Obecné nařízení o ochraně osobních údajů, známé také zkratkou GDPR, které nabylo účinnosti před pěti lety, vedlo k zásadnímu zlepšení standardů ochrany osobních údajů i soukromí obecně. Při příležitosti pětiletého výročí to řekl předseda Úřadu pro ochranu osobních údajů (ÚOOÚ) Jiří Kaucký. Zlepšilo především povědomí o potřebě ochrany dat před jejich zneužitím, jeho pravidla se stala základem pro mnoho nově přijímaných regulací včetně chystaného nařízení o umělé inteligenci.
Přijímání GDPR a jeho aplikaci provázela podle Kauckého z podstatné části oprávněná kritika ohledně byrokratičnosti a formálnosti systému. „Vývoj posledních pěti let ale jasně potvrdil nutnost detailní regulace zpracování osobních údajů zejména u velkých zpracovatelů,“ uvedl Kaucký. Jako příklad uvedl pokutu přes 28 miliard korun společnost Meta Platforms od EU za odesílání informací o uživatelích do USA prostřednictvím své sociální sítě Facebook, nebo případ britské společnosti Cambridge Analytica.
„Velmi dynamický rozvoj informačních technologií vytváří obrovský zájem o osobní data uživatelů internetu a nejrůznějších internetových služeb a pochopitelně hlavně sociálních platforem,“ uvedl Kaucký. „Když se podíváme zpět, nebylo to jen masové zneužívání osobních údajů soukromými zpracovateli. Bylo to také bezprecedentní období covidu-19 a opatření proti němu, které bylo velmi náročné na obrovské objemy osobních údajů zvláštní kategorie, dříve tzv. citlivých osobních údajů, které jsme o sobě museli poskytovat nebo jsme je poskytovali i dobrovolně, jako u nás byla například aplikace eRouška,“ řekl.
Hybridní válka a zvýšené nároky na osobní údaje
Asi nejvíce se podle Kauckého opodstatněnost GDPR projevila poté, co Rusko rozpoutalo hybridní válku proti svobodnému světu, což vedlo k zásadním nárokům na ochranu osobních údajů spojeným se zajištěním kybernetické bezpečnosti. Společným jmenovatelem je ochrana soukromí jednotlivců při obchodování s jejich osobními údaji anebo jejich systémovému ohrožování ze strany států, a to především v digitálním prostoru, uvedl předseda ÚOOÚ.
Hlavním pozitivem GDPR je podle Kauckého standard ochrany v Evropské unii, který je navíc stále zvyšován činností Evropského sboru pro ochranu osobních údajů (EDPB). Dále je to zájem jednotlivců o to, jak s jejich údaji bude nakládáno, a povinnost posuzovat přijímané normy z hlediska vlivu na ochranu osobních údajů u zpracování, které by mohlo představovat vysoké riziko pro práva a svobody lidí, řekl. K negativním zkušenostem s aplikací GDPR zařadil to, že povinnosti se často plní formálně, papírově, bez reflexe skutečnosti. Osobní údaje se často zpracovávají bez zákonného důvodu nebo informování. „Typické jsou pak případy, kdy správce shromažďuje zcela zbytečně příliš velké množství osobních údajů, než skutečně potřebuje pro zvolený účel zpracování,“ dodal Kaucký.
Co je GDPR?
Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation, GDPR) má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Zavádí právo na výmaz či přenos poskytnutých údajů i kontrolu jejich využití.
V českém právním prostředí nařízení od 25. května 2018 nahradilo zákon č. 101/2000 Sb. o ochraně osobních údajů. GDPR platí jednotně ve všech státech EU a na Islandu, v Norsku a Lichtenštejnsku. Týká se ale i společností, které podnikají v tomto prostoru, ale sídlo mají jinde.
Jedním z důvodů, proč byla směrnice přijata, je to, že dosavadní nařízení z roku 1995 přestalo odpovídat současné době, zejména pokud jde o využívané technologie i o obsah zpracování osobních údajů. Dalším důvodem pak byl fakt, že stávající směrnicí nebyla dosažena požadovaná míra sjednocení právní úpravy.
Aktuálním tématem je podle předsedy ÚOOÚ na internetu povolování takzaných cookies při zpracování osobních údajů uživatelů webů. „Problém je v tom, že často ani netušíme, s čím souhlasíme, a právě neustále otravné potvrzování anebo odmítání souhlasu nás nepřímo nutí k tomu dávat souhlasy bezmyšlenkovitě,“ uvedl Kaucký. Jeho úřad proto prosazuje, aby odmítnutí krátkých textových souborů zvaných cookies bylo možné zadat jednou pro dlouhé časové období, například šest měsíců, po které už by se nás provozovatel webu opětovně neměl na souhlas ptát.
„Často narážíme na to, že provozovatelé webů nedávají adekvátně uživatelům možnost odmítnout nahrání souborů cookies, které nejsou nutné pro chod webu, například tím, že ukrývají tuto možnost až v nastavení, kam je nutné se proklikat. Často také vůbec nečekají na souhlas uživatelů a marketingové cookies nahrávají do přístrojů uživatelů již v momentě jejich vstupu na web,“ uvedl Kaucký.
GDPR přes všechna pozitiva podle Kauckého stále tenduje k vysoké formálnosti a byrokratismu a k tomu, že v zásadě není často důležité, co je v něm napsáno, ale jak to interpretují pokyny Evropského sboru pro ochranu osobních údajů. To by bylo dobré zpřesnit, míní Kaucký. Přiblížit by podle něj bylo třeba také vemi odlišné národní úpravy ochrany soukromí například v přestupcích, kontrolách, správních řízeních a jejich soudním přezkumu, neboť současný stav může vést k obtížím při přeshraničním vymáhání.
Zlepšení na unijní úrovni by si podle Kauckého zasluhovalo poměrně obecné vymezení pokut, které mohou dosahovat až čtyři procenta celosvětových příjmů firmy nebo 20 milionů eur (přes 470 milionů Kč). Česká pravidla ochrany soukromí by se podle něj měla upravit například v tom, že ÚOOÚ nemůže pokutovat orgány veřejné správy ani za velká porušení zákona. „Což je dost nefér vůči soukromým zpracovatelům, ale i vůči veřejnosti, protože pak si veřejné subjekty počínají poněkud frivolně,“ dodal Kaucký.
(čtk, epa)