Milionové pokuty kvůli GDPR teprve padnou. Nenechte se zmást současným klidem, varuje Nulíček | info.cz

Články odjinud

Milionové pokuty kvůli GDPR teprve padnou. Nenechte se zmást současným klidem, varuje Nulíček

Nová úprava ochrany osobních údajů, spojená s GDPR, funguje již téměř rok a půl. Jak v rozhovoru pro INFO.CZ popisuje odborník na tuto problematiku a partner advokátní kanceláře Rowan Legal Michal Nulíček, některé firmy ale stále nedotáhly nová pravidla do konce. Uchlácholilo je možná i to, že žádné omračující pokuty, jimiž se loni strašilo, dosud nepadly. Podle Nulíčka se ale může tato praxe brzy změnit. „Úřady v Německu připravují nová a přísná pravidla udělování pokut, která už prezentovaly i na evropské úrovni. Taková jednotná pravidla napříč EU by mohla znamenat významné navýšení i u pokut udělovaných v ČR,“ varuje Nulíček.

Jak se firmy zvládly, soudě z vaší praxe, vypořádat s GDPR, podle kterého se začalo postupovat v květnu loňského roku?

Za pozitivní považuji, že se ochrana osobních údajů stala důležitou součástí fungování řady velkých společností ze soukromé sféry, ale také dalších menších společností, jejichž business model je na zpracování osobních údajů založený. U nich je často nově ochrana osobních údajů tématem, které vnímá i management.

Stále však existuje řada, i větších, organizací, které tomuto tématu nepřikládají velkou váhu, případně vyčkávají na první velké pokuty. V některých případech také vidíme, že společnosti sice implementaci GDPR zahájily, ale po účinnosti GDPR ji už nedotáhly do konce. Mají tak třeba i dobře připravenou právní dokumentaci, ale na zavedení konkrétních procesů a revizi technických opatření a jejich dokumentaci se mnohdy nedostalo.

Navazující česká legislativa vyšla až letos na jaře. Jak velký to byl v praxi problém?

Problém to byl především pro veřejnou správu, které mnohdy chyběly potřebné konkrétní výjimky pro zpracování prováděné na základě zákona či ve veřejném zájmu. Pro soukromou sféru chybějící česká legislativa neznamenala významnější problém, protože GDPR je přímo účinné a závazné i bez domácí legislativy. Přesto některé společnosti vyčkávaly s implementací GDPR až na účinnost českého adaptačního zákona, ačkoli bylo jasné, že domácí legislativa do problematiky více světla či zpřesnění nevnese.

Na křtu komentáře k souvisejícímu zákonu jste říkal, že je problém, že Úřad pro ochranu osobních údajů některé velké instituce, které zpracovávají vůbec nejvíce osobních údajů, například města či nemocnice, nemůže pokutovat. K čemu takováto situace může vést? 

Je to tak – v důsledku adaptačního zákona nemůže Úřad pro ochranu osobních údajů udělit pokutu žádnému subjektu z veřejného sektoru – ministerstvu, městu, nemocnici, škole, ale třeba ani finančnímu úřadu nebo správě sociálního zabezpečení. Jsou to přitom ti největší správci a zpracovatelé našich, často velmi citlivých, osobních údajů, které si navíc nevybíráme – jsou nám státem přiděleni. Podle právní úpravy před GDPR tyto subjekty mohly být pokutovány úplně stejně jako subjekty soukromé.

Vyloučení možnosti je pokutovat vede k velké a neodůvodněné nerovnosti mezi veřejnou a soukromou sférou. GDPR sice takovou výjimku dovoluje, ale to jen proto, že v jiných zemích EU se pokuty veřejné správě neudělují. U nás je však udělování pokut orgánům veřejné správy běžné a tato úprava je tak velmi nestandardní.

Reálně tato výjimka povede k tomu, že řada veřejných subjektů nebude pravidla ochrany osobních údajů dodržovat. Hrozba tolik kritizovaných vysokých pokut totiž byla v praxi hlavním hnacím motorem pozitivních změn. Jakkoliv by totiž organizace mohly dodržovat veřejné regulace z přesvědčení, že to je správné a že jim to (či jejich zákazníkům) něco přináší, drtivá většina z nich je začne dodržovat až ve chvíli, kdy je jejich porušení spojeno s potencionálním závažným dopadem na danou organizaci – řečí manažerů se jedná o situaci, kdy je s daným nedodržením spojeno vysoké riziko.

Plošné odpadnutí tohoto rizika mělo ve veřejné správě okamžitý efekt. Implementační projekty u řady veřejných institucí se zastavily, a dokonce jsme zaznamenali, že pověřenci, kteří byli v některých institucích jmenováni, dostávají po zrušení sankcí výpovědi. Tato zákonná výjimka, která vznikla jako poslanecký návrh v parlamentu, je špatnou zprávou pro ochranu soukromí v České republice.

Důležité je však doplnit, že to, že veřejným institucím nemůže být uložena pokuta, ještě neznamená, že ÚOOÚ je nemůže postihovat jinak – stále je zde možnost ukládání nápravných opatření a možná negativní publicita spojená se zveřejňováním výsledků kontrol. Stejně tak je zde riziko soukromého vymáhání ze strany subjektů údajů, které se bude v čase zvyšovat. Proto by ani veřejné instituce neměly ochranu osobních údajů podceňovat.

Co obecně činilo a činí v ochraně osobních údajů podle nových pravidel největší problémy?

V nejobecnější rovině považuji za největší problém nepochopení významu této oblasti a právní úpravy. Ono to má více důvodů, ale je škoda, že je GDPR dnes až na výjimky posměšně vnímáno jako „výmysl z Bruselu“ spíše než jako něco, co může přinést opravdovou změnu v ochraně našeho soukromí. To má samozřejmě zpětně negativní vliv na to, jak k ochraně osobních údajů organizace přistupují. Je o to smutnější, že toto vnímání posilují někteří naši volení zástupci, a navíc v době, kdy je ochrana našeho soukromí a zejména soukromí našich dětí ohrožena více než kdy dříve. Tím nechci říci, že nová právní úprava nevyvolala problémy a někdy zbytečné náklady, zejména u malých a středních společností. Ale jsem přesvědčený, že její přínos to v dlouhodobém pohledu několikanásobně převýší.

Trochu konkrétněji je problémem to, že optikou řady společností skončilo téma ochrany osobních údajů v lepším případě implementací GDPR. Tak to ale není, ochrana osobních údajů je kontinuální proces, na který je třeba dbát i v dalším životě společnosti, typicky při zavádění nových produktů či IT nástrojů.

Setkali jsme se například s případem, kdy jeden tým ve společnosti zavedl pro zákazníky novou funkcionalitu ukládání čísel kreditních karet, aniž by o tom věděl tým řešící ochranu osobních údajů. Takový postup může vést k tomu, že příslušné údaje nebudou správně zabezpečeny, dotčení jednotlivci nebudou o jejich sběru informováni, nebo bude celé zpracování nezákonné, protože příliš zasahuje nebo může zasahovat do soukromí jednotlivců (což by odpovídající posouzení odhalilo).

A naopak, co braly společnosti pozitivně?

Řada velkých společností pojala GDPR projekt jako příležitost „sebe-poznání“ – samotná identifikace a detailní popisy interních postupů, vytvořené v rámci implementačních projektů, jsou dnes cenným zdrojem informací pro další práci s procesy, včetně jejich optimalizace. Řada společností se chopila GDPR i jako příležitosti udělat si pořádek v datech. U některých dat se ukázalo, že nikdo vlastně neví, proč se sbírají nebo drží po tak dlouhou dobu. Současně řada společností identifikovala mezery v zabezpečení, a to nejen osobních údajů – poté nasadila nové bezpečnostní nástroje a více přemýšlí, jak chránit data před ztrátou či únikem, a to nejen kvůli hrozbě pokut, ale kvůli tomu, že data vnímají jako své klíčové aktivum, jehož ohrožení by narušilo jejich vztahy se zákazníky.

Dobrou zprávou pro evropské společnosti je také to, že mj. i GDPR vyvolalo diskuze o zvýšení ochrany osobních údajů v USA; v Japonsku a dalších zemích dokonce již proběhly změny příslušných zákonů. To povede ke globálnímu přiblížení „pravidel hry“ v této oblasti.

Jak už jsme zmínili, velkou obavu vzbuzovaly pokuty, které mohou dosáhnout astronomických výšek. Ukazuje se, že šlo jen o hrozbu, která se v českých poměrech patrně fakticky nenaplní?

K ukládání vysokých pokut český Úřad pro ochranu osobních údajů zatím nepřistoupil – možná trochu pohříchu, protože i v důsledku toho pro řadu společností není ochrana osobních údajů tak velkým tématem, jak by si zasloužila. Současně však, co do počtu udělených pokut, patří český úřad mezi nejaktivnější.

U současné úrovně finančních sankcí však nemusí zůstat a dle mého názoru ani nezůstane. Je totiž potřeba si uvědomit, že český úřad, alespoň podle veřejně dostupných informací, zatím po účinnosti GDPR neřešil žádný masivní únik dat, za které v Evropě padají miliardové pokuty. Úřady v Německu také připravují nová a přísná pravidla udělování pokut, která už prezentovaly i na evropské úrovni. Taková jednotná pravidla napříč EU by mohla znamenat významné navýšení i u pokut udělovaných v ČR. Ostatně současný stav, kdy různé členské státy za podobná porušení ukládají řádově jiné pokuty, není souladný s účelem GDPR a principem jednotného výkladu a aplikace evropského práva.

Jak jsou teď na tom tedy firmy s přístupem k ochraně osobních údajů? Dá se říci, že lépe než v květnu 2018?

Firmy jsou na tom rozhodně lépe, řada nových procesů se usadila a našla si ve společnostech své místo. Ve velkých korporacích a společnostech, které mají svůj business na zpracování údajů založený, se ochrana dat vesměs systematicky řeší. Horší je to u veřejné správy, kde se toto téma skutečně mnohdy dostalo na druhou kolej.

Přesto je před řadou organizací ze soukromého i veřejného sektoru velký kus práce – od právní stránky věci se musí posunout k praktickému zabezpečení dat. V tomto směru není dobré čekat na kontrolu nebo až v ČR padne první velká pokuta za únik osobních údajů. Myslím, že žádná společnost netouží potom, aby byl její únik dat propírán na prvních stránkách novin a zpravodajských portálů, jak to vidíme například ve Velké Británii a následně po celé EU.

Pokud jde o Rowan Legal, nedávno jste oznámili příchod Pavla Hejla. Plánujete další personálie?

Pavlův příchod zapadá do našeho dlouhodobého plánu posilování kanceláře o výjimečné osobnosti a odborníky – ten jsme začali realizovat již před lety a další kroky plánujeme i v nejbližších měsících a letech. Ostatně to byl jeden z důvodů, proč jsme letos rozšířili prostory naší pražské kanceláře o celou jednu třetinu. Kromě příchodů nových lidí bych ale rád zmínil i to, že se u nás po letních prázdninách významně povyšovalo.

Čekají kancelář nějaké další novinky?

Čerstvou novinkou je modernizace našeho loga a přechod na novou firemní identitu, z dalších viditelných novinek to v horizontu jednoho roku bude několik nových publikací a desítky konferencí. Zejména bych vypíchl další ročník úspěšné mezinárodní arbitrážní konference organizované českou pobočkou ICC, kterou vede můj kolega, partner Miloš Olík.

Po businessové stránce bych neřekl, že se bude jednat o novinky, ale spíše o prohlubování našich tradičních specializací a rozšiřování stávajících služeb.

Z oblastí, kterým se věnuji, vidím velký potenciál zejména v compliance, v kombinaci s dalšími obory, jako je hospodářská soutěž nebo trestní právo – tam brzy několik novinek představíme.

Za zmínku rozhodně stojí také naše zvýšené aktivity v oblasti mezinárodních právních služeb – ať již neustále rostoucí objem poradenství zahraničním klientům a kancelářím, tak zejména naše zahraniční služby pro české klienty. Ty chceme v nejbližších letech dále rozvíjet, ostatně již dnes můžeme klientům nabídnout špičkový právní servis ve více než 100 zemích světa.

 
Přejít na homepageVíce z kategorie

Články odjinud