E-mailové schránky přeplněné žádostmi o souhlas se zpracováním osobních dat jsou zatím pro většinu Čechů nejviditelnějším projevem evropského nařízení GDPR. Za jediný viditelný projev novinek v ochraně osobních údajů to považují čtyři z pěti respondentů, kteří odpovídali v anketě měsíčníku Právní rádce. "Nařízení tak v první fázi úplně nesplnilo svůj účel," myslí si Jana Břeská, manažerka pro státní správu ze Sdružení pro internetový rozvoj. Kontrolu zavádění nových pravidel navíc komplikuje chybějící adaptační zákon. Jeho schválení čeští zákonodárci opakovaně odkládají.

Výhrady k praktickému zavádění nových pravidel, která v celé Evropské unii včetně Česka platí od května, má především Úřad pro ochranu osobních údajů. Tuzemské firmy a instituce podle něj žádají klienty o souhlas se zpracováním osobních údajů i tam, kde ho vůbec nepotřebují.

"Jedná se například o poskytování bankovních či telekomunikačních služeb. V těchto případech poskytnutí služby nesmí být vázáno na udělení souhlasu," upozorňuje předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů. Práce s osobními údaji klientů se opírá o smlouvu mezi operátorem a klientem, bankám pak sběr dat nařizuje mimo jiné zákon proti praní špinavých peněz. A to je podle GDPR dostatečný důvod, proč mají osobní údaje sbírat a držet.

Zbytečný je dále souhlas také v případě, že mají osobní údaje posloužit k zápisu dítěte do kroužku a nadužívají ho také školy, které ke sběru dat dětí obvykle opravňuje školský zákon. "Nepotřebujete ho ani pro pořizování ilustračních fotografií z firemních akcí," dodává Eva Veličková ze Svazu průmyslu a dopravy.

Důvodů, proč firmy a instituce žádají své klienty o souhlas se zpracováním osobních údajů i tam, kde ho vůbec nepotřebují, je podle expertů několik. Některé se tím snaží předejít výmazu dat, která v minulosti získaly neoprávněně, jiné využily legislativní novinku jako marketingový trik k získávání nových zákazníků.

"Řada společností také nepřímo přiznává, že ve svých databázích mají neuvěřitelný nepořádek a raději zvolily cestu nejmenšího odporu a rozeslaly nový souhlas všem," upozorňuje Eva Škorničková, konzultantka v oblasti ochrany osobních údajů.

Jenže taková taktika se podle ní nemusí vyplatit. Firmy se tím vystavují riziku, že lidé přehlcení obtěžujícími e-maily odmítnou dát souhlas i tam, kde ho dříve poskytli. Podnik už ale nemůže vzít zpět ani zbytečně poslanou žádost. A tak může kvůli nepořádku v databázi přijít o kontakty na zákazníky.

Nadbytečné získání souhlasu navíc patří do nejzávažnější kategorie prohřešků proti GDPR a správcům a zpracovatelům dat za ně tak hrozí nejvyšší možná sankce − až půl miliardy korun pro instituce, firmám až čtyři procenta z jejich celosvětového obratu.

Přibývá stížností

Riziko, že někdo z nespokojených klientů nezákonné chování organizací odhalí, přitom roste. "Lidé začali díky GDPR více vnímat, co jsou osobní údaje, jak je s nimi nakládáno a jaká mají práva," varuje Jana Břeská ze Sdružení pro internetový rozvoj. A její slova potvrzuje i statistika Úřadu pro ochranu osobních údajů. Zatímco loni úřad obdržel od ledna do srpna zhruba 1200 podnětů ke kontrole, za stejné období letošního roku jich evidoval téměř dvakrát tolik.

Počet stížností na GDPR

Desítky stížností upozorňují právě na zbytečné a neoprávněně získávané souhlasy. Přibývá ale i podnětů z jiných oblastí. Řada z nich se týká telefonního marketingu. "Stížnosti konkrétně upozorňují na případy přeprodejů databází telefonních čísel třetím stranám či opětovné telefonické nabídky zboží a služeb, o které občané už dříve neprojevili zájem," upřesňuje Vojtěch Marcín z Úřadu pro ochranu osobních údajů.

Společnosti ale chybují nejen ve vztahu ke svým zákazníkům. Se svými obchodními partnery tak například často zbytečně uzavírají smlouvy o zpracování osobních údajů. "Mnohdy jde o běžné dodavatelsko-odběratelské vztahy, ve kterých se vůbec s osobními údaji nepracuje, nebo o vztahy regulované zákonem," uvádí příklad Michal Nulíček, partner advokátní kanceláře Rowan Legal.

Eva Veličková ze Svazu průmyslu a dopravy zase varuje, že podniky zapomínají řešit GDPR v souvislosti s exportem: "Mají pocit, že se jich to vůbec netýká. Opak je ale pravdou."

Mimo EU mohou správci dat posílat údaje svých evropských zákazníků jen v případě, že je cílová země na unijním seznamu států zajišťujících odpovídající úroveň ochrany osobních údajů. Na tom je ale zapsáno jen pár zemí, jako jsou například Spojené státy, Nový Zéland nebo Kanada.

Pokud mají údaje směřovat do jiné země, musí se zahraniční obchodní partner zaručit, že se u něj zákazníci dovolají stejné právní ochrany osobních údajů jako v Evropě. Dohodu navíc musí schválit dohledový úřad, tedy například v českých podmínkách Úřad pro ochranu osobních údajů.

Češi Evropu nepochopili, přípravy zanedbali

V Česku přípravy na nařízení GDPR provázela začátkem loňského roku nevídaná panika. Nařízení se dostalo do centra zájmu médií. A novinky − často neodborně − komentovali také politici. Výsledkem tohoto "koktejlu" zájmu bylo, že mnohé firmy sedly na lep poradcům bez zkušeností anebo pojaly vůči evropskému nařízení averzi a přípravy v důsledku toho odsunuly na druhou kolej. "Zavádění novinek v Česku tak v mnoha případech skončilo pouze přepsáním některých dokumentů a zásad na webu nebo souhlasů. Detailní odbornou přípravou prošla jen menšina správců a zpracovatelů osobních údajů," popisuje své zkušenosti z práce s klienty konzultantka Eva Škorničková.

Ovšem i ti, kteří přípravy nepodcenili, mnohdy vzhledem ke složitosti nařízení i svého byznysu dokázali v termínu splnit jen základní povinnosti. "Mnozí ještě procházejí procesem hloubkových změn interních postupů," říká Tomáš Mudra z advokátní kanceláře UEPA. Zvlášť v největších společnostech jsou časově náročné hlavně úpravy IT systému, které si nařízení vynutilo.

Chybějící zákon

Některé firmy se také mylně domnívají, že pravidla v Česku nejsou ještě jasně stanovena, a vyčkávají na schválení adaptačního zákona. Jenže to je podle právníků chyba. Nařízení platí ve všech státech unie přímo, adaptační zákon má jen zpřesnit ty části, kde pro to evropští zákonodárci nechali prostor.

"Zpracování osobních údajů v soukromém sektoru se adaptační zákon dotkne pouze okrajově. Veřejnému sektoru ale do jisté míry kvůli absenci zákona chybí můstek mezi stávajícími českými předpisy a evropským nařízením," vysvětluje partnerka advokátní společnosti UEPA Lucie Hladěnová.

Komplikacím tak kvůli tomu čelí i úřad, který má v Česku na dodržování nových pravidel ochrany osobních údajů dohlížet. "Je například sporné, zda nyní může vůbec Úřad pro ochranu osobních údajů za porušení nařízení ukládat pokuty, když to není výslovně upraveno jako skutková podstata přestupku," vysvětluje Michal Nulíček z Rowan Legal.

Období nejistoty se přitom protahuje. Sněmovna před prázdninami projednávání zákona přerušila. Vrátit se k němu má ve druhém čtení na své zářijové schůzi. Ale ani pokud ho už hladce schválí, nezačne norma vzhledem k legislativním lhůtám nejspíš platit dřív než v příštím roce.

Související