Komise dnes zveřejnila hodnotící zprávu k GDPR. Úspěchy jsou velké, ale i po dvou letech je stále co zlepšovat. Problémem jsou rozdíly v implementaci i nedostatek úředníků. A i když Boris Johnson tvrdil opak, nařízení bude muset dodržovat i Británie.

Po dvou letech účinnosti obecného nařízení pro ochranu osobních údajů (General Data Protection Regulation, GDPR) se Komise rozhodla zveřejnit hodnotící zprávu.

V té zmiňuje oblasti, na které je třeba se v blízké budoucnosti zaměřit. Ani po dvou letech totiž GDPR neplní svou úlohu stoprocentně a je co zlepšovat. Zároveň však komisaři zdůrazňují i přínosy revoluční změny v ochraně osobních údajů Evropanů.

„Evropská pravidla pro ochranu dat se stala kompasem, který nás vede digitální transformací, jsou důležitým pilířem pro naše další politiky včetně ‚datové strategie‘ či našeho přístupu k umělé inteligenci,“ prohlásila při představení zprávy místopředsedkyně Komise Věra Jourová (ANO).

„GDPR je skvělým příkladem toho, jak EU respektuje základní práva, posiluje své občany a přináší podnikatelům příležitosti, aby co nejvíce využili digitální revoluci. Zároveň však musíme všichni pokračovat v práci, aby GDPR zcela naplnilo svůj potenciál,“ dodala.

Mezi státy jsou rozdíly

Přetrvávajícím problémem je podle komisařů hlavně rozdílná implementace předpisu napříč EU. GDPR je sice nařízení, které je přímo aplikovatelné, některá jeho ustanovení však předpokládají bližší specifikaci ve vnitrostátních právních řádech. A to se ukázalo jako ne příliš šťastné.

„GDPR úspěšně plní svůj účel a stalo se východiskem pro státy, které chtějí svým občanům zaručit vysokou míru ochrany. Dnešní hodnotící zpráva ale ukazuje, že můžeme dělat ještě více,“ uvedl eurokomisař pro spravedlnost Didier Reynders.

„Potřebujeme více sjednotit aplikaci pravidel napříč Unií. To je důležité jak pro naše občany, tak pro podnikatele, především pak pro malé a střední podniky. Komise bude i nadále pokrok v oblasti aplikace GDPR monitorovat, a to v úzké spolupráci s evropským výborem na ochranu dat i s členskými státy,“ dodal.

Příkladem takových rozdílů je třeba stanovení věkové hranice, od které mohou děti samy udělit souhlas se zpracováním svých osobních údajů. Týká se to například uživatelů Facebooku či jiných sociálních sítí.

„Firmy poskytující služby informační společnosti nezletilým osobám musejí v každé zemi rozlišovat mezi věkem potenciálních uživatelů v závislosti na tom, ve které členské zemi mají tyto osoby bydliště,“ uvádí Komise v hodnotící zprávě.

Věková hranice se v EU pohybuje od 13 do 16 let. Devět zemí se rozhodlo pro nejvyšší možnou hranici, osm zemí se naopak přiklonilo k té nejnižší. Česko si zvolilo variantu 15 let.

„Tyto rozdíly jsou v rozporu s hlavním smyslem GDPR, kterým je vytvoření stejné úrovně ochrany osob i obchodních příležitostí v členských státech,“ uvádí report Komise.

Prostor pro uvážení na národních úrovních je výsledkem několikaletého a složitého vyjednávání textu nařízení. Kvůli potřebě dosažení konsensu si mnohé státy doslova vynutily, aby nařízení taková ustanovení obsahovala. Samozřejmě, že na úkor jednotné implementace ve všech státech.

Komise proto zvažuje, že představí návrh novely nařízení, která by úpravu sjednotila napříč celou Unií.

Pro malé firmy je úprava přísná, uznává Komise

V dokumentu je naznačena i možnost uvolnění pravidel pro malé a střední podniky, jejichž podnikání není založeno na sběru, shromažďování a zpracování osobních dat. Sama Komise ale uvádí, že v tomto ohledu by upřednostnila namísto změny předpisu spíše benevolentnější přístup a pomoc ze strany národních úřadů na ochranu osobních údajů.

To je mimochodem praxe, která se osvědčila i v České republice.

Samotné nařízení sice umožňuje udělit finanční sankce až do výše 20 milionů eur nebo 4 % globálního obratu společnosti. Český Úřad pro ochranu osobních údajů (ÚOOÚ) však obavy z obrovských sankcí dlouhodobě mírní a připomíná, že dosud „provinilce“ pokutoval přiměřeně a nehodlá na tom nic měnit.

„Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uklidňoval před dvěma lety ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující, což mimochodem stojí i v samotném nařízení.

„Strašit takovými sankcemi menší firmu nebo školu je nesmysl,“ upozornili tehdy úředníci z ÚOOÚ.

Správní úřady v celé EU tak mají jasně stanoveny mantinely, které nemohou překročit. V jejich rámci při posuzování jednotlivých případů užívají tzv. správní uvážení, což znamená, že o konečné výši finanční sankce rozhodnou v závislosti na okolnostech konkrétního případu.

Dosud nejvyšší pokutu udělily na základě GDPR francouzské úřady. Společnosti Google za porušení pravidel ohledně transparentnosti při shromažďování a zpracování osobních údajů vyměřily v roce 2019 sankci ve výši 50 milionů eur (1,25 bilionu korun).

Irsko a Lucembursko pod velkým tlakem

Hodnotící zpráva zároveň upozorňuje na nedostatečné kapacity úřadů na ochranu osobních údajů v zemích, jako je Irsko či Lucembursko.

„Největší technologické nadnárodní společnosti mají svá sídla v Irsku a Lucembursku. Proto příslušné úřady v těchto zemích často rozhodují důležité přeshraniční případy a potřebují více úředníků, než by se podle velikosti jejich populace mohlo zdát,“ uvádí report.

Rozdíly mezi lidskými i finančními kapacitami vnitrostátních úřadů se však dle Komise objevují napříč celou EU.

To může mít za následek rozdíly v aplikaci i vynucování evropských pravidel v jednotlivých zemích. V konečném důsledku tak můžou být firmy v jedné zemi v tomto ohledu zvýhodněny oproti společnostem v jiných státech.

Například v Řecku nebo v Bulharsku došlo dokonce ke snížení počtu úředníků v příslušných orgánech, a to o 15, respektive o 14 %.

Británie se GDPR nevyhne, upozorňuje Komise

Na počátku letošního roku se britský premiér Boris Johnson nechal slyšet, že díky odchodu země z EU se Britové nebudou muset strachovat s dodržováním GDPR, Británie si prý přijme svou vlastní úpravu. Johnson tehdy zdůraznil, že Británie si vytvoří vlastní a nezávislou politiku v celé řadě oblastí včetně ochrany dat.

Komise je ale opačného názoru. Vázanost pravidly GDPR je prý základním předpokladem vzájemné spolupráce jak v oblasti vymáhání práva, tak v oblasti bezpečnosti.

Firmy mají i dva roky od vstupu nařízení GDPR v platnost s jeho uplatňováním stále problémy. Dnes zveřejněná zpráva navíc upozorňuje na podfinancování národních úřadů pro ochranu údajů, které mají nad dodržováním nařízení dohled.

„Vysoká úroveň konvergence v oblasti ochrany dat je důležitá pro dosažení rovných podmínek mezi dvěma tak úzce provázanými ekonomikami,“ uvádí zpráva.

V Bruselu už také začali pracovat na hodnocení toho, zda současná britská pravidla na ochranu osobních údajů splňují přísné požadavky plynoucí z GDPR.

Jeden příklad za všechny. Británie by kupříkladu měla ráda přístup k evropské databázi otisků prstů, a to pro účely trestního řízení. To je zcela legitimní požadavek, EU však chce mít jistotu, že taková data budou sbírána a zpracovávána v rámci pravidel platných v Unii.

Zdroj: Dva roky s GDPR: Apokalypsa se nekonala a Británie se pravidlům nevyhne – EURACTIV.cz