GDPR slaví pět let. Co nám dalo a co ještě přinese?

Michal Nulíček, partner advokátní kanceláře Rowan Legal a odborník na ochranu osobních údajů, o tom, jak jsme se vyrovnali se zvýšeným standardem ochrany osobních údajů, jaké je využití GDPR v praxi a co od něj můžeme v budoucnu očekávat.

Nařízení o ochraně osobních údajů slaví pět let. Splnilo jeho zavedení očekávání a dokázaly se s ním tuzemské firmy vyrovnat?
Zavedení nařízení o ochraně osobních údajů lze po pěti letech hodnotit jako pozitivní krok, neboť díky němu se ochraně soukromí věnuje daleko větší pozornost, než tomu bylo v minulosti. Došlo ke sblížení úprav v rámci evropských zemí, což usnadňuje přeshraniční předávání dat. Na druhé straně je patrné, že přístupy jednotlivých evropských států k ochraně osobních údajů zůstávají rozdílné a společnosti působící ve více zemích stále musejí vynakládat prostředky na ověření a přizpůsobení se lokálním specifikům. Co se rovněž za uplynulých pět let nepovedlo, je snaha „vrátit lidem kontrolu nad daty“, což byl jeden z hlavních cílů GDPR (General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů). Nástroje pro to existují, ale lidé jsou ke svému soukromí bohužel často lhostejní.

Jakým problémům čelí společnosti v praxi?
Ty velké mají zpravidla dostatečnou podporu, ale menší si často s GDPR stále nevědí rady. GDPR je navíc velmi obecný předpis, který i velcí hráči vykládají různě, což způsobuje problémy při vyjednávání smluv – tyto různé přístupy prodlužují a prodražují uzavírání obchodů, v některých případech dokonce jejich uzavření znemožní.

V souvislosti s GDPR se mluvilo o vysokých pokutách – jaká je realita?
Situace je taková, že se praxe v tuzemsku a jiných státech EU liší. V Česku je bohužel nešťastné, že poslanci úplně znemožnili pokutovat veřejné instituce, a proto řada z nich přestala brát ochranu osobních údajů vážně. Tuzemskou realitou byly také v porovnání s evropskými orgány velmi nízké pokuty za porušení ochrany, což mělo podobný efekt u soukromých společností. Nicméně se zdá, že se toto mění – v roce 2021 uložil Úřad pro ochranu osobních údajů první opravdu vysokou pokutu ve výši 350 milionů korun, byť rozhodnutí zatím není konečné. V praxi jsme okamžitě viděli zvýšení zájmu o ochranu soukromí.

A co GDPR ve světě – jaký mělo dopad?
Zavedení ochrany osobních údajů v Evropské unii mělo pozitivní dopad i v řadě mimoevrop­ských států, které následně přijaly podobnou úpravu. Tento krok významně zjednodušil předávání osobních údajů Evropanů do těchto zemí.

Souvisí s tím problematické předávání dat do USA?
Co se týká USA, před několika lety zde byly odhaleny rozsáhlé špionážní praktiky a při bližším zkoumání se ukázalo, že Evropané jsou „pod dozorem“ amerických orgánů a nemají reálné možnosti zjistit, jak je s jejich daty nakládáno a jak se proti tomu bránit. V reakci na to byl zrušen mechanismus, který umožnil volné předávání dat mezi EU a USA, což dodnes trvá. To v praxi způsobuje obrovské problémy – ať již globálním korporacím při výměně dat, například zaměstnaneckých, ve skupinách, nebo třeba i při používání běžných kancelářských softwarových nástrojů, které ukládají data v USA.

Má tato situace řešení?
Aktuálně je to tak, že byznys se samozřejmě nezastavil a data se do USA předávají dál. Přitom společnosti, které tak činí, se nikoli svojí vinou pohybují na hraně zákona a musejí vynakládat nepřiměřené úsilí a prostředky na to, aby rizika alespoň snížily. Do budoucna se rýsuje řešení, nicméně bude ještě trvat několik měsíců, než bude přijato.

Jaký vývoj můžeme v oblasti GDPR očekávat v dalších pěti letech?
Lze čekat velký tlak v EU, aby se sjednotila rozhodovací praxe a zejména vymáhání – tedy jak procedury, tak hlavně výše pokut. V současné době jsou opravdu velké rozdíly v délce řízení a výši pokut. Řada států není spokojena především s tím, jak se GDPR uplatňuje vůči největším internetovým společnostem. Nicméně největší změny nás čekají naopak v oblasti „otevírání“ a zpřístupňování dat. Již nyní je na stole řada evropských návrhů na větší zpřístupňování dat veřejnou správou, ale i společnostmi, jež získávají obrovské množství dat z používání „smart“ výrobků včetně automobilů, chytrých přístrojů, které lidé nosí na svém těle, nebo zařízení chytré domácnosti. Již na první pohled je zřejmé, že tyto předpisy bude poměrně obtížné sladit s požadavky GDPR.

Přečtěte si také