Inspirace pro ostatní
25. květen 2018 znamenal sice jistý přelom, jeho účinek se ale bude dostavovat pouze postupně. Pomalu se totiž naplňuje střízlivá předpověď, že nová pravidla ochrany soukromí, jimž formální podobu dává GDPR, si budou ještě hledat cestu ke skálopevné jistotě jednoznačnosti skrze rozhodovací praxi dozorových orgánů a následně relevantní soudní soustavy včetně Soudního dvora EU, který rok po vstupu GDPR v účinnost stále posuzuje případy mající základ ve směrnici o ochraně osobních údajů jakožto předchůdkyni obecného nařízení. Do té doby budeme všichni vycházet z našich předchozích zkušeností (na tomto místě si dovolíme připomenout, že naše kancelář má tuto zkušenost již téměř čtrnáctiletou), metodických příruček a vodítek dozorových orgánů (eklekticky posbíraných z různých jurisdikcí) a případně též z odvahy dělat některé věci jinak - založené na rozumné argumentaci.
Mnozí namítnou, že podnikání (čehokoliv) bez dostatečné míry právní jistoty není snadné a že od moderních právních předpisů právě očekáváme, že budou fungování v komplexní civilizaci minimálně z administrativního pohledu naopak usnadňovat. Tomu samozřejmě nechceme oponovat, avšak nařízení zcela jasné všem a za všech okolností již od svého vydání by muselo být natolik kazuistické, že bychom jej při stejném tempu technologických i společenských změn museli za pár let novelizovat, ne-li rovnou připravovat znovu. Dovedete si představit další „GDPR projekt“?
Komu se tato představa nelíbí, ten musí ocenit nezbytnou míru obecnosti nařízení – ostatně to má ve svém názvu. Jeho cílem bylo stanovit pravidla technologicky neutrální a dostatečně trvanlivá včetně nástrojů na průběžné drobné ladění, se kterým si dokáží poradit dozorové orgány či soudy. Jistěže první zákroky těchto institucí např. proti Googlu či Facebooku jsou poněkud spektakulární, přesto však toto vymezování se je celkem logickým vývojem na začátku. A připomeňme, že tento začátek se nedatuje jeden rok, ale tři roky zpátky, kdy GDPR spatřilo světlo světa ve své finální podobě. A od té doby inspiruje nejednu zahraniční (mimoevropskou) vládu, aby přijala obdobné standardy ochrany osobních údajů – při pohledu na Japonsko se podařil mimořádný úspěch, kdy kromě obchodní dohody Evropská komise taktéž deklarovala kompatibilitu japonských zákonů s GDPR, díky čemuž se obchodování s touto obří asijskou ekonomikou velmi zjednodušilo. A při pohledu opačným směrem přes Atlantik se také odehrávají významné změny – vedle dalších států USA se Kalifornie profiluje jako neprogresivnější a její nový zákon CCPA (zákon o ochraně soukromí spotřebitelů) si přinejmenším z pohledu kalifornských právníků i obchodníků nezadá s GDPR. A je to i volání kapitánů amerických technologických firem, jako jsou AT&T, Amazon, Google, Twitter a Apple, po vytvoření federálních pravidel – Tim Cook dokonce prohlásil, že GDPR je hodno následování jako příklad pro celý svět, což sám ještě glosoval tweetem „Všechno se smrskává na jedinou otázku: V jakém světě chceme žít?“. Prohlášení Marka Zuckerberga, že přepracuje celý Facebook tak, aby jeho fundamentálním principem byla ochrana soukromí, bylo a nebylo překvapením – možná někdo pamatuje na jeho jiná prohlášení pohrávající si s myšlenkou zastaralosti konceptu soukromí v 21. století, jenže čelit realitě, a zejména hlasu rozzlobených uživatelů se zřejmě už nedalo jinak.
Výsledkem těch dvou plus jednoho roku tak je zcela jednoznačná zpráva, že ve světě jsme s GDPR nezůstali sami, ale jsme vlastně oceňovanými průkopníky. Že to nebude bezbolestné, je bohužel součástí onoho průkopnického pohledu. Z krátkodobé perspektivy zcela jistě nová regulace přináší zvýšené náklady, a pokud se na GDPR díváme jako na klasickou compliance, pak z toho více než náklady neuděláme. Pokud však můžeme hovořit za naše klienty, podařilo se nám myslím všechny implementační projekty uzavřít s pocitem správné investice – tedy vkladu, který se v budoucnu zúročí, a u některých klientů vnímáme náležitou dividendu už dnes.
Jestliže hovoříme o investici, rádi bychom připomněli nezbytnost jejího udržování, které předpokládá sledování dalšího vývoje a adaptaci v návaznosti na konkrétní obchodní potřeby. Čeho jsme tedy v uplynulém roce byli svědky?
Několik významných událostí
Svou činnost zahájil Sbor pro ochranu osobních údajů, který schválil již z doby před účinností připravená vodítka o souhlasu se zpracováním osobních údajů, o principu transparentnosti, o profilování a automatizovaném rozhodování, ohlašování případů porušení zabezpečení, portabilitě osobních údajů, provádění posouzení vlivů na ochranu osobních údajů (DPIA), pověřencích (DPO), ukládání pokut anebo určení vedoucího dozorového úřadu při aplikaci principu one-stop-shop. Do dnešního dne dále Sbor přijal vodítka k výjimkám při předávání osobních údajů mimo EU a ve stádiu veřejných konzultací jsou vodítka týkající se certifikačních kritérií a akreditaci certifikačních autorit, územní působnosti GDPR, kodexů chování a monitorujících subjektů či aplikace právního základu zpracování založeného smlouvou v kontextu on-line služeb.
V rámci principu konzistence se Sbor již vyjadřoval k tzv. „národním“ seznamům stanovícím povinné DPIA (či naopak je nepožadující), přičemž český Úřad pro ochranu osobních údajů celkem unikátně namísto seznamu sestavil klíč deseti kritérií aplikovatelný na jakoukoliv zpracovatelskou aktivitu; díky tomu může být téměř stejné zpracování hodnoceno jako bez rizika u jedné společnosti, zatímco odlišný způsob využití totožných dat či jiný kontext u další společnosti již zpracování DPIA vyžadovat bude.
Stinnou stránkou je patrně ještě nedosažitelný cíl skutečně jednotné aplikace pravidel napříč celou EU – první případy dokládají, že některé úřady si princip one-stop-shop vykládají možná účelově a od snahy exemplárně trestat největší internetové firmy je tak nic neodradí, byť by např. měly v dané situaci předat případ jinému úřadu, kde sídlí centrála domnělého viníka. S tím nepřímo souvisí i skutečnost, že jednotná pravidla mohou narazit na ten nejpřízemnější problém – nedostatek financí. Většina dozorových úřadů nemá dostatečné zdroje na to, aby si poradily se zvýšeným náporem stížnosti či oznámených bezpečnostních incidentů, o zvyšující se komplexitě dozorovaných případů, kdy je čím dál nutnější zapojovat odborníky s technickými znalostmi rapidně se vyvíjejícího digitální světa, ani nemluvě. Ačkoliv se naštěstí nevyplnily nejčernější vize o smršti stížností či masové odvolávání souhlasů a jiné podobné mýty, veřejnost (včetně té odborné) tuto oblast začala vnímat důsledněji a nápor na dozorové úřady se zvýšil. Tento nárůst není rovnoměrný a možná souvisí s předchozím stavem compliance v dané zemi – zatímco Francie hovořila o cca třetinovém nárůstu, český úřad zmiňoval více než dvojnásobný počet podnětů. Oproti zahraničí je sice český úřad spíše zdrženlivý v oblasti pokutování, ale pokuty za porušení GDPR v celkové výši 450 tisíc Kč při průměrné pokutě 50 tisíc Kč jsou ve skutečnosti dvojnásobné ve srovnání s průměrnou výší pokuty, které úřad uděloval v roce 2017.
Ne všechno je ale nakloněno ochráncům soukromí – nedávný nález českého Ústavního soudu se postavil za ponechání ustanovení v zákoně o elektronických komunikacích, který dává povinnost operátorům ukládat šest měsíců provozní a lokalizační data s tím, že si o ně může zažádat např. policie při vyšetřování trestné činnosti. Námitky skupiny 58 poslanců, že ukládaná povinnost není doprovázena dostatečnými zárukami, nebyla vyslyšena a Ústavní soud de facto přitakal potřebě v dnešním digitalizovaném světě i skrze preventivní sběr a ukládání informací zasahujících do soukromí jednotlivce vyvážit zájmy takového jednotlivce s celospolečenskými zájmy (potírání zločinnosti, hledání ztracených osob včetně dětí apod.).
Pohled vpřed
Tento rok budeme pozorovat výsledky ukončených kontrol v různých evropských zemích proti technologickým gigantům (Apple, Facebook, Google, Instagram, LinkedIn, Twitter, WhatsApp), které spolu s reakcí těchto firem udají tón dalšího vývoje. I v domácím prostředí se zřejmě dočkáme dokončení několika zásadních a rozsáhlých kontrol, které Úřad pro ochranu osobních údajů zahájil záhy po vstupu GDPR v účinnost. V souvislosti s přijetím adaptačního zákona též lze očekávat stabilizaci samotného úřadu, jehož vnitřní uspořádání bylo pozměněno, a možná i zvýšení tempa probíhajících kontrol. Zajímavé pak bude sledovat, jak se úřad postaví k některým výjimkám, které přinesl adaptační zákon a jež podléhají notifikační podmínce, jako například odložení výkonu práv subjektů údajů při zajištění tzv. chráněného zájmu či obdobné omezení oznamovací povinnosti u případů porušení zabezpečení osobních údajů. A nakonec si připomeňme, že již v roce 2020 bude Evropská komise provádět vyhodnocení aplikace GDPR a případně připraví návrhy na jeho úpravu.
Své poslední slovo určitě ještě neřekl Max Schrems se svou iniciativou NYOB, který opětovně napadl právní nástroje umožňující předávání osobních údajů do USA, a v létě by o souvisejících předběžných otázkách (včetně platnosti tzv. Standardních smluvních doložek dotýkající se nejen USA, ale celého světa) měl Soudní dvůr EU vést první slyšení.
Diskuze k článku ()