pokrývá. GDPR si za prvé vytklo za cíl chránit určitou soukromou sféru jednotlivce, a to zejména, ale nikoli výhradně v digitálním světě. Druhým velkým cílem je skokově zvýšit úroveň kybernetické bezpečnosti napříč soukromou sférou, veřejnými institucemi a státní správou. Tyto dvě oblasti se prolínají právním rámcem, který postupně vzniká a na GDPR se nabaluje.
GDPR bylo přijato v dubnu 2016. Na české úrovni se po dobu zhruba jednoho roku od té doby nic nedělo. Až v srpnu 2017 Ministerstvo vnitra zveřejnilo návrh dvou adaptačních zákonů k GDPR. GDPR je nařízení, je tedy přímo aplikovatelné a není potřeba prováděcí zákon. Je ale mezi členskými státy zvykem GDPR do národního právního rámce nějak zakotvit. Minimálně je dobré si vymezit pravomoci a kompetence dozorových orgánů, případně též upravit některé oblasti odchylně od GDPR tam, kde je to možné.
Návrh se po dobu několika měsíců netěšil velké pozornosti, což se ale časem obrátilo. V Poslanecké sněmovně neprošel zrychlený legislativní proces a tak bude jeho přijetí asi poněkud zdlouhavé. Návrh bude projednávat 6 výborů, což je na legislativní proces až nevídané a je vidět, že se problematika těší velkému zájmu. Může to souviset i se zájmem jednotlivých rezortů, orgánů nebo organizací, které nejsou přímo orgány veřejné moci, ale podílí se na veřejných úkolech a myslí si, že by měly mít určité výjimky z GDPR (školy, nemocnice, státem zřízené organizace apod.).
Na evropské úrovni nelze v souvislosti s GDPR vynechat nařízení ePrivacy. První návrh nařízení vyšel v lednu 2017. Prozatím se na české úrovni neobjevila žádná větší reakce, kromě vyjádření, které Česká republika dávala před jeho schválením v Evropském Parlamentu. Nyní byl již návrh schválen Evropským Parlamentem a nachází se v Radě k projednání, následně se vrátí zpět do Evropského Parlamentu. Předpokládá se přijetí na podzim 2018, ale může dojít ke zpoždění s ohledem na to, jak kontroverzní norma to je.
V září 2017 vyšlo nařízení o volném pohybu neosobních údajů, které se snaží dále vypomoci a vytvořit skutečně jednotný digitální trh v rámci Evropy, tedy to, co se nepodařilo vytvořit v tzv. kamenném světě. Je to vidět na volbě právních nástrojů, neboť většina norem, které se týkají digitální ekonomiky, mají formu nařízení, a je zde tedy malá možnost členských států pro odchylku nebo implementaci.
Pokud jde o první čtvrtletí 2018, vydala Evropská komise s přičiněním eurokomisařky Jourové doporučení či pravidla pro aplikaci GDPR v rámci malých a středních podniků. Zároveň se konečně probudily jednotlivé resorty v České republice a začaly vydávat různá doporučení či metodiky pro implementaci GDPR – ministerstvo školství, zdravotnictví, práce a sociálních věcí a vnitra, vždy pro své resorty nebo subjekty, které regulují či koordinují.
Pokud jde o cílový právní rámec, který můžeme v průběhu roku 2018 očekávat, měli bychom na evropské úrovni mít GDPR, pravděpodobně budeme mít ePrivacy, dále by měla být přijata směrnice NIS, která bude upravovat kybernetickou bezpečnost, jež byla do českého právního prostředí implementována v srpnu 2017 novelou zákona o kybernetické bezpečnosti a nyní se budou vydávat prováděcí předpisy. Existuje ale také vertikální regulace, která upravuje nakládání s daty pro některé sektory, jako jsou finanční instituce, velkooperátoři, poskytovatelé zdravotních služeb a veřejná správa. Pokud bude přijato nařízení ePrivacy, lze očekávat novelu zákona o elektronických komunikacích a zákona o některých službách v informační společnosti.
Pokud jde o adaptační zákony, tyto jsou dva. Prvním z nich je zákon, který zruší a nahradí stávající zákon na ochranu osobních údajů. Druhý se týká zejména veřejného sektoru, upravuje jiné zákony, které určitým způsobem popisují nebo regulují nakládání s osobními údaji (například zákon o vězeňské službě, občanský soudní řád, zákon o rejstříku trestů, daňový řád apod.).
V rámci nového zákona o ochraně osobních údajů se velmi diskutuje věková hranice pro souhlas mladistvého, kdy se diskutuje rozmezí mezi 13 a 16 lety. Návrh, který je v Parlamentu, má stanovenu věkovou hranici 15 let. Je to ale jen věková hranice pro souhlas v rámci služeb digitální společnosti, nikoli v jakémkoli civilním styku. Domnívám se tedy, že zůstane hranice zletilosti podle občanského práva s výjimkou této speciální úpravy.
Velmi se také diskutuje definice subjektu veřejné správy. GDPR operuje s pojmy orgán veřejné moci a subjekt veřejné správy. Pokud jde o orgán veřejné moci, do toho se český zákonodárce příliš nepouští, pravděpodobně bude platit stávající výkladová praxe. Subjekt veřejné správy je ale něco, co české právo nezná. Podle GDPR je ale tento pojem relevantní pro dvě oblasti – jednak pro oblast ukládání pokut a sankcí, kdy by subjekty veřejné správy mohly mít nižší pokuty, ačkoli český zákonodárce to prozatím nenavrhuje a jednak pro tzv. pověřence pro ochranu osobních údajů, kde adaptační zákon navrhuje, aby tohoto pověřence měly nejen orgány veřejné moci ale i subjekty veřejné správy, což je například Český rozhlas, Česká televize, školy, nemocnice apod.
Interpretační zdroje GDPR a dohled nad jeho dodržováním
GDPR není národním právem, a tedy se k jeho interpretaci nepoužívají běžné zdroje, které se užívají k interpretaci národního práva. V případě GDPR jsou hlavními interpretačními zdroji tzv. vodítka Pracovní skupiny 29 (také WP 29), případně jejich stanoviska. Vodítka jsou vydávána specificky k výkladu GDPR; stanoviska tato Pracovní skupina vydává víceméně k čemukoli, co uzná za vhodné, tj. nejedná se o specifická vodítka k výkladu GDPR. Všechny evropské národní dozorové orgány dnes už na svých webových stránkách zveřejňují stanoviska, výkladová pravidla, odpovídají na dotazy. Jedním z nejaktivnějších je britský ICO, ačkoli zde se vzhledem k brexitu uvidí, jak budou jeho stanoviska brána vážně. Nyní se ale vyjadřují k jednotlivým otázkám celkem otevřeně, prakticky a mnohdy i relativně odvážně.
Národní správní soudy budou přezkoumávat uložené sankce. Lze ale předpokládat, že pokud by národní soudy v kterémkoli členském státě rozhodovaly otázku výkladu GDPR, obrátily by se s předběžnou otázkou na Soudní dvůr EU. Ten by poté měl sjednocovat výklad GDPR jako hlavní orgán.
Ještě bych ráda zmínila, že existuje Evropský sbor pro ochranu osobních údajů, který má spíše minoritní roli – rozhoduje například kompetenční spory, případně některé další spíše logistické otázky související s výkonem GDPR.
Pracovní skupina podle čl. 29 doposud již vydala vcelku hodně vodítek, všechna byla již schválena. Pro střední a malé podniky je zajímavé vodítko pro oznámení porušení zabezpečení, kde je návod, jak se pozná bezpečností incident, který je potřeba nahlásit dozorovému orgánu. Dále vodítko pro transparentnost týkající se povinného zpracování osobních údajů – jak by měly být požadavky GDPR naplněny, nebo vodítko k souhlasu či automatizovanému individuálnímu rozhodování a profilování.
Krátce je vhodné zmínit relevantní stanoviska WP 29 – například stanovisko ke zpracování osobních údajů na pracovišti, což je velmi návodné stanovisko s praktickými příklady odpovídající asi na 80 % všech dotazů, které nám klienti v rámci pracovně-právních vztahů kladou.
Pokud jde o dozorové orgány, se kterými se regulovaný subjekt může setkat, je to národní dozorový orgán, který se bude týkat v podstatě všech českých společností. Společnosti, které působí panevropsky, si mohou zvolit vedoucí dozorový orgán. To ale neznamená, že vedoucí dozorový orgán by byl jejich výhradním dozorovým orgánem. On bude jejich koordinačním orgánem, mohou s ním konzultovat, ale v případě porušení GDPR v jednotlivé členské zemi by opět platila kompetence národních dozorových orgánů. To je jedna z oblastí, která je velmi diskutována – dojde-li k porušení GDPR u některého z panevropských koncernů, který dozorový orgán bude tím příslušným, tedy do kterého státního rozpočtu půjde sankce? Tady lze očekávat spory, které bude rozhodovat Evropský sbor pro ochranu osobních údajů.
Národní dozorový orgán v České republice, Úřad pro ochranu osobních údajů, je velmi otevřený, dělá podle mého názoru skvělou práci, vydává stanoviska, překládá vše, co vydá Pracovní skupina 29. Úřad se snaží odpovídat na dotazy, preferuje ale odpovídat na dotazy sdružení či asociací, které zastupují určitý sektor, než odpovídat na dotazy jednotlivých správců, už z důvodů kapacitních.
ePrivacy
Již dnes platí Směrnice ePrivacy 95/46/ES, většina z nás se s ní však v praxi vůbec nesetkává, protože se jedná o sektorovou regulaci pro telekomunikační sektor. Dnešní ePrivacy upravuje, jak mají telekomunikační operátoři nakládat s přenášenými daty. Nově by se ale regulace telekomunikačního sektoru měla rozšířit na tzv. OTT (Over-De-Top Application), což jsou komunikace nejen čistě prostřednictvím telekomunikačních operátorů, ale i pomocí komunikačních nástrojů na internetu, jako je WhatsApp, chatové nástroje či Skype. Všechno jsou to nástroje, které z pohledu koncového uživatele plní v některých ohledech stejnou funkci jako telekomunikační operátoři a doposud nebyly vůbec předmětem sektorové regulace.
K tomu se přidalo to, že při konzultacích GDPR vyšlo najevo, že se poměrně hodně respondentů domnívá, že největší problémy s ochranou soukromí vznikají na koncových zařízeních, tj. na tabletech, laptopech apod., a že tato koncová zařízení je potřeba zregulovat specificky. To je právě to, co ePrivacy dělá – chrání koncová zařízení. Ve výsledku pak ale dopadá na poměrně velkých počet správců či subjektů, které informace z koncových zařízení zpracovávají, protože hlavní informace jsou vlastně cookies, které dnes zpracovává každý, kdo má nějaké webové stránky a v určité míře si je analyzuje.
ePrivacy chrání nejen fyzické, ale i právnické osoby, což ve spolupráci s GDPR nepovede k úplně lehké implementaci. Sankce jsou stejné jako u GDPR, nicméně neměly by být duplikovány. Vždy by měla být uložena sankce vyšší, nikdy ale ne obě sankce podle GDPR a ePrivacy za stejné jednání. ePrivacy je subsidiární k GDPR.
ePrivacy neuznává jiný titul než souhlas, tzn. neuznává oprávněný zájem, nepřipouští prostor pro zákonné zpracování apod. Nicméně předpokládá určité en bloc či kvazi zákonné souhlasy, například nastavením koncového zařízení, které bude možné přenastavit z jakéhosi maximálně chránícího soukromí na míru, která by soukromí jednotlivce trochu otevřela, nebo například v přímém marketingu, kde by podle předpokladů existovaly povinné do not call registry, kam by se mohl každý zaregistrovat a pak by jeho číslo bylo pro jakýkoli telemarketing zcela zakázáno. Optimističtější výklady ale dovozují, že čísla, která by v tomto registru nebyla, by byla v zásadě ve volné doméně pro telemarketing. Je vidět, že i připomínkující poslanci si dané ustanovení vykládají trošku jinak, těžko věštit, jak nakonec úprava dopadne.
Implementace GDPR v malé a střední korporaci
U velkých českých i nadnárodních společností již většinou proběhlo mapování a již probíhá implementace viditelných záležitostí, jako jsou dokumentace procesů. Většina společností už je ve velmi pokročilé fázi. Zároveň je vidět, že u českých společností začala implementace brzy v porovnání s některými jejich centrálami. U řady klientů je vidět, že v Čechách už je implementace hotová, ale centrála ve Francii, Španělsku či Holandsku teprve přichází se svým globálním programem. Česko je tedy překvapivě poměrně daleko, na rozdíl (překvapivě) od skandinávských států nebo například Španělska či Francie. Například ve Španělsku údajně vysvětlují situaci tím, že se domnívají, že každá společnost musí přirozeně chránit soukromí a tak pro ně GDPR nemůže znamenat žádnou revoluci, tudíž implementaci nepovažují za tak důležitou.
Pokud jde o malé a střední podniky, veřejnou správu včetně škol a nemocnic, zde podle našich zkušeností s implementací začínají. Pořád je naděje, že by mohly mít výrazně nižší sankce a dozorový orgán by k nim měl přistupovat šetrněji. U malých a středních podniků je to dáno tím, že nemohou implementovat GDPR v tak velkém rozsahu a možná to ani nedává smysl, pakliže se nejedná o podniky ve vysoce inovativním sektoru, jejichž hodnota stojí právě na datech.
V průměrně velké společnosti obnáší implementace GDPR tři velké pilíře – jsou zde změny v IT systémech – jednak v nastavení zpracování osobních údajů a dále celá oblast zabezpečení, neboť kromě toho, že GDPR chrání soukromí, klade i celkem vysoké požadavky na kybernetickou bezpečnost, ať už tím, že klade přímo povinnosti zajistit integritu a dostupnost údajů, ale také tím, že nutí správce notifikovat poměrně široce definované bezpečnostní incidenty dozorovému orgánu a v některých případech dokonce subjektům údajů. Není-li notifikace splněna, může být uložena poměrně vysoká sankce.
Dalším pilířem je dokumentace, kterou lze členit na interní a externí. Některá je povinná, některou správci vydávají proto, aby doložili své povinnosti zejména v oblasti zabezpečení či minimalizace osobních údajů nebo aby mohli doložit, že určité selhání nebylo selháním systémovým, ale jen selháním určitého zaměstnance nebo excesem z jinak dobře nastavených procesů. Interní dokumentace zahrnuje záznamy zpracování, které jsou povinné, avšak nikoli pro správce, kteří mají méně než 250 zaměstnanců. Malých podniků by se tedy tato povinnost dotknout neměla. Existuje také požadavek na posuzování rizik. Správce by si měl posoudit, jaká rizika jeho zpracování vyvolává pro subjekty údajů. Například e-shop by se měl zamyslet nad tím, že má k dispozici čísla platebních karet a únik těchto údajů může mít pro subjekt údajů poměrně vysoký dopad, je tedy potřeba udělat opatření, aby riziko úniku bylo sníženo.
Kdo jsou SMEs (malé a středně velké společnosti), na které GDPR dopadá významně? Jde o činnost jakýchkoli zprostředkovatelů, služby recruitmentu, marketingové služby, prodej databází a vše, co je inovativní – analytika sociálích sítí, big data, umělá inteligence.
I toto jsou zároveň vodítka Pracovní skupiny 29. Britský regulátor ICO vydal vodítka k oprávněnému zájmu, nicméně doposud neexistuje žádný dobře ukotvený právní názor na zpracování zveřejněných údajů. Úřad na ochranu osobních údajů připouští, že do určité míry by zpracování zveřejněných údajů mělo být možné, kde přesně leží hranice je pravděpodobně dáno legitimním očekáváním subjektů údajů při zveřejnění. To se týká celé řady klientů a domnívám se, že právě zde je WP 29 velmi opatrná, neboť tím, jak se nastaví hranice pro zpracování zveřejněných údajů, se zároveň nastaví rovnováha mezi ochranou soukromí a podporou inovativního sektoru. Pokud bychom totiž úplně zakázali zpracování zveřejněných údajů, pak by nebyly možné žádné inovace, ale také by to vlastně zabilo několik zcela legitimních standardních byznysů. Pokud se hranice nastaví velmi liberálně, pak to povede k tomu, co vidíme nyní u Facebooku, kdy zpracováním zveřejněných údajů lze dojít k zajímavým údajům a zpětně na subjekty působit. Domnívám se, že to bude pro další směřování a vývoj ochrany soukromí a potenciálu pro inovace velmi zásadní.
Kongres Právní prostor 2018
Ve dnech 24. a 25. dubna 2018 se v Seči u Chrudimi konal již 8. ročník odborného kongresu Právní prostor. Záštitu nad kongresem převzal předseda Ústavního soudu JUDr. Pavel Rychetský a Česká advokátní komora.
Více informací o kongresu naleznete na http://www.kongrespravniprostor.cz/.
Diskuze k článku ()