Podnikatelé budou za porušení GDPR trestáni přísně, úřady výrazně méně

Jedním z mýtů spojených se zavedením GDPR je nemožnost nadále oslovovat obchodní partnery e-mailovým newsletterem. Není to pravda. Co naopak mýtus není, je fakt, že postihy za porušení předpisu budou pro podnikatele přísné a pro úřady výrazně menší. Odborníci s tím ne vždy souhlasí.
Ilustrační snímek

Ilustrační snímek | foto:  Jan Zátorský, MAFRA

První a druhý díl speciálu GDPR najdete zde a zde.

Na aktuální otázky týkající se GDPR jsme se zeptali čtyř odborníků, kteří se ochranou osobních údajů zabývají. Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.

7. Kde vidíte pro stát/ÚOOÚ prostor pro to, aby mohl přispět k efektivnímu a hospodárnému plnění povinností v oblasti ochrany dat?

Žůrek: GDPR je komplexní právní předpis, který ochranu osobních údajů při jejich zpracování posunul do oblasti „řemesla“. Prostor proto vidím pro zevšeobecňování jeho pravidel tak, aby malí správci nebyli zatěžováni nutností studovat obsáhlý a složitý předpis, ale měli jednoduchý návod, co musí dodržovat. Úřad pro ochranu osobních údajů na tento požadavek reagoval vydáním Desatera zpracování pro správce, které vystihuje nejdůležitější povinnosti a principy, na kterých ochrana osobních údajů při zpracování stojí. Dále lze čerpat zevšeobecněné informace ze Základní příručky k GDPR, též dostupné na www.uoou.cz. Tyto internetové stránky doporučuji všem, jelikož tam „své“ informace nalezne každý. Tím, že Úřad pro ochranu osobních údajů není regulátor, ale dozorový úřad, je zde rozhodně prostor pro větší aktivitu jednotlivých ministerských resortů nebo sdružení, asociace správců, které mohou zainteresovaným subjektům být nápomocni při řešení jejich typických problémů. Po účinnosti GDPR bude prostor i pro to, aby Úřad pro ochranu osobních údajů prokázal rozumný přístup v uplatňování dozorových pravomocí (zejména nápravných), což ostatně předem deklaroval.

Rámiš: Určitě jak před ÚOOÚ, tak před příslušnými ministerstvy stojí velký úkol v oblasti prevence a osvěty. Bohužel ne vždy jsou doporučení a stanoviska zejména jednotlivých ministerstev zcela v souladu s GDPR. Náš Spolek pro ochranu osobních údajů již k několika takovým materiálům připravil kritické připomínky. Velmi přínosné by bylo, pokud by ústřední orgány státní správy svoje návrhy stanovisek k GDPR dávaly odborné veřejnosti předem k veřejné diskuzi, jako to začal dělat právě ÚOOÚ.

Nonnemann: Bohužel ne všechny resorty dokázaly během dvou uplynulých let analyzovat svoji sektorovou legislativu a připravit návrh na úpravu tam, kde je to nezbytné pro aplikaci GDPR jako přímo účinného nařízení. Řadu nepřesností či nesouladů bude nutno překonávat výkladem, což právní jistotě adresátů práva nepřispěje. Jednotlivé resorty by podle mého názoru měly aktivněji vystupovat při nastavování pravidel pro zpracování osobních údajů v rámci svého sektoru, protože Úřad pro ochranu osobních údajů je a zůstane dozorovým úřadem, není regulátorem, a pravidla pro zpracování dat by obecně nastavovat neměl. Od Úřadu pro ochranu osobních údajů potom v souladu s řadou vyjádření jeho představitelů v uplynulém období s důvěrou očekávám racionální a spravedlivý výklad nařízení a souvisejících předpisů.

Pattynová: Považuji za důležité, aby velké rezorty, finanční správa, nemocnice, školy a další pro občana klíčové instituce, dokázaly transparentně komunikovat, jak nakládají s daty občanů, a aby občané získali důvěru, že stát chrání jejich soukromí. Máme nedávnou zkušenost s totalitním režimem a související kritický pohled na státní instituce; GDPR je příležitostí pracovat na vztahu důvěry mezi občanem a státem. Pokud jde o ÚOOÚ, tak občané i soukromé firmy budou kriticky hodnotit, do jaké míry je GDPR vynucováno stejně ve veřejném i soukromém sektoru.

8. Souhlasíte s navrhovaným výrazným snížením sankcí pro státní správu a samosprávu?

Rámiš: Z mého pohledu je to přínosné, protože cílem předpisů o ochraně osobních údajů by mělo být chránit skutečně údaje v rámci procesu nakládání s nimi a ne plnit státní rozpočet. Na druhé straně, pokud dojde ke snížení pokut pro státní správu, jen obtížně se bude obhajovat praxe, kdy by za typově stejné porušení GDPR dostal podnikatel řádově vyšší sankce než orgán veřejné správy.

Nonnemann: Ne, nesouhlasím. Je pravdou, že otázka, zda má být veřejný sektor či veřejná správa jako taková za porušení práva finančně postižena, není jednoznačná, nicméně měla by být řešena komplexně a systematicky, nikoliv na základě mediální kampaně ad hoc u jednoho z řady předpisů upravujících veřejnoprávní dozor. A navíc, pokud se podíváme do historie dozorové činnosti Úřadu pro ochranu osobních údajů, vidíme, že ty nejvyšší sankce za významná porušení pravidel pro zpracování osobních údajů dostávaly často právě orgány státní správy. 

Pattynová: Z hlediska důvěry podnikatelů ve spravedlivé legislativní prostředí to není ideální řešení. Snížením sankcí stát komunikuje, že sám není plně připraven chránit soukromí občanů a nechce v této oblasti nést plnou odpovědnost. Podnikatelé vynakládající velké prostředky na ochranu soukromí budou těžko akceptovat, že stát nechce nést stejné břemeno. Rozumím, že obce, malé školy a jiné menší organizace potřebují od státu pomoc. Bylo by však vhodnější, kdyby stát těmto organizacím pomohl zajistit ochranu soukromí, než aby jim snižoval sankce. Snížení sankce pro velké rezorty, jako např. ministerstvo vnitra či ministerstvo financí, je alarmující. U těchto rezortů občan může spravedlivě očekávat, že ochranu soukromí beze zbytku a s plnou odpovědností zajistí.

Žůrek: Každá právní norma, aby byla úplná, musí obsahovat sankci. Právě sankce má za úkol přimět (donutit) adresáty chovat se podle normou nastavených pravidel. Finanční sankce patří obecně mezi nejdůležitější sankce, které právní předpisy obsahují. Nevidím proto důvod, aby některé subjekty byly úplně vyloučeny z možnosti jim udělit finanční sankci, jelikož poté by pro ně právní norma ztratila donucující složku, což by se odrazilo i v jejich liknavém přístupu při plnění povinností, což by byl negativní jev. To i v případě výrazného snížení možné pokuty, např. na částku 5 000 Kč. Nevidím však důvod, proč pro organizace státní správy či samosprávy nemohly být pokuty nastaveny do maximální výše, kterou měl zákon č. 101/2000 Sb., o ochraně osobních údajů, tj. 10 000 000 Kč.

9. Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?

Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.

Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.

Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.

Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.

Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.

10. V poslední době se okolo GDPR rozvinula určitá hysterie. Myslíte, že se skutečně jedná o „GDPR bublinu“? A pokud ano, kdy taková bublina praskne?

Žůrek: Před cca rokem a půl se začalo o GDPR více mluvit a zejména v souvislosti s vysokými sankcemi, které GDPR umožňuje udělit. Tím začal „obchod“ se strachem, kdy byl strach z GDPR přiživován informacemi, jak vysoké pokuty tento předpis uděluje uložit. Někteří lidé v GDPR ucítili šanci a bez nějakých předchozích znalostí či působení v této oblasti se začali vydávat za největší experty na GDPR. Tím, že předtím se této oblasti nevěnovali, tj. neznali ani zákon č. 101/2000 Sb., o ochraně osobních údajů, neznali ani souvislosti a začali GDPR prezentovat jako revoluci (nutno poznamenat, že v základních principech a povinnostech je GDPR stejné jako zmíněný zákon č. 101/2000 Sb.). Zároveň šířili mýty typu, že šifrování je povinné nebo že každý musí mít pověřence pro ochranu osobních údajů, na což Úřad pro ochranu osobních údajů záhy reagoval vydáním dokumentu nazvaného Desatero omylů. Tak se začalo soukolí strachu pomalu rozvíjet a setkali jsme se v rámci konzultační agendy s dotazy typu, jestli děti ještě budou smět si podepsat namalovaný obrázek nebo co je pravdy na tom, že GDPR zakazuje šanony (smějí podepsat a šanony GDPR nezakazuje, jen je nutné dávat pozor na jejich vhodné umístění).

Pattynová: Je to podobné, jako kdyby nově a během krátkého období začala být přísně vynucována jakákoli jiná oblast práva. Pokud by např. dosud daňové předpisy nebyly přísně vynucovány a najednou byly za jejich porušení zavedeny vysoké sankce, způsobilo by to určitou „paniku“. Zkušenosti z jiných přísně vynucovaných oblastí, jako je např. soutěžní či daňové právo, ukazují, že tyto oblasti jsou brány velmi vážně. Myslím, že do budoucna ochrana soukromí, stejně jako soutěžní či daňové právo, bude hrát velkou roli při jakékoli transakci nebo strukturování nového produktu.

Nonnemann: Tato do velké míry skutečně hysterie je podle mého názoru způsobena především dvěma aspekty. Prvním je to, že některé subjekty dosud ochraně osobních údajů nevěnovaly dostatečnou pozornost či dokonce dosavadní právní předpisy přímo ignorovaly a nyní je vyděsily vysoké sankce, které GDPR přináší. Druhým potom skutečnost, že GDPR využila řada subjektů, často bez jakékoliv praktické zkušenosti s ochranou osobních údajů či informací obecně, k agresivnímu nabízení více či méně smysluplných služeb. Bublina jistě splaskne, ale je skutečností, že ochrana osobních údajů jako téma se dostalo na jinou úroveň a bude mu věnována daleko větší pozornost.

Rámiš: Částečně určitě. Na druhé straně tato bublina byla do jisté míry způsobena i tím, že doposud nebyla ochraně osobních údajů věnována taková pozornost, jakou si zasloužila. Zvýšení této pozornosti s sebou ale aktuálně přineslo jeden negativní jev - že se ono pověstné kyvadlo příliš vychýlilo na druhou stranu a na ochranu osobních údajů jsou někdy kladeny nesmyslné požadavky, které ani neodpovídají stanoviskům dozorového orgánu. Doufám, že po 25. 5. se situace uklidní a všichni uvidí, že život jde dál, že GDPR je sice důležitý předpis, ale nemůže zastavit chod společnosti.

Konec třídílného seriálu.

Autoři: ,
  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 45 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 23 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi jsou 2 příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi je 5 příspěvků

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 23 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně
Šárka Hamrusová: Díky laktační poradkyni jsem si přestala myslet, že je chyba ve mně

Šárka chtěla kojit. Chvíli to ale vypadalo, že se jí to nepodaří. Díky správně zvolené laktační poradkyni nakonec dosáhla úspěchu. Poslechněte si...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...