Čtvrtek 27. ledna 2022, svátek má Ingrid
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 27. ledna 2022 Ingrid

Podnikatelé budou za porušení GDPR trestáni přísně, úřady výrazně méně

Jedním z mýtů spojených se zavedením GDPR je nemožnost nadále oslovovat obchodní partnery e-mailovým newsletterem. Není to pravda. Co naopak mýtus není, je fakt, že postihy za porušení předpisu budou pro podnikatele přísné a pro úřady výrazně menší. Odborníci s tím ne vždy souhlasí.
Ilustrační snímek

Ilustrační snímek | foto:  Jan Zátorský, MAFRA

První a druhý díl speciálu GDPR najdete zde a zde.

Na aktuální otázky týkající se GDPR jsme se zeptali čtyř odborníků, kteří se ochranou osobních údajů zabývají. Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.

7.Kde vidíte pro stát/ÚOOÚ prostor pro to, aby mohl přispět k efektivnímu a hospodárnému plnění povinností v oblasti ochrany dat?

Žůrek: GDPR je komplexní právní předpis, který ochranu osobních údajů při jejich zpracování posunul do oblasti „řemesla“. Prostor proto vidím pro zevšeobecňování jeho pravidel tak, aby malí správci nebyli zatěžováni nutností studovat obsáhlý a složitý předpis, ale měli jednoduchý návod, co musí dodržovat. Úřad pro ochranu osobních údajů na tento požadavek reagoval vydáním Desatera zpracování pro správce, které vystihuje nejdůležitější povinnosti a principy, na kterých ochrana osobních údajů při zpracování stojí. Dále lze čerpat zevšeobecněné informace ze Základní příručky k GDPR, též dostupné na www.uoou.cz. Tyto internetové stránky doporučuji všem, jelikož tam „své“ informace nalezne každý. Tím, že Úřad pro ochranu osobních údajů není regulátor, ale dozorový úřad, je zde rozhodně prostor pro větší aktivitu jednotlivých ministerských resortů nebo sdružení, asociace správců, které mohou zainteresovaným subjektům být nápomocni při řešení jejich typických problémů. Po účinnosti GDPR bude prostor i pro to, aby Úřad pro ochranu osobních údajů prokázal rozumný přístup v uplatňování dozorových pravomocí (zejména nápravných), což ostatně předem deklaroval.

Rámiš: Určitě jak před ÚOOÚ, tak před příslušnými ministerstvy stojí velký úkol v oblasti prevence a osvěty. Bohužel ne vždy jsou doporučení a stanoviska zejména jednotlivých ministerstev zcela v souladu s GDPR. Náš Spolek pro ochranu osobních údajů již k několika takovým materiálům připravil kritické připomínky. Velmi přínosné by bylo, pokud by ústřední orgány státní správy svoje návrhy stanovisek k GDPR dávaly odborné veřejnosti předem k veřejné diskuzi, jako to začal dělat právě ÚOOÚ.

Nonnemann: Bohužel ne všechny resorty dokázaly během dvou uplynulých let analyzovat svoji sektorovou legislativu a připravit návrh na úpravu tam, kde je to nezbytné pro aplikaci GDPR jako přímo účinného nařízení. Řadu nepřesností či nesouladů bude nutno překonávat výkladem, což právní jistotě adresátů práva nepřispěje. Jednotlivé resorty by podle mého názoru měly aktivněji vystupovat při nastavování pravidel pro zpracování osobních údajů v rámci svého sektoru, protože Úřad pro ochranu osobních údajů je a zůstane dozorovým úřadem, není regulátorem, a pravidla pro zpracování dat by obecně nastavovat neměl. Od Úřadu pro ochranu osobních údajů potom v souladu s řadou vyjádření jeho představitelů v uplynulém období s důvěrou očekávám racionální a spravedlivý výklad nařízení a souvisejících předpisů.

Pattynová: Považuji za důležité, aby velké rezorty, finanční správa, nemocnice, školy a další pro občana klíčové instituce, dokázaly transparentně komunikovat, jak nakládají s daty občanů, a aby občané získali důvěru, že stát chrání jejich soukromí. Máme nedávnou zkušenost s totalitním režimem a související kritický pohled na státní instituce; GDPR je příležitostí pracovat na vztahu důvěry mezi občanem a státem. Pokud jde o ÚOOÚ, tak občané i soukromé firmy budou kriticky hodnotit, do jaké míry je GDPR vynucováno stejně ve veřejném i soukromém sektoru.

8.Souhlasíte s navrhovaným výrazným snížením sankcí pro státní správu a samosprávu?

Rámiš: Z mého pohledu je to přínosné, protože cílem předpisů o ochraně osobních údajů by mělo být chránit skutečně údaje v rámci procesu nakládání s nimi a ne plnit státní rozpočet. Na druhé straně, pokud dojde ke snížení pokut pro státní správu, jen obtížně se bude obhajovat praxe, kdy by za typově stejné porušení GDPR dostal podnikatel řádově vyšší sankce než orgán veřejné správy.

Nonnemann: Ne, nesouhlasím. Je pravdou, že otázka, zda má být veřejný sektor či veřejná správa jako taková za porušení práva finančně postižena, není jednoznačná, nicméně měla by být řešena komplexně a systematicky, nikoliv na základě mediální kampaně ad hoc u jednoho z řady předpisů upravujících veřejnoprávní dozor. A navíc, pokud se podíváme do historie dozorové činnosti Úřadu pro ochranu osobních údajů, vidíme, že ty nejvyšší sankce za významná porušení pravidel pro zpracování osobních údajů dostávaly často právě orgány státní správy. 

Pattynová: Z hlediska důvěry podnikatelů ve spravedlivé legislativní prostředí to není ideální řešení. Snížením sankcí stát komunikuje, že sám není plně připraven chránit soukromí občanů a nechce v této oblasti nést plnou odpovědnost. Podnikatelé vynakládající velké prostředky na ochranu soukromí budou těžko akceptovat, že stát nechce nést stejné břemeno. Rozumím, že obce, malé školy a jiné menší organizace potřebují od státu pomoc. Bylo by však vhodnější, kdyby stát těmto organizacím pomohl zajistit ochranu soukromí, než aby jim snižoval sankce. Snížení sankce pro velké rezorty, jako např. ministerstvo vnitra či ministerstvo financí, je alarmující. U těchto rezortů občan může spravedlivě očekávat, že ochranu soukromí beze zbytku a s plnou odpovědností zajistí.

Žůrek: Každá právní norma, aby byla úplná, musí obsahovat sankci. Právě sankce má za úkol přimět (donutit) adresáty chovat se podle normou nastavených pravidel. Finanční sankce patří obecně mezi nejdůležitější sankce, které právní předpisy obsahují. Nevidím proto důvod, aby některé subjekty byly úplně vyloučeny z možnosti jim udělit finanční sankci, jelikož poté by pro ně právní norma ztratila donucující složku, což by se odrazilo i v jejich liknavém přístupu při plnění povinností, což by byl negativní jev. To i v případě výrazného snížení možné pokuty, např. na částku 5 000 Kč. Nevidím však důvod, proč pro organizace státní správy či samosprávy nemohly být pokuty nastaveny do maximální výše, kterou měl zákon č. 101/2000 Sb., o ochraně osobních údajů, tj. 10 000 000 Kč.

9.Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?

Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.

Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.

Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.

Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.

Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.

10.V poslední době se okolo GDPR rozvinula určitá hysterie. Myslíte, že se skutečně jedná o „GDPR bublinu“? A pokud ano, kdy taková bublina praskne?

Žůrek: Před cca rokem a půl se začalo o GDPR více mluvit a zejména v souvislosti s vysokými sankcemi, které GDPR umožňuje udělit. Tím začal „obchod“ se strachem, kdy byl strach z GDPR přiživován informacemi, jak vysoké pokuty tento předpis uděluje uložit. Někteří lidé v GDPR ucítili šanci a bez nějakých předchozích znalostí či působení v této oblasti se začali vydávat za největší experty na GDPR. Tím, že předtím se této oblasti nevěnovali, tj. neznali ani zákon č. 101/2000 Sb., o ochraně osobních údajů, neznali ani souvislosti a začali GDPR prezentovat jako revoluci (nutno poznamenat, že v základních principech a povinnostech je GDPR stejné jako zmíněný zákon č. 101/2000 Sb.). Zároveň šířili mýty typu, že šifrování je povinné nebo že každý musí mít pověřence pro ochranu osobních údajů, na což Úřad pro ochranu osobních údajů záhy reagoval vydáním dokumentu nazvaného Desatero omylů. Tak se začalo soukolí strachu pomalu rozvíjet a setkali jsme se v rámci konzultační agendy s dotazy typu, jestli děti ještě budou smět si podepsat namalovaný obrázek nebo co je pravdy na tom, že GDPR zakazuje šanony (smějí podepsat a šanony GDPR nezakazuje, jen je nutné dávat pozor na jejich vhodné umístění).

Pattynová: Je to podobné, jako kdyby nově a během krátkého období začala být přísně vynucována jakákoli jiná oblast práva. Pokud by např. dosud daňové předpisy nebyly přísně vynucovány a najednou byly za jejich porušení zavedeny vysoké sankce, způsobilo by to určitou „paniku“. Zkušenosti z jiných přísně vynucovaných oblastí, jako je např. soutěžní či daňové právo, ukazují, že tyto oblasti jsou brány velmi vážně. Myslím, že do budoucna ochrana soukromí, stejně jako soutěžní či daňové právo, bude hrát velkou roli při jakékoli transakci nebo strukturování nového produktu.

Nonnemann: Tato do velké míry skutečně hysterie je podle mého názoru způsobena především dvěma aspekty. Prvním je to, že některé subjekty dosud ochraně osobních údajů nevěnovaly dostatečnou pozornost či dokonce dosavadní právní předpisy přímo ignorovaly a nyní je vyděsily vysoké sankce, které GDPR přináší. Druhým potom skutečnost, že GDPR využila řada subjektů, často bez jakékoliv praktické zkušenosti s ochranou osobních údajů či informací obecně, k agresivnímu nabízení více či méně smysluplných služeb. Bublina jistě splaskne, ale je skutečností, že ochrana osobních údajů jako téma se dostalo na jinou úroveň a bude mu věnována daleko větší pozornost.

Rámiš: Částečně určitě. Na druhé straně tato bublina byla do jisté míry způsobena i tím, že doposud nebyla ochraně osobních údajů věnována taková pozornost, jakou si zasloužila. Zvýšení této pozornosti s sebou ale aktuálně přineslo jeden negativní jev - že se ono pověstné kyvadlo příliš vychýlilo na druhou stranu a na ochranu osobních údajů jsou někdy kladeny nesmyslné požadavky, které ani neodpovídají stanoviskům dozorového orgánu. Doufám, že po 25. 5. se situace uklidní a všichni uvidí, že život jde dál, že GDPR je sice důležitý předpis, ale nemůže zastavit chod společnosti.

Konec třídílného seriálu.

Autoři: ,

CES 2022 - největší veletrh spotřební elektroniky

Veletrh CES je největší událost v oblasti spotřební elektroniky a IT každoročně pořádaný v lednu v Las Vegas.

Další témata: Koronavirus  Omikron  Sonda Parker Solar Probe Dalekohled Jamese Webba 

  • Nejčtenější

Prázdná letadla nad Evropou. Proč létají, i když na tom všichni tratí?

Tisíce poloprázdných nebo úplně prázdných letadel přeletěly v uplynulých měsících nad Evropou a svým způsobem zcela...

Geopolitické šachy: Německo potřebuje F-35 k nesení jaderných zbraní

V Německu se opět rozhořela debata o možném nákupu amerických víceúčelových nadzvukových taktických letadel páté...

Počítač vypnout, uspat nebo hibernovat? Poradíme, co, kdy a proč zvolit

Premium Tuto situaci zná asi každý. Pokud chci přestat používat počítač s operačním systémem Windows, je možné ho vypnout,...

Konec cesty. Nový vesmírný teleskop dosáhl mety 1,5 milionu kilometrů od Země

Cesta vesmírného teleskopu do místa svého operačního prostoru je u konce. Dosáhl pozice 1,5 milionu kilometrů od Země....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Třicet tisíc mil pod mořem. Japonské styky s nacisty byly plné nebezpečí

O zvláštním spojenectví Německa s Japonskem v druhé světové válce se obecně soudí, že mělo jen politický charakter a...

Naši zemi by neubránila ani desetkrát větší armáda, říká armádní generál Opata

Premium Přes tři roky šéfuje armádě a nejvíc mu pije krev byrokracie. Když je nejhůř, oblékne maskáče a vyrazí z kanceláře...

Situace se obrací. Dřív byl vstřícný západ, dnes vyrazte s obytňákem na východ

Premium Nemám rád kempy s jejich davovou atmosférou, hlukem a stísněným prostorem a hotely jsou pro mě nenávratně statické,...

Recept na dlouhověkost? Chirurg Pafko vysvětluje, čím si zkracujeme život

Premium Profesor Pavel Pafko o tom, proč si u televize neotevře lahváč, o malém štěstí pro každý den a taky o poučném úrazu na...

  • Další z rubriky

Ulož.to nabízí 20 GB rychlého stahování. Musíte ovšem nahrát QR kód očkování

Se zajímavým ovšem trochu kontroverzním způsobem podpory očkování přichází portál Ulozto.cz. Každému zájemci, který...

Pozná rostlinu nebo pomůže s matematikou. Google Lens chce ovšem ještě více

Co je toto za rostlinu? Zaujalo vás nějaké oblečení a rádi byste podobné, potřebujete pomoci s úkolem nebo v reálném...

Dvanáctka výborných funkcí Google dokumentů, které možná neznáte

Bezplatný textový editor od Googlu pracující v cloudu je nabitý výkonnými funkcemi. Myslíte, že znáte ty nejlepší z...

Dokážete být na internetu v anonymitě? Speciální mód prohlížeče nepomůže

Premium Většina dnešních internetových prohlížečů má zabudován mód sloužící k procházení internetu v inkognito režimu. Jenže ho...

V obchodním centru Galerie Butovice vyřídíte vše, od pestrého nakupování až po vyzvednutí zásilky na poště
V obchodním centru Galerie Butovice vyřídíte vše, od pestrého nakupování až po vyzvednutí zásilky na poště

Navzdory nepříznivé situaci dnešní doby, otevřelo obchodní centrum Galerie Butovice několik dalších obchodů a rozšířilo svou pestrou nabídku o...

Mysleli, že mám miliony. A já žila na ubytovně, vzpomíná Nicol Lenertová

Premium Na biologického otce si Nicol Lenertová už nevzpomíná, jen říká, že byl pro ni i její mámu nebezpečný. Během dětství...

Survivor: Nahota i pomlouvání Pazderkové za jejími zády, že je labilní

Po odstoupení zpěváka Vojtěcha Drahokoupila kvůli psychickým potížím ze show Survivor se diváci dočkali i prvních...

Do Česka poprvé připlula loď naložená uhlím z Austrálie. Má pomoci Ostravsku

Do Děčína v sobotu ráno poprvé připlula po Labi loď naložená černým uhlím z Austrálie, informovala Česká televize a...

Devadesátky: Hlavně nehraj jako já, řekl Vetchý Bartošovi o společné postavě

Postavu Tomáše Kozáka v Případech 1. oddělení hraje Ondřej Vetchý. V mladší verzi policisty v Devadesátkách se proměnil...

Tereza Ramba prozradila pohlaví i jméno druhého miminka

Herečka Tereza Ramba (32) a tanečník Matyáš Ramba (32) se před pár dny stali rodiči. Novinku se jim podařilo utajit a...