Podnikatelé budou za porušení GDPR trestáni přísně, úřady výrazně méně

,
Jedním z mýtů spojených se zavedením GDPR je nemožnost nadále oslovovat obchodní partnery e-mailovým newsletterem. Není to pravda. Co naopak mýtus není, je fakt, že postihy za porušení předpisu budou pro podnikatele přísné a pro úřady výrazně menší. Odborníci s tím ne vždy souhlasí.
Ilustrační snímek

Ilustrační snímek | foto:  Jan Zátorský, MAFRA

První a druhý díl speciálu GDPR najdete zde a zde.

Na aktuální otázky týkající se GDPR jsme se zeptali čtyř odborníků, kteří se ochranou osobních údajů zabývají. Odpovídají Jiří Žůrek z Úřadu pro ochranu osobních údajů, Jana Pattynová z advokátní kanceláře Pierstone, František Nonnemann z MONETA Money Bank a Vladan Rámiš z MAFRA.

7. Kde vidíte pro stát/ÚOOÚ prostor pro to, aby mohl přispět k efektivnímu a hospodárnému plnění povinností v oblasti ochrany dat?

Žůrek: GDPR je komplexní právní předpis, který ochranu osobních údajů při jejich zpracování posunul do oblasti „řemesla“. Prostor proto vidím pro zevšeobecňování jeho pravidel tak, aby malí správci nebyli zatěžováni nutností studovat obsáhlý a složitý předpis, ale měli jednoduchý návod, co musí dodržovat. Úřad pro ochranu osobních údajů na tento požadavek reagoval vydáním Desatera zpracování pro správce, které vystihuje nejdůležitější povinnosti a principy, na kterých ochrana osobních údajů při zpracování stojí. Dále lze čerpat zevšeobecněné informace ze Základní příručky k GDPR, též dostupné na www.uoou.cz. Tyto internetové stránky doporučuji všem, jelikož tam „své“ informace nalezne každý. Tím, že Úřad pro ochranu osobních údajů není regulátor, ale dozorový úřad, je zde rozhodně prostor pro větší aktivitu jednotlivých ministerských resortů nebo sdružení, asociace správců, které mohou zainteresovaným subjektům být nápomocni při řešení jejich typických problémů. Po účinnosti GDPR bude prostor i pro to, aby Úřad pro ochranu osobních údajů prokázal rozumný přístup v uplatňování dozorových pravomocí (zejména nápravných), což ostatně předem deklaroval.

Rámiš: Určitě jak před ÚOOÚ, tak před příslušnými ministerstvy stojí velký úkol v oblasti prevence a osvěty. Bohužel ne vždy jsou doporučení a stanoviska zejména jednotlivých ministerstev zcela v souladu s GDPR. Náš Spolek pro ochranu osobních údajů již k několika takovým materiálům připravil kritické připomínky. Velmi přínosné by bylo, pokud by ústřední orgány státní správy svoje návrhy stanovisek k GDPR dávaly odborné veřejnosti předem k veřejné diskuzi, jako to začal dělat právě ÚOOÚ.

Nonnemann: Bohužel ne všechny resorty dokázaly během dvou uplynulých let analyzovat svoji sektorovou legislativu a připravit návrh na úpravu tam, kde je to nezbytné pro aplikaci GDPR jako přímo účinného nařízení. Řadu nepřesností či nesouladů bude nutno překonávat výkladem, což právní jistotě adresátů práva nepřispěje. Jednotlivé resorty by podle mého názoru měly aktivněji vystupovat při nastavování pravidel pro zpracování osobních údajů v rámci svého sektoru, protože Úřad pro ochranu osobních údajů je a zůstane dozorovým úřadem, není regulátorem, a pravidla pro zpracování dat by obecně nastavovat neměl. Od Úřadu pro ochranu osobních údajů potom v souladu s řadou vyjádření jeho představitelů v uplynulém období s důvěrou očekávám racionální a spravedlivý výklad nařízení a souvisejících předpisů.

Pattynová: Považuji za důležité, aby velké rezorty, finanční správa, nemocnice, školy a další pro občana klíčové instituce, dokázaly transparentně komunikovat, jak nakládají s daty občanů, a aby občané získali důvěru, že stát chrání jejich soukromí. Máme nedávnou zkušenost s totalitním režimem a související kritický pohled na státní instituce; GDPR je příležitostí pracovat na vztahu důvěry mezi občanem a státem. Pokud jde o ÚOOÚ, tak občané i soukromé firmy budou kriticky hodnotit, do jaké míry je GDPR vynucováno stejně ve veřejném i soukromém sektoru.

8. Souhlasíte s navrhovaným výrazným snížením sankcí pro státní správu a samosprávu?

Rámiš: Z mého pohledu je to přínosné, protože cílem předpisů o ochraně osobních údajů by mělo být chránit skutečně údaje v rámci procesu nakládání s nimi a ne plnit státní rozpočet. Na druhé straně, pokud dojde ke snížení pokut pro státní správu, jen obtížně se bude obhajovat praxe, kdy by za typově stejné porušení GDPR dostal podnikatel řádově vyšší sankce než orgán veřejné správy.

Nonnemann: Ne, nesouhlasím. Je pravdou, že otázka, zda má být veřejný sektor či veřejná správa jako taková za porušení práva finančně postižena, není jednoznačná, nicméně měla by být řešena komplexně a systematicky, nikoliv na základě mediální kampaně ad hoc u jednoho z řady předpisů upravujících veřejnoprávní dozor. A navíc, pokud se podíváme do historie dozorové činnosti Úřadu pro ochranu osobních údajů, vidíme, že ty nejvyšší sankce za významná porušení pravidel pro zpracování osobních údajů dostávaly často právě orgány státní správy. 

Pattynová: Z hlediska důvěry podnikatelů ve spravedlivé legislativní prostředí to není ideální řešení. Snížením sankcí stát komunikuje, že sám není plně připraven chránit soukromí občanů a nechce v této oblasti nést plnou odpovědnost. Podnikatelé vynakládající velké prostředky na ochranu soukromí budou těžko akceptovat, že stát nechce nést stejné břemeno. Rozumím, že obce, malé školy a jiné menší organizace potřebují od státu pomoc. Bylo by však vhodnější, kdyby stát těmto organizacím pomohl zajistit ochranu soukromí, než aby jim snižoval sankce. Snížení sankce pro velké rezorty, jako např. ministerstvo vnitra či ministerstvo financí, je alarmující. U těchto rezortů občan může spravedlivě očekávat, že ochranu soukromí beze zbytku a s plnou odpovědností zajistí.

Žůrek: Každá právní norma, aby byla úplná, musí obsahovat sankci. Právě sankce má za úkol přimět (donutit) adresáty chovat se podle normou nastavených pravidel. Finanční sankce patří obecně mezi nejdůležitější sankce, které právní předpisy obsahují. Nevidím proto důvod, aby některé subjekty byly úplně vyloučeny z možnosti jim udělit finanční sankci, jelikož poté by pro ně právní norma ztratila donucující složku, což by se odrazilo i v jejich liknavém přístupu při plnění povinností, což by byl negativní jev. To i v případě výrazného snížení možné pokuty, např. na částku 5 000 Kč. Nevidím však důvod, proč pro organizace státní správy či samosprávy nemohly být pokuty nastaveny do maximální výše, kterou měl zákon č. 101/2000 Sb., o ochraně osobních údajů, tj. 10 000 000 Kč.

9. Jedním z mýtů, které se často šíří v souvislosti s GDPR, je nemožnost kontaktovat obchodní partnery e-mailovým newsletterem bez jejich souhlasu. Jak se k tomu staví GDPR?

Žůrek: Šíření obchodních sdělení je předmětem úpravy jiných předpisů, než je GDPR. Jde o zákon č. 480/2004 Sb., o některých službách informační společnosti, který vychází z evropské směrnice, která se zkráceně nazývá ePrivacy směrnice a jejímž účelem je i chránit soukromí v elektronické komunikaci a uživatele chránit před zahlcením elektronických kontaktů obchodními sděleními. Právě kvůli tomu, abychom neměli naše elektronické kontakty zahlceny, jsou stanovena pravidla pro jejich šíření.

Pokud jde o GDPR, to konstatuje, že zpracování osobních údajů v souvislosti s přímým marketingem může být oprávněným zájmem správce. Tento zájem bude zpravidla platit vůči zákazníkům. Rozhodně je nutné se vyvarovat šířit obchodní sdělení na kontakty z koupené databáze, jelikož samotné koupení databáze šiřiteli nedává oprávnění na kontakty v ní obsažené šířit obchodní sdělení. Pokud obchodník získá v souvislosti s prodejem výrobku nebo služby elektronický kontakt zákazníka, může na tento kontakt zasílat obchodní sdělení týkající se jeho vlastních výrobků nebo služeb. K tomu souhlas nepotřebuje. Musí však dát zákazníkovi možnost takové zasílání odmítnout.

Pattynová: Jádrem této problematiky je definice „obchodních partnerů“, tedy koho je možné s obchodními nabídkami bez jeho souhlasu kontaktovat. Kontaktování stávajících případně bývalých zákazníků považuji za přípustné. Pokud si podnikatel vytvoří (případně koupí) databázi potenciálních obchodních partnerů a ty kontaktuje s nabídkou či newsletterem, považuji to za nepřípustné. Život samozřejmě přináší situace v šedé zóně mezi těmito extrémy – kontakty z vizitek posbírané na konferencích, kontakty z neznámého zdroje apod. Doporučuji tyto kontakty kriticky projít. Pokud v minulosti z těchto kontaktů nevzešly obchodní příležitosti, může být vhodnější na ně další komunikaci nesměřovat.

Nonnemann: GDPR se k tomu nestaví nijak, protože se uplatní zvláštní právní úprava vycházející právě z dříve míněné ePrivacy směrnice. Tou je zákon č. 480/2004 Sb. V obecné rovině lze konstatovat, že GDPR označuje zpracování osobních údajů za účelem přímého marketingu za zpracování, které lze, samozřejmě do určité míry, provádět na základě oprávněného zájmu správce, tedy bez souhlasu adresáta marketingového sdělení.

Rámiš: Tuto problematiku řeší primárně směrnice ePrivacy a zákon č. 480/2004 Sb. Na dosavadní praxi ohledně zasílání e-mailů s nabídkami podobného zboží obchodním partnerům se tak nic nebude měnit a bude postačovat tzv. opt-out, tedy možnost kdykoliv další zasílání odmítnout.

10. V poslední době se okolo GDPR rozvinula určitá hysterie. Myslíte, že se skutečně jedná o „GDPR bublinu“? A pokud ano, kdy taková bublina praskne?

Žůrek: Před cca rokem a půl se začalo o GDPR více mluvit a zejména v souvislosti s vysokými sankcemi, které GDPR umožňuje udělit. Tím začal „obchod“ se strachem, kdy byl strach z GDPR přiživován informacemi, jak vysoké pokuty tento předpis uděluje uložit. Někteří lidé v GDPR ucítili šanci a bez nějakých předchozích znalostí či působení v této oblasti se začali vydávat za největší experty na GDPR. Tím, že předtím se této oblasti nevěnovali, tj. neznali ani zákon č. 101/2000 Sb., o ochraně osobních údajů, neznali ani souvislosti a začali GDPR prezentovat jako revoluci (nutno poznamenat, že v základních principech a povinnostech je GDPR stejné jako zmíněný zákon č. 101/2000 Sb.). Zároveň šířili mýty typu, že šifrování je povinné nebo že každý musí mít pověřence pro ochranu osobních údajů, na což Úřad pro ochranu osobních údajů záhy reagoval vydáním dokumentu nazvaného Desatero omylů. Tak se začalo soukolí strachu pomalu rozvíjet a setkali jsme se v rámci konzultační agendy s dotazy typu, jestli děti ještě budou smět si podepsat namalovaný obrázek nebo co je pravdy na tom, že GDPR zakazuje šanony (smějí podepsat a šanony GDPR nezakazuje, jen je nutné dávat pozor na jejich vhodné umístění).

Pattynová: Je to podobné, jako kdyby nově a během krátkého období začala být přísně vynucována jakákoli jiná oblast práva. Pokud by např. dosud daňové předpisy nebyly přísně vynucovány a najednou byly za jejich porušení zavedeny vysoké sankce, způsobilo by to určitou „paniku“. Zkušenosti z jiných přísně vynucovaných oblastí, jako je např. soutěžní či daňové právo, ukazují, že tyto oblasti jsou brány velmi vážně. Myslím, že do budoucna ochrana soukromí, stejně jako soutěžní či daňové právo, bude hrát velkou roli při jakékoli transakci nebo strukturování nového produktu.

Nonnemann: Tato do velké míry skutečně hysterie je podle mého názoru způsobena především dvěma aspekty. Prvním je to, že některé subjekty dosud ochraně osobních údajů nevěnovaly dostatečnou pozornost či dokonce dosavadní právní předpisy přímo ignorovaly a nyní je vyděsily vysoké sankce, které GDPR přináší. Druhým potom skutečnost, že GDPR využila řada subjektů, často bez jakékoliv praktické zkušenosti s ochranou osobních údajů či informací obecně, k agresivnímu nabízení více či méně smysluplných služeb. Bublina jistě splaskne, ale je skutečností, že ochrana osobních údajů jako téma se dostalo na jinou úroveň a bude mu věnována daleko větší pozornost.

Rámiš: Částečně určitě. Na druhé straně tato bublina byla do jisté míry způsobena i tím, že doposud nebyla ochraně osobních údajů věnována taková pozornost, jakou si zasloužila. Zvýšení této pozornosti s sebou ale aktuálně přineslo jeden negativní jev - že se ono pověstné kyvadlo příliš vychýlilo na druhou stranu a na ochranu osobních údajů jsou někdy kladeny nesmyslné požadavky, které ani neodpovídají stanoviskům dozorového orgánu. Doufám, že po 25. 5. se situace uklidní a všichni uvidí, že život jde dál, že GDPR je sice důležitý předpis, ale nemůže zastavit chod společnosti.

Konec třídílného seriálu.

Nejčtenější

Modelář zastavil čas. Převoz skruže na vodní dílo Orlík vtáhne do historie

Soutěž

V seriálu Příběh mého modelu se tentokrát pokocháme diorámou, se kterou se s námi podělil modelář Jiří Poch. Rozhodl se ztvárnit skutečný historický okamžik a použít zajímavé výtvarné techniky. Dále...

ANALÝZA: Tragédie letu Air India. Je na vině chyba pilotů, nebo selhání motorů?

Nad Ahmadábádem se ještě nerozptýlil dým po výbuchu zhruba 126 tisíc litrů leteckého paliva a hned jsme měli možnost číst výčet možných příčin katastrofy letu Air India AI-171. S delším časovým...

Aviatická pouť předvedla premiéry hned tří letounů: Hurricane, Anson a Skyfox

Letošní Aviatická pouť nabídla nejen zajímavé letecké premiéry. I přes složité meteorologické podmínky se opět organizátorům podařilo sestavit a dodržet nabitý program. Ohlédněme se za minulým...

Na miniželeznici o rozchodu 381 mm jezdil za války nejmenší obrněný vlak

Cesty železniční jsou nevyzpytatelné. V tomto oboru vznikalo kdeco zvláštního, co dokázalo člověka usedlejšího tu více, tu méně překvapit. A to ať už se jednalo o nestandardní samotné dráhy, či o...

Příběh mého modelu: Dokončit model „Turbíka“ trvalo čtvrt století

Soutěž

Než něco vyhodíte, dobře si to rozmyslete. To platí i v modelařině. Tento příběh odloženého a znovu nalezeného modelu nám poslal Lukáš Ondák. Po 26 letech se vrátil ke stavbě modelu stroje Let L-410...

Potvrzeno! Známe místo, kde leží vrak lodi Endeavour kapitána Cooka

Po více než čtvrt století výzkumu oznámili australští archeologové, že vrak s označením RI 2394 v přístavu Newport na americkém Rhode Islandu je skutečně lodí, která psala historii námořních objevů....

19. června 2025  17:06

Muskova největší loď Starship vybuchla už při testech na zemi

Příprava na jubilejní desátý testovací let kompletu Super Heavy a Starship se poněkud opozdí. Může za to neúspěšný test lodi Starship, která se podrobila tzv. statickému zážehu, což je standardní...

19. června 2025  9:50

Modelář zastavil čas. Převoz skruže na vodní dílo Orlík vtáhne do historie

Soutěž

V seriálu Příběh mého modelu se tentokrát pokocháme diorámou, se kterou se s námi podělil modelář Jiří Poch. Rozhodl se ztvárnit skutečný historický okamžik a použít zajímavé výtvarné techniky. Dále...

19. června 2025

Na miniželeznici o rozchodu 381 mm jezdil za války nejmenší obrněný vlak

Cesty železniční jsou nevyzpytatelné. V tomto oboru vznikalo kdeco zvláštního, co dokázalo člověka usedlejšího tu více, tu méně překvapit. A to ať už se jednalo o nestandardní samotné dráhy, či o...

18. června 2025

Thajsko nakoupí gripeny modernizovaných verzí E/F. Má k tomu dobrý důvod

Královské thajské letectvo vybralo jako svou příští novou stíhačku švédské letouny JAS 39 Gripen. Dalo jim přednost před poslední variantou typu F-16. Nákup musí ještě schválit vláda. Teprve pak...

18. června 2025

Plyn už nebude zbraní. Před 100 lety svět zakázal chemické a biologické útoky

Dne 17. června 1925 podepsalo v Ženevě 38 států zásadní dokument – protokol o zákazu použití dusivých plynů a bakteriologických metod vedení války. Šlo o první vážný mezinárodní krok ke kontrole...

17. června 2025

Ruš, nebo budeš zrušen. Na Ukrajině probíhá revoluce elektronického boje

Od našich zpravodajů na Ukrajině Je to neviditelná součást války, ale možná nejdůležitější. S masivním nasazením dronů na Ukrajině se pojí i revoluce v elektronickém boji, obě strany se neustále snaží překonat protivníkovy rušičky a...

17. června 2025

Příběh mého modelu: Dokončit model „Turbíka“ trvalo čtvrt století

Soutěž

Než něco vyhodíte, dobře si to rozmyslete. To platí i v modelařině. Tento příběh odloženého a znovu nalezeného modelu nám poslal Lukáš Ondák. Po 26 letech se vrátil ke stavbě modelu stroje Let L-410...

17. června 2025

Kdy sopka vybuchne znovu? Červnová erupce Etny ukázala, že stromy napovědí

Premium

Pozoruhodný objev: krátce před erupcí vulkánu bývá listí na okolních stromech zelenější než obvykle. Vegetace v okolí sopek se proto bude hlídat z vesmíru. Sopky jsou fascinující. Nespoutané a...

16. června 2025

Před sto lety vznikl tábor Artěk, pionýrská legenda na Krymu

16. června 1925 se na Krymu otevřel první sovětský pionýrský tábor Artěk. Zdravotní zařízení pro děti nemocné tuberkulózou se postupně proměnilo v prestižní rekreační centrum mládeže, kam jezdily...

16. června 2025

Videochat dostává novou, ale drahou dimenzi. „Přenese“ vás do místnosti

Nepotřebujete žádné brýle s virtuální nebo rozšířenou realitou ani sluchátka, abyste měli pocit, že člověk s nímž komunikujete, opravdu sedí na druhém konci stolu. Zařízení HP Dimension s Google Beam...

16. června 2025

Firma shání legendární stíhačky Phantom. Chce je používat k vypouštění družic

Potřebujete dostat nějaký drobný náklad na nízkou oběžnou dráhu Země? Brzo se budete moci obrátit na americkou společnost Starfighters International. Chce nakoupit flotilu legendárních námořních...

16. června 2025
Nastavte si velikost písma, podle vašich preferencí.