Tyto webové stránky používají soubory cookies, abychom vám mohli poskytnout co nejlepší uživatelský zážitek. Informace o souborech cookie se ukládají ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se na naše webové stránky vrátíte, a pomáhají našemu týmu pochopit, které části webových stránek považujete za nejzajímavější a nejužitečnější.
Bylo GDPR příležitostí pro právníky, nebo se zlepšila ochrana osobních údajů?
„GDPR není schválností mimozemšťanů, ale součástí širšího rámce podporujícího byznys i chránícího spotřebitele,“ říká advokát Havel & Partners a ředitel FairData Professionals Richard Otevřel.
Jeden můj kolega šel na potápěčský kurz a při nezbytném papírování dostal k podpisu prohlášení, že instruktoři neručí za škodu na zdraví, pokud se jim v bazénu náhodou utopí, a to se slovy „to víte, to je GDPR, to musíme mít podepsané…“ Jako opravdu? Ona příhoda mě přiměla hlouběji zauvažovat, zda přece jen s GDPR není něco v nepořádku, mohou-li se dít takto absurdní věci. Jako právník se při výkonu své praxe snažím brát právní normu neutrálně, nehodnotit její přínosy nebo negativa, protože musím být schopný klientovi podat objektivní názor na jeho otázku, jakým způsobem se má daným předpisem řídit. Současně jsem ale i člověk, a tedy ve smyslu GDPR subjekt údajů, jehož osobní informace někdo může, musí či chce zpracovávat.
Je snadné vidět jen to nejhorší
Předně, pokud mám reagovat na otázku v titulku, nebudu zastírat, že jako právník jsem tu příležitost viděl a nenechal ji utéct. A nebyl jsem sám, celkové náklady na zajištění souladu s GDPR vyšly například společnosti z Fortune 500 na téměř osm miliard dolarů. A zřejmě to nebude celkový účet – podle listopadového průzkumu IAPP nadpoloviční většina respondentů potvrdila, že ještě plného souladu s GDPR nedosáhla, anebo dokonce nikdy nedosáhne. Novější průzkum společnosti Cisco z ledna uvádí stav compliance v různých zemích od 42 do 76 procent. Jako obrovský problém vnímám určitou pachuť, která po vyslovení GDPR v mnoha ústech zůstává. Podnikatelé se dívají na účet za poradenské služby a kromě pár notorických stěžovatelů vnímají GDPR jako stoh papírů zavřený v šuplíku. Lidé pak nad ochranou osobních údajů mávnou rukou s cynickou poznámkou, že už o nás stejně všichni všechno vědí, tak nač se trápit.
V dnešním světě nevybočuje GDPR ze standardních kolejí – katastrofickým zprávám se přikládá větší důraz než těm pozitivním, protože jsou lidé evolučně nastaveni, aby citlivěji vnímali nebezpečí na rozdíl od pohody, která je logicky neohrožuje. Tomuto jevu mohou těžko konkurovat i zákonodárci a dozorové orgány. Na to je zřejmě už moc pozdě, digitální vlna se totiž přes nás převalila dříve, než jsme stihli utéct z analogové pláže, a ručník uplaval.
Žádná nová regulace
Co nám vlastně to vodní osvěžení přineslo? Zaprvé GDPR není nová regulace – to už si všichni, kdo se mu seriózně věnují, uvědomili. Ona je to vlastně docela stará regulace i v tom smyslu, že si ji Evropa s potřebou jednotných pravidel zasloužila dávno. Odchylky, zejména v regulační oblasti, nepomáhají příliš obchodu, když se v jednotném ekonomickém prostoru musíte ptát 27 právníků, jak máte podnikat.
Od roku 2012, kdy se Evropská komise odhodlala navrhnout GDPR, do vstupu v účinnost v roce 2018 se celosvětově zdvojnásobil počet uživatelů internetu ze dvou na čtyři miliardy. O závratném rozvoji zpracování dat hovoří dosti výmluvně, že každých 40 měsíců se zdvojnásobí množství vytvořených dat, přičemž 90 procent všech bylo vytvořeno za poslední dva roky lidské historie. Není moc utěšující, že polovina z těchto dat jsou údaje týkající se lidí a jejich soukromí. Existence pravidel samozřejmě nezabrání všem dopravním nehodám, ale když už se stanou, máme alespoň záruku, že fungující systém povinného ručení pomůže uklidit ten největší nepořádek.
GDPR je skutečným vzorem pro celý svět. Neuplyne týden, abych si nepřečetl o čím dál jasnějších obrysech zákonné iniciativy v USA ohledně ochrany dat, která je navíc silně podporována velkými technologickými firmami, jako jsou Amazon, Apple, Google, Intel či Facebook. GDPR není schválností mimozemšťanů, ale součástí širšího rámce podporujícího byznys i chránícího spotřebitele. Jiné regulační rámce plní obdobnou roli už dlouho – požadavky na kvalitu léků sice zvyšují náklady farmaceutických firem, které pak nesou v konečném důsledku pacienti, ti ale mohou nakupovat v lékárnách s důvěrou, že je nevyzkoušený lék nezabije. Obdobně zavedené záruční lhůty na spotřební zboží sice musí výrobce promítnout do svých nákladů, které opět platí zákazník, ten si ale ochotněji pořizuje nové, třeba i neosvědčené výrobky. Evropskou komisí sledované zvýšení důvěry v digitální ekonomiku posílením regulačního rámce chránícího uživatele tak není odlišné od dopravních předpisů nařizujících použití bezpečnostních pásů.
Pravidla jsou nevyhnutelná
Pravidla ochrany dat jsou zkrátka nevyhnutelná, máme-li zabránit katastrofě. Za rok účinnosti GDPR bylo ohlášeno více než 40 tisíc bezpečnostních incidentů, což italský dozorový úřad označil jen za špičku ledovce. Opět se nám zde GDPR propojuje s jinou oblastí, a to kybernetickou bezpečností, v níž se státy od Číny až po USA předhánějí v přijímání přísnější regulace. Je mi ale záhadou, proč zde nikdo nepovykuje, nešíří fámy a nestěžuje si na náklady. Vždyť kyberbezpečnost tvoří s GDPR propojené nádoby. Zatímco GDPR nastavuje především postupy a záruky, kybernetická bezpečnost je jedním z funkčních předpokladů takových záruk. Napadá mě úsloví, že potrefená husa nejvíce kejhá. Zatímco seriózní společnosti, které mají na paměti důvěru zákazníka jako základní metu svého podnikání, zaťaly zuby a zlepšily ochranu osobních údajů, nemálo dalších si takové starosti nedělá a o to halasněji proti GDPR vystupuje.