Hlavní navigace

GDPR rok poté: Nesplnitelná právní norma stále nahrává obchodníkům s deštěm

Josef Aujezdský

Málokterá norma vzbudila takové emoce a tolik rozporuplných výkladů jako GDPR. Menší pozornost však už byla věnována jejímu kritickému hodnocení.

Doba čtení: 9 minut

Sdílet

Je tomu přibližně rok, co (nejen) v České republice vrcholila horečka GDPR. Pořádala se setkání, workshopy a konference, rozesílaly se newslettery. Vycházely články se vzájemně rozpornými informacemi. Do našich vsí a měst vyšli proroci zmaru hlásající pokuty ve výši 20 milionů EUR či 4 % z obratu. Každý, kdo byl schopen si vyřídit živnostenské oprávnění, se stal expertem na ochranu osobních údajů a na velikost cookie lišt. Seznámení se se samotným obsahem nového nařízení však nebylo vždy nezbytným předpokladem pro výkon této expertízy. Všem ostatním pak byla dána příležitost si objednat „audit“ (ať už jím bylo myšleno cokoliv), jehož výsledek byl předem znám. Za menší peníz pak bylo možné dojít k rozhřešení i v podobě služby či výrobku označeného nálepkou „GDPR ready“.

Vzhledem k tomu, že už nejtěžší symptomy nemoci opadly, považujeme za přínosné zkrátit si dobu čekání na novou epidemii v podobě nařízení ePrivacy malým bilancováním. V obecné podobě se pokusíme rozvinout několik heretických myšlenek ohledně koncepce GDPR. Předem je určitě vhodné zdůraznit, že záměr směřující k vyšší míře ochrany osobních údajů, a to i s ohledem na neblahý vývoj v některých zemích mimo EU, považujeme za chvályhodný a pro demokratickou společnost nezbytný. Tento záměr tak plně podporujeme.

Nicméně, jak dobře známe také z českého prostředí, samotný chvályhodný záměr v legislativním procesu vždy nestačí, je nutná také správná realizace. Pro ty, kteří se v této subkultuře příliš nepohybují, připomínáme pochmurnou historii nejdůležitější české soukromoprávní normy – občanského zákoníku. Ten byl připraven ve velmi krátké době (s ohledem na význam tohoto kodexu) metodou agilního vývoje, přičemž s účinností k 1. 1. 2014 byl bez náležitého debuggingu uveden v betaverzi do ostrého provozu. „Transakční náklady“ spojené s tímto stavem ponese ještě řada generací. Text GDPR legislativní kvalitou bohužel také zrovna neoplývá.

Hranice v mlze

Nikdo zřejmě pořádně netuší, kde regulace GDPR vlastně končí. Podle čl. 2 odst. 1 se nařízení „vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“ Jedinou zachovanou výjimkou je zpracování „fyzickou osobou v průběhu výlučně osobních či domácích činností“.

V případě, že si tedy někdo v rámci svého povolání schovává vizitky či si ukládá telefonní čísla, měl by při jejich získání od subjektu údajů řádně splnit informační povinnosti dle čl. 13 či čl. 14 GDPR, vést o tomto zpracování záznamy o činnostech zpracování dle čl. 30 GDPR (výjimka dle čl. 30 odst. 5 GDPR se neuplatní, jelikož se jedná o systematickou činnost) a plnit všechny povinnosti v oblasti zabezpečení osobních údajů. Pokud se navíc jedná o kontakty na pracovníky zákazníka, získává tato činnost z pohledu regulace ochrany osobních údajů ještě vyšší úroveň komplexity. Podobných absurdních příkladů lze nalézt nemálo.

V moderní společnosti není příliš právnických osob či podnikajících fyzických osob, které by nevedly nějakou evidenci zákazníků, zaměstnanců či uživatelů obsahující osobní údaje. Regulace v oblasti ochrany osobních údajů je tak prakticky všudypřítomná a dopadá téměř na všechny obory lidské činnosti.

Jediným slabým výkřikem směřujícím k limitaci této bezbřehosti je bod 4 recitálu GDPR, který uvádí, že „zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.“

Nicméně i tato proporcionalita míří spíše do oblasti práv subjektů údajů, a nikoliv směrem k věcnému omezení regulace. K tomuto je pak nutné ještě přičíst extremistické výklady jednotlivých ustanovení GDPR prováděné tzv. Pracovní skupinou 29 (která je nyní označována jako Evropský sbor pro ochranu osobních údajů). Pracovní skupina 29 jakoby odtržena od reality každodenního života téměř pravidelně zaujme tu nejrestriktivnější možnou interpretaci normy (v některých případech i zjevně nad rámec legislativního textu). Tyto výklady pak mají a budou mít podstatný vliv na samotnou dozorovou praxi.

Jeden metr

Na Ministerstvo financí České republiky, na Facebook, Inc., i na krejčího z Čierne pri Čope dopadají formálně stejné povinnosti, přestože charakter jejich činnosti i „společenská nebezpečnost“ jejich zpracování osobních údajů je zcela odlišná. Provozovatel základní školy si tak může dnes hlavu ulámat, na jakém právním základě vlastně zpracovává osobní údaje adolescentů a vůči komu a jak má plnit související informační povinnost. Atletický oddíl provádí komplexní balanční test, aby mohl na základě tzv. oprávněného zájmu archivovat výkony sportovců ve skoku do dálky a nakonec mu nezůstala jen prázdná výsledková listina (v případě, že by subjekty údajů uplatnily právo na výmaz jejich osobních údajů). Funkcionáři zvažují, zdali se vlastně nejedná o informaci ohledně zdravotního stavu, když Láďa běžně běhá stovku pod 12,20 sekund a dneska to měl za 12,75.

„Kriminálního“ jednání s osobními údaji se dopouštělo a dopouští primárně několik mamutích nadnárodních společností. Nicméně vliv nové právní regulace na faktickou stránku této jejich činnosti bude minimální. Ta se ze své podstaty odehrává dlouhodobě mimo zákon, přičemž mohla být postihována už na základě úpravy předchozí. Navíc jako uživatelé krmíme tyto molochy svými osobními údaji většinou zcela dobrovolně a zakázat nám takové „sebepoškozování“ dost dobře nelze.

I jako nepříliš sofistikovaný uživatel internetu asi můžete vytušit, že se něco děje, když se vám i řadu měsíců po návratu ze Španělska zobrazuje reklama na letenky do Madridu a chodí vám nabídky vína z Navarry od provozovatele e-shopu, u kterého jste se před pěti lety omylem zaregistrovali. Není určitě veselé, že boj uživatele proti jeho sledování na internetu vyžaduje nemalou snahu (která navíc není nikdy zcela úspěšná), nicméně na tom GDPR bohužel nic nezmění.

Je také otázkou, zdali je vlastně na místě takové rozhořčení nad chováním korporací, jejichž obchodní model je zjevně a z podstaty založen na exploataci osobních údajů (přestože nemusí být vždy navenek takto transparentně prezentován). Jako znepokojivější by mohly být spíše vnímány nedostatky lidského firmwaru, pokud je během krátké doby možné vymodelovat fanoušky neodolatelné sociopatické strany pouze na základě několika informací o jejich „likes“.

I pokud bude muset mít informační povinnost provozovatele sociální sítě rozsah 500 normostran, nemá tato společensko-politická otázka řešení v oblasti legislativní. Naopak humbuk ohledně GDPR může v této oblasti být i kontraproduktivní, když může v subjektech údajů vzbuzovat falešnou naději, že jejich osobní údaje jsou vlastně nějak „chráněny“.

Nedostižná krása

V souladu se současnými legislativními trendy je také GDPR nesplnitelnou právní normou, a to jak z principu, tak i fakticky. Soulad s GDPR znamená (by design) nikdy nekončící proces zavádění „vhodných technických a organizačních opatření“, a to „s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob“.

Na jednu stranu je to logický přístup zákonodárce, neboť s ohledem na technologický vývoj nelze legislativně předvídat, co bude bezpečnostním standardem za několik let. Na druhou stranu si však většina adresátů normy není jista, jaký je současný standard pro konkrétní zpracování osobních údajů a co mají přesně dělat.

Takovýto stav pak pochopitelně nahrává „obchodníkům s deštěm“, kteří nabízejí správcům a zpracovatelům „zaručená řešení“. Nicméně žádný konkrétní výrobek, software či dokumentace nic nezmění na tom, že s GDPR nelze být nikdy zcela v souladu. Nálepky „GDPR ready“ je tedy možné s klidem umístit na pračku. Za této situace se tak nelze divit racionálnímu přístupu některých správců spočívajícím v plně „papírovém“ řešení. To znamená vygenerování dostatečného objemu textu, ze kterého se může navenek jevit, že pro soulad udělal správce maximum.

I z pohledu faktického je pak v praxi možné narazit na řadu situací, které nemůže správce či zpracovatel při vynaložení rozumných nákladů z praktického pohledu vůbec splnit. Některé z nich jsme nastínili už výše, přičemž se určitě najde řada dalších případů.

Kupříkladu ustanovení čl. 28 odst. 4 GDPR stanoví, že „pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy … stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě … mezi správcem a zpracovatelem.“

To se jeví na první pohled jako logický a jednoduše řešitelný požadavek. Jako zpracovatel prostě vezmu smlouvu, kterou mám se správcem, a uzavřu ji ve stejném znění s dalším zpracovatelem. Nicméně ve většině případů bývá v praxi charakter vztahu mezi správcem a zpracovatelem značně odlišný od vztahu mezi zpracovatelem a dalším zpracovatelem.

Kupříkladu globální provozovatel cloudové služby (jako další zpracovatel) nebude obvykle akceptovat jiné než své standardizované obchodní podmínky. I pokud by se podařilo z nějakého důvodu domluvit s takovým provozovatelem materiálně to samé, co je ve smlouvě mezi správcem a zpracovatelem, nemusí to z formálního pohledu znamenat, že jsou dalšímu zpracovateli uloženy „stejné povinnosti“ ve smyslu čl. 28 odst. 4 GDPR.

Právní vztah s provozovatelem cloudové služby se například může řídit jiným právním řádem než vztah mezi správcem a zpracovatelem, takže i konstrukce odpovědnosti za porušení smlouvy může být zcela odlišná apod. Soulad s tímto ustanovením tak můžeme vyřešit tím, že servery namísto do střeženého datového centra umístíme do naší stodoly.

Nemožnost dosažení souladu s GDPR a neexistence objektivních kritérií pro tento soulad pak pochopitelně také vkládá obrovskou moc do rukou dozorových orgánů (navíc ve spojení s možností likvidačních sankcí). Jak známo, takováto moc může být zejména ve vachrlatých demokraciích využívána k temným účelům. Vždy totiž bude možné nalézt něco, co dělá správce osobních údajů špatně.

V tomto kontextu je nutné nahlížet také na „sebeudavačskou“ povinnost dle čl. 33 GDPR, na základě které by správci měli ohlašovat dozorovému orgánu případy porušení zabezpečení osobních údajů. Vzhledem k legislativní konstrukci odpovědnosti správce bude prakticky každý bezpečnostní incident, který podléhá ohlášení, také porušením správněprávní povinnosti správce (osobní údaje nebyly řádně zabezpečeny). Může tedy vznikat otázka, zdali se vůbec jedná o ústavně konformní regulaci. Konkrétně, zdali se nejedná o rozpor s principem zákazu sebeobviňování.

Čekání na ePrivacy

Jedním z „prodejních“ argumentů nové regulace bylo mimo jiné to, že půjde o plně harmonizovanou úpravu platnou ve všech členských státech EU (odpadnou některé náklady pro subjekty působící ve více zemích atp.). V praxi se však ukázalo, že pokud to se splněním alespoň formálních požadavků GDPR myslí někdo vážně, bude vždy potřebovat lokálního právníka z konkrétní členské země.

Zejména veřejnoprávní normy jednotlivých členských států, na základě kterých často dochází ke zpracování osobních údajů, se totiž podstatně liší. Z mnoha případů je možné zmínit regulaci v oblastech sociálního zabezpečení, zdravotního pojištění, poskytování úvěrů či archivace daňových dokladů. Z tohoto důvodu se pak nutně liší i konkrétní okolnosti zpracování osobních údajů (doba zpracování, kategorie zpracovávaných osobních údajů, právní základy zpracování apod.).

ebf19-tip-firmy

To znamená, že i obsah připravované právní dokumentace k GDPR musí být v jednotlivých zemích jiný. Ne všichni se byli ochotni s tímto stavem smířit. Managementu řady nadnárodních korporací se podařilo tuto zapeklitou situaci úspěšně vyřešit exekutivním rozhodnutím ignorovat realitu. S ohledem na obdobný přístup zákonodárce při přípravě GDPR je to však možné považovat pouze za spravedlivou odplatu.

Málokterá norma vzbudila v českém prostředí takové emoce a tolik rozporuplných výkladů jako GDPR, a to i rámci odborné veřejnosti. Menší pozornost však už byla věnována jejímu kritickému hodnocení. Uvidíme, zdali obdobné vzrušení přinese i chystané nařízení ePrivacy. Jedno je však jisté, pandemie cookie lišt a pop-up oken se tato planeta už jen tak nezbaví.