Jak v Česku funguje GDPR?
GDPR, tedy Obecné nařízení o ochraně osobních údajů, už je v Evropské unii účinné téměř rok. Přineslo s sebou i několik nových povinností, které musejí nejrůznější organizace dodržovat. Vzhledem k tomu, že od osudného 25. května 2018 uplynul téměř rok, se můžeme podrobně podívat na zoubek tomu, co tato legislativní změna přinesla.
V tomto ohledu asi nenajdeme nikoho kompetentnějšího než zástupce Úřadu pro ochranu osobních údajů (ÚOOÚ), který má na starosti právě agendu spojenou s konzultacemi a posuzováním přijatých podnětů a stížností v oblasti ochrany osobních údajů v souvislosti s GDPR a dalšími platnými předpisy. Tím je ředitel odboru konzultačních agend Jiří Žůrek, kterého jsme požádali o rozhovor.
Ochrana osobních údajů je nepochybně důležitá činnost, která byla v České republice řešena ještě před účinností GDPR. Bylo toto řešení nedostatečné, případně co mu scházelo?
Ochrana osobních údajů z legislativního hlediska v České republice existovala už od roku 2000, a to v zákoně č. 101/2000 Sb., o ochraně osobních údajů. Velká část pravidel v GDPR tedy nebyla žádnou novinkou ani revolucí, jak se o tomto nařízení velmi často hovoří. Zákon o ochraně osobních údajů v sobě obsahoval právní úpravu vyplývající z evropské směrnice 95/46/ES (z roku 1995). A z hlediska rozvoje techniky, internetu a sociálních sítí byly roky 1995 a 2000 ve své podstatě „dobou kamennou“, muselo tedy dojít k aktualizaci právního rámce, aby odpovídal digitálnímu rozvoji společnosti. V hledáčku právní regulace jsou dnes v prvé řadě technologické firmy jako Google, Facebook, Apple nebo Microsoft, jejichž hlavní byznys je zpracování informací, respektive osobních údajů. Současná doba si tak GDPR v podstatě vyžádala. GDPR je pouze úpravou pravidel, která už v evropském i českém prostoru platila. Zákon na ochranu osobních údajů již obsahoval většinu povinností, které GDPR v podstatě pouze převzalo. Pro některé správce stanovuje ještě dodatečné povinnosti, typicky třeba potřebu pověřence. Ten se uplatní pouze u orgánů veřejné moci, veřejných subjektů (např. obce, kraje) nebo u organizací, které jako hlavní činnost rozsáhle monitorují subjekty údajů (např. banky) či jako hlavní činnost rozsáhle zpracovávají zvláštní kategorie osobních údajů (např. nemocnice). Co bych ale z nových povinností pro čtenáře vyzdvihl, je zapotřebí mít jasný přehled a vytvořit záznamy o činnostech zpracování a též vědět, že v případě rizikového porušení zabezpečení osobních údajů existuje nová povinnost ohlásit jej dozorovému úřadu. O těchto povinnostech se lze blíže dočíst na www.uoou.cz.
Jak velký byl rozdíl mezi GDPR a předchozí legislativou? Co musely české firmy změnit?
Prvním velkým rozdílem je, že jde o nařízení. Nařízení je na rozdíl od směrnice už samo o sobě použitelné a nemusí být „překlápěno“ do právního řádu jednotlivých členských států. GDPR je tedy jakožto nařízení přímo účinné pro jeho adresáty – správce a zpracovatele osobních údajů, kterým z něj vznikají povinnosti. Na druhé straně pak fyzickým osobám, o nichž jsou osobní údaje zpracovávány, vyvěrají z GDPR určitá práva. To je pro mnoho lidí novinkou, jelikož GDPR je první nařízení, které má celospolečenský dopad.
První informace, která začala o GDPR prosakovat někdy začátkem roku 2017, zněla, že přichází nový předpis, na jehož základě budou udělovány pokuty do výše 20 milionů eur, což je též velký rozdíl od předchozí právní úpravy (zákona o ochraně osobních údajů), podle níž mohla být udělena pokuta pouze do výše 10 milionů korun. Musíme si uvědomit, že na trhu působí i společnosti, které mají tržby v řádech miliard dolarů. A sankce slouží k tomu, aby se adresáti chovali podle pravidel v něm nastavených. Proto, aby byly sankce adekvátní i pro největší firmy na světě, na které se GDPR též vztahuje, musejí být nastaveny v dostatečné výši. Nařízení ale také upravuje okolnosti, které musí vzít dozorový úřad v úvahu – zda vůbec je potřeba sankci udělit a případně také v jaké výši. Rozhodně nejde o nástroj sloužící k likvidaci konkurence.
Museli už jste rozdávat nějaké pokuty? Jaká byla nejvyšší pokuta, kterou jste někomu udělili, a za co?
Úřad se zejména, jak před účinností GDPR, tak i po ní, věnoval osvětové a poradenské činnosti správcům. Pokuty nebyly úplně „na pořadu dne“. K začátku jara 2019 bylo uděleno šest pravomocných pokut, přičemž nejvyšší byla ve výši 30 tisíc korun. Úřad samozřejmě vnímá, že na GDPR je veřejností mnohdy nahlíženo jako na zcela nový právní předpis, a to i ze strany správců a zpracovatelů, kteří se již dříve měli řídit zákonem o ochraně osobních údajů. U méně závažných podezření z porušení GDPR velmi často se správci komunikujeme a usměrňujeme k tomu, aby si na některé věci dávali pozor či je dali do pořádku.
Před datem účinnosti GDPR jste byli pouze v roli poradce pro implementaci nových pravidel, ale teď se z vás stal kontrolor. Jaká pro vás byla tato změna?
My jsme v tomto ohledu žádnou velkou změnu nezaznamenali, protože ÚOOÚ byl a zůstává i nadále dozorovým úřadem, tj. povolán svým charakterem k monitorování a vymáhání souladu s GDPR (dříve zákona o ochraně osobních údajů). Samozřejmě GDPR stanovuje i další úkoly dozorového úřadu, mimo jiné zvyšování povědomí veřejnosti, správců a zpracovatelů. ÚOOÚ není regulátorem, který by mohl vydávat předpisy, jak se má kdo chovat atd. Před účinností GDPR úřad vyvíjel velké úsilí, aby informoval širokou veřejnost a do jisté míry i zmírnil paniku, která se kolem GDPR vytvořila. Byla vydána například Základní příručka k GDPR, transformovali jsme často kladené otázky a vydali další dokumenty související s GDPR. Vystupovali jsme v médiích, objížděli jsme nejrůznější semináře či přednášky. Byla to poměrně hektická doba. Úřad se snažil plnit i edukativní roli jak pro zainteresované osoby, které se stávaly pověřenci, tak i pro laickou veřejnost. Dále jsme vydali třeba Desatero zpracování pro správce, kde je v deseti bodech shrnuto GDPR, a které slouží především nejmenším živnostníkům, aby pro ně GDPR nebylo zbytečným strašákem.
Jak probíhá typická kontrola ve firmě? Jak se rozhoduje, kterou firmu budete zrovna kontrolovat?
Procesně se kontrola samozřejmě řídí zákonem č. 255/2012 Sb., o kontrole. Tam se v podstatě nic nezměnilo. Nejvíce ale všechny zajímá, jakým způsobem se ÚOOÚ rozhoduje, ke komu na kontrolu vůbec dorazí. Nejčastěji je to na základě podnětu či stížnosti, které vyhodnocuje odbor konzultačních agend. Náš odbor podnět zhodnotí a potom rozhodne, zda jej postoupíme kontrolnímu odboru k dalšímu řešení, nebo jestli napíšeme stěžovateli, že v tomto případě nejde o porušení GDPR či jiného ze zákonů, jejichž dodržování máme kontrolovat. Úřad může během vyhodnocování stížnosti také v případě menších pochybení či podezření zaslat správcům či zpracovatelům osobních údajů, jichž se daný podnět týká, tzv. informativní dopis. V něm informuje o možném porušení či problému a dává i určitá doporučení. Takto lze vyřešit mnoho „bagatelních“ stížností ku prospěchu všech zainteresovaných stran. Nesaháme tedy ihned ke kontrolám a správním řízením tam, kde to není nezbytné či odůvodněné, ale naopak se i tímto způsobem snažíme provádět osvětu.
Druhým možným důvodem ke kontrole je kontrolní plán, který se každoročně připravuje. Vytipují se oblasti, které je zapotřebí zkontrolovat, a z nich se pak zvolí několik konkrétních správců nebo zpracovatelů. Typickým příkladem může být oblast věrnostních programů. Ty jsou poměrně rozšířené, lze je i vhodně vymezit. ÚOOÚ si v takovém případě pak určí dva nebo tři správce, u nichž provede kontrolu. Výhodou takového postupu je, že ÚOOÚ díky těmto kontrolám získá informace o způsobu zpracování v daném odvětví či sektoru, které může následně vhodně využít.
Třetím typem jsou tzv. „ad hoc“ kontroly, které se nezakládají na plánu ani na podnětu, ale informace se úřadu donesou jinou cestou – typickým příkladem jsou informace z médií. Když zmíněné okolnosti zasluhují, aby byl daný správce prověřen, pak může úřad provést i kontrolu.
Když k někomu vyšleme kontrolu, neznamená to zákonitě, že daný správce porušil GDPR. Kontrolou se zjišťuje skutečný stav. Ten je následně právně vyhodnocen a kontrolovaný správce se dozví, zda se dopustil nějakého porušení GDPR. Úřad pak může např. správci nařídit, aby vše uvedl do souladu s GDPR, nebo zjistí, že se nic nestalo, a správci tak nevznikají žádné problémy. Pokuty jsou pouze jedním z několika nápravných opatření, k nimž může úřad sáhnout. GDPR není o udělování sankcí, ale o tom přimět správce, aby se k osobním údajům chovali korektně. Navíc díky tomu, že je nařízení koncipováno jako obecné, existuje větší prostor pro argumentaci v jeho právním výkladu, a tudíž je zde často větší šance, že si správci mohou své jednání před kontrolorem obhájit.
Váš odbor se zabývá také konzultacemi. Co konkrétně tato činnost obnáší?
Odbor konzultačních agend má dvě stěžejní agendy. První představuje poskytování konzultací správcům a zpracovatelům a v současné době především pověřencům pro ochranu osobních údajů. Konzultacím s nimi proto dáváme prioritu, protože jde o osoby, které mají stěžejní roli v oblasti ochrany osobních údajů u správců či zpracovatelů. Proto je důležité pověřencům věnovat pozornost. A pověřenci jsou také ti, kdo ve značné míře kultivují prostředí. To ale neznamená, že neodpovídáme na dotazy i dalším tazatelům. A mimoto samozřejmě uvádíme informace na webových stránkách a v nejrůznějších publikacích. Druhou podstatnou část naší agendy tvoří právě stížnosti a podněty, které jsem již zmínil. Náš odbor také mimo jiné vyřizuje agendu spojenou se zákonem č. 106/1999 Sb., o svobodném přístupu k informacím.
Už uplynul téměř rok od data účinnosti GDPR. Můžete toto období nějak zhodnotit?
GDPR z velké části přispělo ke kultivaci prostředí zpracování osobních údajů. To lze vnímat jako velké pozitivum. Osobně mám dobré pocity z práce pověřenců, kdy někteří z nich např. na úrovni ministerstev či obcí, ale i v soukromém sektoru, odvádí skutečně dobrou práci a naplňují smysl pověřence. Myslím ale, že i ÚOOÚ velkou měrou přispěl ke zmíněné kultivaci, např. právě informováním veřejnosti, pořádáním několika seminářů pro pověřence a dalšími svými aktivitami a postupy. Na druhou stranu lze za jisté negativum GDPR považovat některé až úplně zbytečné kroky organizací, např. školek, které přistoupily z důvodu obav z GDPR k využívání přezdívek pro děti i pro agendy, kde používání jejich jmen a příjmení bylo a má být běžné a GDPR tomu rozhodně nebrání. Tyto excesy, které nejsou ani tak porušením GDPR, ale spíš jsou negativní ve vztahu k chápání ochrany osobních údajů veřejností, jsou však ojedinělé a rozhodně nejsou pravidlem.
Kolik firem se vám podařilo zkontrolovat během prvního roku s GDPR?
Kontroly dodržování GDPR samozřejmě probíhají, resp. probíhaly i v roce 2018. Musíme však zohlednit, že rok 2018 byl poměrně specifický rok, kdy často kontroly probíhaly vůči zpracování ještě za plné účinnosti zákona o ochraně osobních údajů. Za rok 2018 jsme pro představu museli řešit přes 3 600 podnětů a stížností. Dotazů a konzultací jsme měli přes 4 000. Konkrétní statistiky a závěry kontrol vydáváme každoročně ve svých výročních zprávách. Už od konce února se tak může na našem webu kdokoliv podívat na Výroční zprávu 2018. Všechna práce začíná už na našem odboru, kdy selektujeme nejzávažnější podezření z porušení, jimiž by se měl úřad zabývat. Kontrolní obor pak musí zvolit účinný postup. Jak jsem již řekl, nemusí být vždy zahájena kontrola. I my pak musíme svou činnost nějakým způsobem nastavit a zefektivnit.
Jsou nějaké aktuality v oblasti GDPR? Změnilo se něco ode dne jeho účinnosti?
Nařízení GDPR ve své podstatě už má přímou účinnost a nemusí být nijak překlápěno do zákonů jednotlivých zemí Evropské unie, ale na druhou stranu právě proto, že GDPR platí pro celou unii bez jakékoliv vazby na lokální legislativu, musí být přijat tzv. adaptační zákon, který připraví právní řád na dopad účelného nařízení. Čeští zákonodárci jej bohužel nestihli vydat k datu účinnosti GDPR, nicméně na jaře 2019 zákon prošel celým legislativním procesem (pozn. red.: v době konání rozhovoru se čekalo pouze na podpis prezidenta republiky Miloše Zemana a podle všech předpokladů by měl být schválen ještě před 25. květnem 2019, tedy rok po začátku účinnosti GDPR). Běžnému správci tento zákon nepřinese skoro žádné novinky. Jde pouze o doplněk k GDPR, ne o svébytný zákon, jako byl zákon o ochraně osobních údajů, který byl adaptačním zákonem zrušen. Adaptační zákon například upřesňuje, kdo z orgánů veřejné moci nebo veřejných subjektů musí mít pověřence, případně je zprošťuje správního trestání. Samozřejmě každý si musí ověřit, zda právě u něj nejsou určitá specifika, na která se některá ustanovení adaptačního zákona mohou vztahovat.