Ať už v těchto dnech otevřete jakékoliv internetové médium, můžete si být jisti, že na vás vyskočí nějaká nabídka související s tzv. GDPR. Je to důsledek liknavosti státu, který zcela rezignoval na jakoukoliv „doprovodnou“ legislativu (s níž přitom samotné GDPR počítá), a hlavně na osvětu. Tohoto „prázdného prostoru“ využili různí vykukové, kteří vycítili snadnou příležitost k velkému výdělku. A tak je internet plný nabídek na vypracování vzorové dokumentace GDPR, poradenství a školení. Aby tato reklama mohla fungovat, je ale nejdříve potřeba její potenciální adresáty pořádně vyděsit tak, aby každému bylo jasné, že nevyužije-li skvělou nabídku „již od“, jeho podnikání bude zadupáno do země.

Nemá smysl lakovat věci na růžovo tvrzením, že účinností GDPR se pro podnikatele nic nezmění, ale faktem je, že toto evropské nařízení je přelomové z jiných důvodů, než které uvádějí GDPR inzerenti. Jde zejména o tyto aspekty:

• Výše pokut – horní hranice pokut je 20 miliónů EUR !!! Udělení pokuty i v jen setinové výši by pro většinu podnikatelů bylo zcela smrtelné. Lze namítnout, že se jedná se o „bič“ mířící hlavně na velké zpracovatele, ale bohužel nařízení nestanoví žádnou speciální horní hranici pro malé podnikatele, který je vždy pro kontrolní orgán (minimálně v Čechách to platí bez výjimky) snadnějším soustem než velká korporace s týmem právníků v zádech.
• Nejasnosti okolo výkladu – jedná se o přímo závazný právní předpis EU, vytvořený v bruselské legislativní dílně, který proto logicky užívá jiný právní jazyk, než na který jsou zdejší právníci (a tím méně laici) zvyklý. Více než u právního předpisu „vyrobeného“ v ČR tedy bude důležitý výklad. Ten budou v první fázi tvořit úředníci Úřadu pro ochranu osobních údajů, kterým je kontrola dodržování GDPR svěřena, a následně soudy. Vzhledem k rozdílným legislativním rámcům, zvyklostem a postupům se lze nadít i toho, že v každé zemi EU bude na stejnou povinnost nahlíženo různě. Za tohoto stavu je tvrzení jakéhokoliv inzerenta, že nabízí zaručené nebo spolehlivé vzory, velmi odvážné.
• Liknavost státu – GDPR umožňuje členským státům EU některé dopady nařízení národní legislativou zmírnit a některé výkladově náročnější body touž legislativou zpřesnit. Česká republika však žádnou legislativu ve spojení s GDPR nepřijala, dokonce ani neupravila stávající zákon o ochraně osobních údajů, který tak může v některých bodech být v rozporu s GDPR. ÚOOÚ na svých stránkách sice říká, že „práva a povinnosti v současném zákoně o ochraně osobních údajů budou nahrazeny právy a povinnostmi přímo vyplývajícími z obecného nařízení“, avšak již neuvádí, kterých práv a kterých povinností se to týká. Tak např. český zákon o ochraně osobních údajů stanoví mj. povinnost písemně oznámit ÚOOÚ úmysl zpracovávat osobní údaje. GDPR takovou povinnost nestanovuje, ale zároveň se v něm neříká, že by takovou povinnost zavedenou národní legislativou rušil – bude tedy každý správce osobních údajů po 25.5.2018 povinen registrovat se u ÚOOÚ nebo ne ? Celé je to o to smutnější, že GDPR bylo přijato už v dubnu 2016, ČR tedy měla déle než rok, během něhož se ale legislativně neudělalo nic. O neexistenci osvěty, vysvětlování důvodů, dopadů a nutnosti přípravy už byla řeč shora. Stát se ani neobtěžoval reagovat na strašení, kterým se různí „experti“ pokoušejí nalákat potenciální zákazníky z řad neinformovaných podnikatelů – viz následující bod.
• Množství nepravd – mezi hlavní body strašení lze nalézt tvrzení o povinném šifrování všech údajů (ve skutečností není povinné), že každý správce osobních údajů musí mít pověřence (nemusí), že pověřenec musí mít jakýsi certifikát (žádný neexistuje) či že se rozšiřuje okruh chráněných údajů (nerozšiřuje).

Na GDPR je v každém případě nezbytné být připraven, ale informace valící se ze všech stran je nutno filtrovat přes skutečnost, že hlavním zájmem inzerentů je výdělek. A nezbývá než doufat, že úředníci ÚOOÚ dodrží, co slibují na svém webu, tedy že „případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační“.

Mgr. Petr Mikysek
advokát