Publikace

Horké jaro s GDPR

09/08/18

Po vlně tropických veder, která zasáhla Českou republiku během letošního jara se snad, až na tak nepodstatnou záležitost jako je stav vody, pomalu vrací vše do normálu. Děti a mládež školou povinnou čeká poslední měsíc, než se ukáže, jak důsledně celý rok plnily své studijní povinnosti a úkoly a po vysvědčení prázdniny a ve snech mnoha rodičů zasloužená okurková sezóna jak pracovní, tak mediální. Poměrně horké jaro zažili také advokáti, zabývající se poskytováním služeb, souvisejících s ochranou osobních údajů a i v tomto případě netrpělivě čekáme na budoucí dny a týdny, které ukáží, jak důsledně jsme odváděli naši práci, jak si naše dobře míněné rady vzali k srdci klienti a jak své úkoly splnila Evropská komise, Pracovní skupina WP 29 a jednotlivé dozorové orgány, u nás ÚOOÚ. Na toto GDPR vysvědčení však budeme čekat o něco déle než školáci a již nyní je jasné, že pokud by se tato rozsáhlá právní změna měla hodnotit jako týmový projekt, na zmrzlinu za vysvědčení v pasáži Světozor rozhodně aspirovat přechod na GDPR nebude.

Byly to právě poslední jarní týdny, které nás nepřestávaly překvapovat zásadními informacemi v oblasti dat. Zhruba měsíc před 25.5. se v tichosti objevilo corrigendum k Nařízení GDPR, v důsledku čehož na krátko zavládla hysterie nejen twitterová. Ačkoliv již ze své povahy, oprava dokumentu neobsahuje nic podstatného, přesto byly v diskuzích o ní překvapivě opomenuty dva skutečně důležité body. Za prvé je to drobná překladová změna, týkající se zpracovatele, který podle úpravy definice v článku 4 Nařízení GDPR již není „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;“, ale „nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje za správce“. Tato úprava je pozitivní v tom, že může vnést pořádek do chaotičnosti výkladů toho, kdo ještě je zpracovatelem a kdo je společným správcem nebo pouhým příjemcem, případně samostatným správcem. Oprava také přivedla pozornost alespoň některých kolegů k tradičnímu problému evropské legislativy, a to je efekt ztraceno v překladu. Pokud jsme v minulosti upozorňovali na skutečnost, že ideu jednotnosti úpravy ochrany osobních údajů v Evropské unii narušují výjimky, jimiž Nařízení GDPR otvírá cestu k, byť omezené, tak přece odlišné, úpravě ochrany osobních údajů v závislosti na volbě konkrétního členského státu, pak diskuze, související s překladovými odchylkami v němčině, francouzštině či holandštině, kterou ve svém článku pro IAPP rozvinul Jeroen Terstegge[1] poukazuje na potenciální nezbytnost v některých případech pracovat s vícero překlady Nařízení GDPR současně.

Této situaci se nevyhne ani český advokát. Pokud například zastupujete mezinárodní společnost, která operuje ve více členských zemích a připravovali jste pokyny pro implementaci GDPR ve více zemích, jistě s touto praxí máte již vlastní bolestné zkušenosti. Pokud jste naopak spolupracovali s českou pobočkou některé z nadnárodních korporací, jste již pravděpodobně obeznámeni s přístupem, obnášejícím rozsáhlou organizační přípravu, posuny termínů jednotlivých projektových fází, snahou o používání právních dokumentů, formulovaných pro jinou jurisdikci, ideálně na celém mezinárodním trhu, a lehce rozpolceným požadavkem absolutního souladu s globální politikou při zohlednění národní právní úpravy, která doposud však nespatřila světlo světa. Česká republika je jednou z osmi zemí, které do 25.5. nezvládli příslušný adaptační zákon připravit. Dalším členy tohoto elitního klubu je Řecko, Kypt, Slovinsko nebo Bulharsko.

Pokud se bavíme o zákonu o zpracování osobních údajů, jeho cesta legislativním procesem je z více či méně pochopitelných důvodů trnitá a nepřestává nás překvapovat ani nyní. Nejčastěji je v této souvislosti skloňována definice nového pojmu veřejný subjekt a spor o výklad související povinnosti ustanovit DPO. Výkon této povinnosti lze doporučit Komisi k zohlednění při vytvoření průběžného porovnání očekávaných úspor ve výši 2,3 miliard EUR s realitou příštích let. Každý, kdo implementoval GDPR se jistě ještě teď hřeje vědomím, jak ušetřil…Nelze se pak divit, že návrh zákona doprovází nespočet iniciativ, jejichž cílem je omezit dopad Nařízení GDPR, či z jeho účinnosti některé skupiny činností zcela vyloučit. Aktuálně je v této oblasti velmi aktivní novinářská obec a čekají nás jistě ještě mnohé zajímavé disputace na téma omezování žurnalismu, svobody projevu a nedostatečné ochrany výkonu žurnalismu, už tak soudy notně podrývaného rozsudky v žalobách na ochranu osobnosti typu Roden.

Denní chléb advokáta je pak provázen praktickými situacemi, se kterými nařízení nemohlo počítat, kdy např. na jedné straně má správce získat dostatečné záruky od zpracovatele a spolupracovat pouze s tím, který poskytuje dostatečnou ochranu osobních údajů, což je požadavek v některých situacích jaksi nutně platonický, pokud správce nechce či nemůže zpracovatele měnit a tento je k požadavkům na poskytnutí záruk hluchý nebo se nestihl na nařízení včas připravit. Lepší možností z pohledu GDPR by pak pravděpodobně mělo být nemít pro konkrétní činnost zpracovatele žádného (tedy tyto činnosti pozastavit) a počkat, dokud se nenajde jiný připravený. Správce se v takovém případě opět jistě potěší tím, jak přerušením procesu, mnohdy pro jeho podnikatelskou činnost zásadního, ušetřil. Zpracovatelé se naopak dostávají do situace, kdy dostávají od správců vlastní návrhy zpracovatelských smluv a tito trvají na uzavření právě těchto ve snaze se chránit v souladu s GDPR. Zpracovatel se tímto postupem dostává do situace, kdy s každým klientem bude mít uzavřenou odlišnou smlouvu na stejnou službu, která je předmětem jeho činnosti. Pokud naopak důsledně připravil návrh dodatku v souladu s GDPR či zcela novou zpracovatelskou smlouvu, kterou svým klientům nabízí, nezřídka bude tato oproti dosavadní situaci předmětem rozsáhlejších požadavků na revize se strany správce.

Není bohužel ani výjimkou, že některé požadavky na provádění gap analýz a přípravu dokumentace k GDPR byly poptávány pouze několik dnů pře 25.5. V takových případech je třeba maximálně využít čas a volit nejprve priority. Představa, že 26.5. začnou hromadné razie ÚOOÚ, jejichž výsledkem bude masové ukládání maximálních pokud podle Nařízení je mylná. Nelze se jí však uklidňovat, protože kdo se nezačal připravovat včas situaci skutečně podcenil.

Podle našich dosavadních zkušeností a na základě informací od kolegů si troufám vznést několik provokativních myšlenek. V České republice po 25.5. zůstává jistě mnoho subjektů, které nejsou dostatečně připraveny a některé bychom našli bez pochyby také ve veřejné správě. Nepochybně je dokonce ještě mnoho subjektů, které si ani nepřipouští, že by se jich GDPR mohlo týkat. Nepochopitelné zpoždění s přípravou nabraly instituce napříč odvětvími i Evropou. S ohledem na investice, vložené do informovanosti obyvatel, je tato skutečnost velmi překvapivá. Teprve závěrečné fáze implementace ukázaly nejvíce praktických limitů Nařízení GDPR. Předpokládám, že zkušenosti z příštích let přinesou střízlivější vnímání GDPR a nezbytný posun v implementaci formou rozsáhlé administrativy. Delší dobu bude bohužel trvat, než se oddělí zrno od plev a mezi mnohými společnostmi, které doslova přes noc zahltily trh v oblasti GDPR služeb, se budou vyskytovat pouze ty skutečně profesionální a spolehlivé. Předpokládám, že mimo příručky, několika infografik a uklidňujících slov paní eurokomisařky, Evropská komise v příštím roce vytvoří nástroj, jehož cílem bude napomoci k minimalizaci nákladů a byrokracie s Nařízením GDPR spojeným. Nějakou dobu bude pravděpodobně probíhat boj o akreditace na udělování GDPR známek. Očekávám také, že mnoho institucí se rozhodne řešit GDPR za pomoci schváleného kodexu, ačkoliv o tom jejich příslušná profesní uskupení zprvu neuvažovala. A pak také předpokládám, že ÚOOÚ bude žádat o podporu finanční i personální, neboť počet nových míst by pro poskytování služeb GDPR byl nedostačující i za normálních okolností, natož pak v situaci, kdy Úřad nemá žádnou možnost, jak se bránit proti záměrnému přehlcování oznámeními incidentů, které povahu ohrožení osobních údajů nemají, podněty subjektů údajů a dotazy správců, kteroužto aktivitu lze očekávat jako zdržovací strategii či „stávkovou“ aktivitu subjektů nespokojených s GDPR. Ačkoliv ÚOOÚ bude v zásadě pracovat (a pravděpodobně i správně trestat) tak jako doposud bez výraznějších změn, teprve jeho rozhodnutí přinesou některé odpovědi, na které stále čekáme.

[1] https://iapp.org/news/a/gdpr-lost-in-translation/

JUDr. Veronika Křížová, LL.M.