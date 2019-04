Na Ministerstvo financí České republiky, na Facebook, Inc., i na krejčího z Čierne pri Čope dopadají formálně stejné povinnosti, přestože charakter jejich činnosti i „společenská nebezpečnost“ jejich zpracování osobních údajů je zcela odlišná. Provozovatel základní školy si tak může dnes hlavu ulámat, na jakém právním základě vlastně zpracovává osobní údaje adolescentů a vůči komu a jak má plnit související informační povinnost. Atletický oddíl provádí komplexní balanční test, aby mohl na základě tzv. oprávněného zájmu archivovat výkony sportovců ve skoku do dálky a nakonec mu nezůstala jen prázdná výsledková listina (v případě, že by subjekty údajů uplatnily právo na výmaz jejich osobních údajů). Funkcionáři zvažují, zdali se vlastně nejedná o informaci ohledně zdravotního stavu, když Láďa běžně běhá stovku pod 12,20 sekund a dneska to měl za 12,75.

Je tomu přibližně rok, co (nejen) v České republice vrcholila horečka GDPR . Pořádala se setkání, workshopy a konference, rozesílaly se newslettery. Vycházely články se vzájemně rozpornými informacemi. Do našich vsí a měst vyšli proroci zmaru hlásající pokuty ve výši 20 milionů EUR či 4 % z obratu. Každý, kdo byl schopen si vyřídit živnostenské oprávnění, se stal expertem na ochranu osobních údajů a na velikost cookie lišt. Seznámení se se samotným obsahem nového nařízení však nebylo vždy nezbytným předpokladem pro výkon této expertízy. Všem ostatním pak byla dána příležitost si objednat „audit“ (ať už jím bylo myšleno cokoliv), jehož výsledek byl předem znám. Za menší peníz pak bylo možné dojít k rozhřešení i v podobě služby či výrobku označeného nálepkou „GDPR ready“.

I jako nepříliš sofistikovaný uživatel internetu asi můžete vytušit, že se něco děje, když se vám i řadu měsíců po návratu ze Španělska zobrazuje reklama na letenky do Madridu a chodí vám nabídky vína z Navarry od provozovatele e-shopu, u kterého jste se před pěti lety omylem zaregistrovali. Není určitě veselé, že boj uživatele proti jeho sledování na internetu vyžaduje nemalou snahu (která navíc není nikdy zcela úspěšná), nicméně na tom GDPR bohužel nic nezmění.

Je také otázkou, zdali je vlastně na místě takové rozhořčení nad chováním korporací, jejichž obchodní model je zjevně a z podstaty založen na exploataci osobních údajů (přestože nemusí být vždy navenek takto transparentně prezentován). Jako znepokojivější by mohly být spíše vnímány nedostatky lidského firmwaru, pokud je během krátké doby možné vymodelovat fanoušky neodolatelné sociopatické strany pouze na základě několika informací o jejich „likes“.

I pokud bude muset mít informační povinnost provozovatele sociální sítě rozsah 500 normostran, nemá tato společensko-politická otázka řešení v oblasti legislativní. Naopak humbuk ohledně GDPR může v této oblasti být i kontraproduktivní, když může v subjektech údajů vzbuzovat falešnou naději, že jejich osobní údaje jsou vlastně nějak „chráněny“.

Nedostižná krása

V souladu se současnými legislativními trendy je také GDPR nesplnitelnou právní normou, a to jak z principu, tak i fakticky. Soulad s GDPR znamená (by design) nikdy nekončící proces zavádění „vhodných technických a organizačních opatření“, a to „s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob“.

Na jednu stranu je to logický přístup zákonodárce, neboť s ohledem na technologický vývoj nelze legislativně předvídat, co bude bezpečnostním standardem za několik let. Na druhou stranu si však většina adresátů normy není jista, jaký je současný standard pro konkrétní zpracování osobních údajů a co mají přesně dělat.

Takovýto stav pak pochopitelně nahrává „obchodníkům s deštěm“, kteří nabízejí správcům a zpracovatelům „zaručená řešení“. Nicméně žádný konkrétní výrobek, software či dokumentace nic nezmění na tom, že s GDPR nelze být nikdy zcela v souladu. Nálepky „GDPR ready“ je tedy možné s klidem umístit na pračku. Za této situace se tak nelze divit racionálnímu přístupu některých správců spočívajícím v plně „papírovém“ řešení. To znamená vygenerování dostatečného objemu textu, ze kterého se může navenek jevit, že pro soulad udělal správce maximum.

I z pohledu faktického je pak v praxi možné narazit na řadu situací, které nemůže správce či zpracovatel při vynaložení rozumných nákladů z praktického pohledu vůbec splnit. Některé z nich jsme nastínili už výše, přičemž se určitě najde řada dalších případů.

Kupříkladu ustanovení čl. 28 odst. 4 GDPR stanoví, že „pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy … stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě … mezi správcem a zpracovatelem.“

To se jeví na první pohled jako logický a jednoduše řešitelný požadavek. Jako zpracovatel prostě vezmu smlouvu, kterou mám se správcem, a uzavřu ji ve stejném znění s dalším zpracovatelem. Nicméně ve většině případů bývá v praxi charakter vztahu mezi správcem a zpracovatelem značně odlišný od vztahu mezi zpracovatelem a dalším zpracovatelem.

Kupříkladu globální provozovatel cloudové služby (jako další zpracovatel) nebude obvykle akceptovat jiné než své standardizované obchodní podmínky. I pokud by se podařilo z nějakého důvodu domluvit s takovým provozovatelem materiálně to samé, co je ve smlouvě mezi správcem a zpracovatelem, nemusí to z formálního pohledu znamenat, že jsou dalšímu zpracovateli uloženy „stejné povinnosti“ ve smyslu čl. 28 odst. 4 GDPR.

Právní vztah s provozovatelem cloudové služby se například může řídit jiným právním řádem než vztah mezi správcem a zpracovatelem, takže i konstrukce odpovědnosti za porušení smlouvy může být zcela odlišná apod. Soulad s tímto ustanovením tak můžeme vyřešit tím, že servery namísto do střeženého datového centra umístíme do naší stodoly.

Nemožnost dosažení souladu s GDPR a neexistence objektivních kritérií pro tento soulad pak pochopitelně také vkládá obrovskou moc do rukou dozorových orgánů (navíc ve spojení s možností likvidačních sankcí). Jak známo, takováto moc může být zejména ve vachrlatých demokraciích využívána k temným účelům. Vždy totiž bude možné nalézt něco, co dělá správce osobních údajů špatně.

V tomto kontextu je nutné nahlížet také na „sebeudavačskou“ povinnost dle čl. 33 GDPR, na základě které by správci měli ohlašovat dozorovému orgánu případy porušení zabezpečení osobních údajů. Vzhledem k legislativní konstrukci odpovědnosti správce bude prakticky každý bezpečnostní incident, který podléhá ohlášení, také porušením správněprávní povinnosti správce (osobní údaje nebyly řádně zabezpečeny). Může tedy vznikat otázka, zdali se vůbec jedná o ústavně konformní regulaci. Konkrétně, zdali se nejedná o rozpor s principem zákazu sebeobviňování.

Čekání na ePrivacy



Jedním z „prodejních“ argumentů nové regulace bylo mimo jiné to, že půjde o plně harmonizovanou úpravu platnou ve všech členských státech EU (odpadnou některé náklady pro subjekty působící ve více zemích atp.). V praxi se však ukázalo, že pokud to se splněním alespoň formálních požadavků GDPR myslí někdo vážně, bude vždy potřebovat lokálního právníka z konkrétní členské země.

Zejména veřejnoprávní normy jednotlivých členských států, na základě kterých často dochází ke zpracování osobních údajů, se totiž podstatně liší. Z mnoha případů je možné zmínit regulaci v oblastech sociálního zabezpečení, zdravotního pojištění, poskytování úvěrů či archivace daňových dokladů. Z tohoto důvodu se pak nutně liší i konkrétní okolnosti zpracování osobních údajů (doba zpracování, kategorie zpracovávaných osobních údajů, právní základy zpracování apod.).

To znamená, že i obsah připravované právní dokumentace k GDPR musí být v jednotlivých zemích jiný. Ne všichni se byli ochotni s tímto stavem smířit. Managementu řady nadnárodních korporací se podařilo tuto zapeklitou situaci úspěšně vyřešit exekutivním rozhodnutím ignorovat realitu. S ohledem na obdobný přístup zákonodárce při přípravě GDPR je to však možné považovat pouze za spravedlivou odplatu.

Málokterá norma vzbudila v českém prostředí takové emoce a tolik rozporuplných výkladů jako GDPR, a to i rámci odborné veřejnosti. Menší pozornost však už byla věnována jejímu kritickému hodnocení. Uvidíme, zdali obdobné vzrušení přinese i chystané nařízení ePrivacy. Jedno je však jisté, pandemie cookie lišt a pop-up oken se tato planeta už jen tak nezbaví.