Podle odborníků na ochranu osobních údajů z přední české advokátní kanceláře ROWAN LEGAL pomohlo GDPR během uplynulých pěti let účinnosti kultivovat celoevropskou debatu o ochraně soukromí. Souvisejícím otázkám se nyní konečně věnuje pozornost, kterou si tato disciplína zaslouží. Díky sjednocení pravidel jednotlivých členských zemí došlo k usnadnění přeshraničního předávání dat. Nařízením se navíc inspirovala i řada mimoevropských zemí, které na jeho základě modelovaly své národní předpisy. To ovšem neznamená, že se cíle regulace podařilo bez dalšího naplnit.

„Po pěti letech je stále patrné, že přístupy jednotlivých evropských států k ochraně osobních údajů zůstávají rozdílné a společnosti působící ve více zemích stále musí vynakládat prostředky na ověření a přizpůsobení lokálním specifikům. Co se rovněž za uplynulých pět let nepovedlo, je snaha ‚vrátit lidem kontrolu nad daty‘, což byl jeden z hlavních cílů GDPR. Nástroje pro to existují, ale lidé jsou ke svému soukromí bohužel často lhostejní,“ hodnotí dopad nařízení po pěti letech Michal Nulíček, odborník na ochranu osobních údajů z ROWAN LEGAL.

V praxi to podle něj má dopad zejména na menší firmy, které si se zavedením požadavků GDPR stále neví rady. Tomu nenapomáhá ani fakt, že GDPR je velmi obecný předpis, jehož znění si aktéři vykládají různě. V důsledku toho vznikají problémy při vyjednávání smluv – uzavírání obchodů se tak často prodlužuje a prodražuje. V extrém­ních, ovšem ne nereálných případech jsou pravidla na ochranu osob­ních údajů i důvodem, proč k dokončení transakce nikdy nedojde.

Jako obzvláště problematické se rovněž ukázalo předávání osobních dat do USA. Před několika lety totiž došlo k zásadním odhalením, ze kterých vyplynulo, že Evropa je pod setrvalým dozorem amerických orgánů. Evropané tak ve výsledku nemají možnost zjistit, jak za oceánem s jejich daty nakládají a nemají k dispozici ani žádné vhodné nástroje ochrany. „V reakci na to byl zrušen mechanismus, který umožnil volné předávání dat mezi EU a USA, což dodnes trvá. V praxi to způsobuje obrovské problémy – ať již globálním korporacím například při výměně zaměstnaneckých dat, nebo třeba i při používání běžných kancelářských softwarových nástrojů,“ zdůrazňuje Nulíček.

„Aktuálně je to tak, že se byznys samozřejmě nezastavil a data se do USA předávají dál. Přitom společnosti, které tak činí, se nikoliv svojí vinou pohybují na hraně zákona a musí vynakládat nepřiměřené úsilí a prostředky na to, aby rizika alespoň snížily. Do budoucna se rýsuje řešení, nicméně bude ještě několik měsíců trvat, než bude přijato,“ dodává.

Další záležitostí, která po pěti letech zůstává stále nedořešena, je ukládání pokut za porušení GDPR. Tato praxe se v tuzemsku a dalších státech EU liší, navíc v Česku došlo k nemožnosti pokutovat veřejné instituce, a proto řada z nich přestala brát ochranu osobních údajů vážně. Rovněž i ukládané pokuty v minulosti nedosahovaly takových výšek, aby to soukromé společnosti skutečně pocítily. „Nicméně se zdá, že se situace mění. V roce 2021 uložil Úřad na ochranu osobních údajů první opravdu vysokou pokutu ve výši 350 milionů korun, byť rozhodnutí zatím není konečné. V praxi jsme okamžitě viděli zvýšení zájmu o ochranu soukromí,“ konstatuje advokát.

Do budoucna se proto dá předpokládat, že se EU zaměří především na sjednocení rozhodovací a vymáhací praxe v členských státech. Poměrně živá debata panuje i ohledně zpřístupňování dat. V EU se momentálně diskutuje o nových pravidlech pro veřejnou správu i soukromé společnosti, které získávají data z tzv. smart technologií. Pod drobnohled evropských legislativců se tak mimo jiné dostanou i největší globální internetové společnosti.

Text a grafika: ROWAN LEGAL