Prohlášení: 3. výročí GDPR
Před třemi lety, 25. května 2018, začalo platit obecné nařízení o ochraně osobních údajů. Cílem GDPR bylo poskytnout práva běžným lidem, kteří jsou předmětem zpracování údajů ("subjekty údajů"). Ve společnosti noyb uplatňujeme GDPR z pohledu tohoto uživatele každý den.
Po třech letech je náš první průběžný závěr smíšený: GDPR jednoznačně upozornilo na tuto problematiku, zajistilo, že společnosti přezkoumaly své postupy (často poprvé), a uživatelé si více uvědomili, že mají v digitální sféře svá práva.
Ochrana osobních údajů na papíře?
Mít práva a dosáhnout spravedlnosti jsou dvě odlišné věci: Stejně jako podle předchozích pravidel ve směrnici o ochraně osobních údajů z roku 1995 (směrnice 95/46) jsme ve stavu, kdy se EU podařilo vydat progresivní zákon (při srovnání v celosvětovém měřítku). Členské státy však tuto novou evropskou legislativu z velké části nedokážou prosadit. To vede k "ochraně soukromí na papíře", ale ne nutně v telefonech nebo počítačích uživatelů.
Jako organizace specializující se na ochranu osobních údajů a soukromí uplatňuje našich deset právníků nařízení GDPR na denní bázi. Přesto se pravidelně setkáváme s případy, jejichž řešení trvá roky, zejména když uživatelé chtějí svá práva vymáhat přes hranice států. Zatímco některé úřady pro ochranu osobních údajů (DPA) odvádějí skvělou práci, jiné neakceptují ani právo uživatelů na prošetření stížnosti, natož na vymáhání práv uživatelů. Vzhledem k tomu, že společnosti deklarují své sídlo v nejvhodnějším členském státě ("forum shopping"), trpí uživatelé v celé EU slabými vazbami mezi orgány pro ochranu údajů.
V některých členských státech jsou soudy stejně neochotné vymáhat práva uživatelů. Často se zdá, že soudci neprošli žádným školením o GDPR, což vede k rozhodnutím, která znovu rozvíjejí právní debaty, jež měly být dávno překonány - například právo získat peněžní náhradu za citovou újmu. Stejně tak soudy uplatňují místní procesní právo způsobem, který téměř znemožňuje prosazování GDPR.
Tato situace vede nejen k hrubému porušování práv občanů, ale také k nekalé konkurenci, neboť někteří hráči na evropském trhu nemusí cítit potřebu se tímto nařízením řídit, zatímco jiní se obávají možných pokut.
Malé a střední podniky
Dalším prvkem, který se nyní stává jasnějším, je, že přístup GDPR "jedna velikost pro všechny" je nedostatečný. Velké společnosti prosazovaly jednotný zákon, který by zajistil, že budou muset splňovat pouze středně velké požadavky. Zejména politické strany, které se pyšní tím, že jsou "pro podniky", se touto myšlenkou řídily. Tyto střední požadavky nyní zahlcují mnoho malých podniků, které ve skutečnosti nezpracovávají údaje v relevantním rozsahu, zatímco na boj s velkými technologiemi jsou příliš slabé.
Na rozdíl od jiných předpisů, kde existují třídy podniků, GDPR často vyžaduje stejné postupy od malého obchodu i od technologických gigantů, jako jsou Google, Amazon nebo Facebook. To vede k vysoké zátěži pro naprostou většinu společností, přičemž relevantní hráči nejsou dostatečně regulováni. Zdá se, že z toho těží především velké konglomeráty zpracovávající údaje a možná i poradenský průmysl. Nicméně (z dobrých důvodů) není chuť GDPR znovu otevírat, protože panuje obava, že velké technologické firmy využijí každé takové příležitosti k tomu, aby do zákona udělaly další díry.
Shrnutí
Evropa se může pyšnit tím, že přijala nejpokrokovější právní předpisy o ochraně osobních údajů na světě, ale drobné chyby v zákoně a nedostatečné prosazování vedou k oprávněné frustraci uživatelů a malých podniků. Bude na orgánech pro ochranu údajů a soudech, aby tyto problémy v rámci stávajícího právního rámce překonaly a GDPR se tak stalo skutečně úspěšným. Na spuštění takových změn rádi pracujeme v rámci naší každodenní práce v noyb.
