V první řadě se ukázalo, že není dokonalé, jak už to u tak rozsáhlých předpisů bývá. Pořád čekáme, jak budou nařízení vykládat dozorové úřady a soudy a jak odvážné budou proti globálním hráčům na trhu s osobními údaji. A některé věci podle GDPR v praxi vůbec nefungují už teď.
Kde má GDPR mezery?
Málokdy se například uplatní výjimka pro malé podnikatele. Ti nemusí vést tzv. záznamy o činnostech zpracování osobních údajů, pokud je zpracovávají pouze příležitostně. To se ale v praxi v podstatě neděje – zaměstnanecká agenda, účetnictví, obchodní kontakty, to všechno jsou pravidelné činnosti. Takže i když má firma jenom 2 zaměstnance, na výjimku nedosáhne.
Nefungují ani kodexy chování, což měly být vzorové zásady posvěcené Úřadem pro ochranu osobních údajů, kterými mohly třeba oborové asociace svým členům významně ulehčit implementaci GDPR. Stačilo by tyto kodexy převzít a zařadit do své dokumentace.
Velkým problémem také je, že EU zatím neschválila nařízení ePrivacy, které mělo od začátku GDPR doplnit v oblasti komunikace v digitálním světě. Nastavit právně správně (a zároveň funkčně) marketingové cookies nebo cílení reklamy na sociálních sítích je teď skoro nadlidský úkol.
GDPR a technologie
Z téhle dvojice mají pořád jednoznačný náskok technologie. Příprava GDPR totiž začala před téměř deseti lety a technologie se za tu dobu rozvinuly rychleji, než úředníci stihli v nařízení zohlednit. Sporným bodem jsou například biometrické údaje, které jsou plošně zařazené mezi citlivé údaje. Správci tak musí složitě řešit, jak je to vlastně s podpisem smlouvy elektronickou tužkou na tabletu, protože ten může splňovat definici biometrických údajů. Firmy také potřebují zabezpečit důležité prostory nebo data důvěryhodnou identifikací osob, např. otiskem prstu, skenem duhovky, apod. Potřebují k tomu ale souhlas každého člověka, který má mít povolený přístup.
V rámci pracovněprávních vztahů tím pádem vzniká nejasnost, jestli se zaměstnanec vůbec může svobodně rozhodnout, zda své biometrické údaje poskytne a zda se tak vůbec může jednat o souhlas v souladu GDPR. Nařízení také v podstatě znemožňuje využít kamerové systémy s technologií rozpoznání obličeje, které jsou připraveny v kritické infrastruktuře (na stadionech nebo v nákupních centrech) hledat nebezpečné osoby v řádech vteřin.
E-mailové schránky pořád pod palbou newsletterů
Loni v květnu tuto situaci paradoxně způsobily firmy, které ve snaze být na nařízení co nejlépe připravené, rozesílaly na všechny strany žádosti o souhlas i v případech, kdy tak dělat vůbec neměly. Vrcholily také aktualizace všemožných zásad a informací o zpracování. Účelem GDPR ale nebylo zamezit jakýmkoli obchodním sdělením a tato pravidla se nadále řídí už stávajícími zákony, podle kterých můžou firmy svým zákazníkům newsletter posílat přiměřeně dlouho i bez jejich aktivního souhlasu. Samozřejmě s možností jeho odběr kdykoliv odhlásit.
Jak jsou na tom české firmy a na co se nejčastěji zapomíná?
Na první pohled je poměrně dost podnikatelů v souladu s GDPR. Je ale samozřejmě otázkou, kolik pozornosti skutečně věnovali i procesům uvnitř firem a samotnému zabezpečení dat, jestli se ochrana osobních údajů opravdu stala kontinuální aktivitou a ne pouze jednorázovou aktualizací webových formulářů a cookie lišt. Vyřešit tyhle věci jenom na papíře jde totiž poměrně snadno, zakomponovat je do firemní rutiny a zvyků zaměstnanců už je o poznání náročnější.
Čtěte více: Že už máte GDPR definitivně vyřešené? A nezapomínáte na nové zaměstnance?
Médii například proběhla zpráva o nezaheslovaných dokumentech s velkým množstvím osobních údajů, které někdo nahrál na veřejné úložiště. Ať už je tam zaměstnanci nahrávají ve zlém úmyslu nebo z nedbalosti, firma musí takovýmto excesům předcházet a krýt si záda, když už k nim dojde. K tomu potřebuje dobře nastavené vnitřní předpisy a důkaz, že s nimi byli všichni zaměstnanci dobře seznámeni.
Častou chybou firem bývá také vyžadování souhlasu se zpracováním osobních údajů tam, kde není potřeba, za což by paradoxně mohly dostat pokutu. Někdy bývá také problém fakt, že správci osobních údajů se všemi povinnostmi jsou i takové firmy, které o konkrétním zpracování údajů prakticky nic neví a zajišťují vše pomocí svých dodavatelů. Velkou novinkou je také povinnost správců i zpracovatelů oznamovat bezpečnostní incidenty týkající se osobních dat přímo Úřadu pro ochranu osobních údajů, a to ve lhůtě 72 hodin.
Strach z vysokých pokut jinak způsobil, že se někteří snaží GDPR dodržovat slepě a někdy až absurdně. V loňské panice se tak trochu ztratila samotná myšlenka nařízení – poskytnout lidem informovanou kontrolu nad svým soukromím, nikoliv vše zakázat nebo cenzurovat.
První pokuty a postoj českého ÚOOÚ
Nařízení klade velký důraz na to, že ochrana osobních údajů je kontinuální, všeprostupující proces. I když tedy byli podnikatelé loni pečliví a vše do puntíku nastavili, nemají vyhráno jednou pro vždy. Pokud někdo naopak vsadil na riskantní kartu a očekává, že se nad novými pravidly ochrany osobních údajů brzy zavře voda, nejspíš mít klidné spaní nebude.
V loňském roce sice český Úřad pro ochranu osobních údajů udělil pokuty nejčastěji v řádech desítek tisíc korun, zdůvodňoval to ale určitým mezidobím před přijetím našeho adaptačního zákona. V zahraničí však už padaly i bolestivější sankce – portugalský úřad udělil pokutu 400 000 EUR zdravotnickému zařízení, dánský úřad 160 000 EUR provozovateli taxislužby a polský úřad 220 000 EUR webové službě, a to vše pouze za porušení nařízení, aniž by došlo ke skutečnému úniku osobních údajů.
ÚOOÚ se chce v letošním roce během kontrol zaměřit mimo jiné na zdravotnickou dokumentaci, cookies nebo mobilní aplikace. Přidá se také inspektorát práce, který bude v rámci svých kontrol prověřovat i ochranu osobních údajů zaměstnanců.
Že je dosažení souladu s GDPR ještě běh na dlouhou trať opravdu pro všechny, ukazuje závěrem také nedávný test Evropského sboru pro ochranu osobních údajů. Ten odhalil, že 7 z 10 kontrolovaných institucí Evropské unie nemá v pořádku svůj web.
Čtěte také: Mohou zaměstnavatelé uchovávat kopie dokladů svých zaměstnanců? Co změnilo GDPR?