Evropské Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (General data protection – GDPR) bylo hlavním tématem první akce letošního Pražského právnického jara, kterou pořádá Stálá konference českého práva. Mediálním partnerem akce je již tradičně Česká justice. Z debaty na Právnické fakultě UK vyplynulo, že pravidla okolo zavádění toho nařízení jsou velice volná a zdaleka nepokrývají všechny oblasti, kde se s osobními daty manipuluje.
Pražské právnické jaro je pravidelný seriál přednášek a debat na aktuální témata nejen z justice, ale z celé společnosti. Letošní ročník byl zahájen debatou na velmi aktuální téma příprav na účinnost Nařízení EU o ochraně osobních dat – GDPR.
V zasedací místnosti děkana právnické fakulty se sešli odborníci z právních kanceláří, místopředseda Nejvyššího soudu, poslanci a také právník jednoho z největších novinových vydavatelství. V auditoriu se kromě člena Rady Energetického regulačního úřadu objevili také zástupci televize Prima.
Podle zakladatele pražského právnického jara Karla Havlíčka umožňuje současné nastavení GDPR tím, že je to evropské nařízení, velkou kreativitu jednotlivým členským zemím v upřesnění výkladu. „Tento stav dává velký prostor národním upřesněním. Tím pádem otevírá dveře horlivcům a to je to nejhorší, co se mohlo stát,“ řekl na úvod konference Havlíček. Poukazoval především na příliš vágní formulace, které Nařízení obsahuje. „Například je uvedeno, že musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny. Takové opatření ale nemůžeme nazývat právní normou,“ uvedl příklad Havlíček. Tato právní úprava podle něj otevírá dveře plošné kriminalizaci. „To je trend, který je v naší společnosti velmi citelný. Tato nová regulace bude mít velkou šanci stát se dalším generátorem kriminality. Podobně jako je to mu u neustále „zdokonalované“ úpravy oblasti veřejných zakázek. Ta je největším korupčním prostředím a také největším zdrojem kriminalizace jednotlivých osob,“ dodal Karel Havlíček.
Právě velkého prostoru pro národní upřesnění a případné kriminalizace se ve svém velmi emotivním příspěvku dotkl televizní redaktor Patrik Kaizr který uvedl, že při analýze dopadů GDPR na novinářskou práci a speciálně na tu televizní zjistil, že televize budou moci vysílat pouze „hrající si koťátka“.
Novináři totiž z podstaty své práce sbírají data o politicích a dalších veřejně činných osobách, pracují s informacemi o jejich majetku apod. Na to vše by se podle Kaizra mohl vztahovat „oprávněný zájem subjektu údajů“ tedy těch o nichž jsou data sbírána, aby byla v rámci Nařízení vymazána a dotyčnému bylo zajištěno „právo být zapomenut“ jak se uvádí v jednom z bodu nařízení. „Například v Polsku a Švédsku byli novináři vyjmuti z GDPR obecně. Vzhledem k současným náladám společnosti a především politiků vůči novinářům, kdy se o všech nepohodlných informacích o politicích říká, že je to účelovka a je vyvíjen tlak na omezení práce novinářů, obávám se, že GDPR bude bičem na novináře,“ upozornil Kaizr.
A jako příklad uvedl citaci z nařízení, že i veřejně známá informace o subjektu údajů je osobním údajem a tedy musí s ní být takto nakládáno. Stejně tak je to s příslušností k politické straně, či členství v odborové organizaci. „Znamená to, že nebudeme moci říct, že Kalousek je z TOPky, nebo že odboráři svolali nějakou demonstraci?,“ ptal se Kaizr. Zároveň se obává toho, že kdokoliv bude moct při rigidním uplatnění GDPR nařízení požádat o vymazání jeho záznamů z archivu televize.
Odborník na tuto oblast Michal Nulíček z advokátní kanceláře Rowan Legal by se podle svých slov takového kroku neobával. Právo na výmaz je podle něj velmi přesně specifikováno a omezeno. A jedním z omezujících parametrů je právo na svobodu slova a práva na informace, kterou by mohli právníci televizí argumentovat, pokud by někdo s takovým požadavkem přišel.
Budou soudní vykonavatelé moci natáčet zákroky jako dosud?
Další oblastí ochrany osobních dat bylo jednání mezi vymahačskými firmami, případně vykonavateli soudního exekutora a dlužníky. Vykonavateli jsou totiž často pořizovány videozáznamy z výkonu rozhodnutí. Poslankyně za SPD Jana Levová se v souvislosti s nástupem účinnosti GDPR ptala, jestli se na tuto oblast bude vztahovat ochrana osobních údajů.
„Toto nahrávání je především pro ochranu klienta, tedy povinného, jelikož když pracovníci, kteří tu exekuci vykonávají, ví, že jsou nahráváni na video, tak se také chovají v rámci zákona,“ řekl k tomu místopředseda Nejvyššího soudu Roman Fiala.
Zároveň ale připustil, že pokud se někdo z povinných obrátí na soudy, může se dočkat jiného názoru. Zejména od Evropského soudu pro lidská práva ve Štrasburku. Zmínil případ ze své soudní praxe, kdy byli tři společníci jedné firmy, jeden z nich zbylé dva okrádal. Když se jim při společném jednání vysmíval, oni si ho nahráli a nahrávku chtěli využít jako důkaz. Nejvyšší soud rozhodl ve prospěch okrádaných, jenže Evropský soud pro lidská práva rozhodl, že ten, který kradl a odvolal se proti verdiktu NS, má právo na ochranu svých údajů a celý případ zvrátil. „Tím chci jenom říct, že je naprosto jasné, že Evropský soud pro lidská práva většinou stojí na straně těch, jejichž údaje se sbírají. Z toho vyplývá, že případné soudy v souvislosti s GDPR budou tedy velmi dlouhé a například novináři se zcela oprávněně obávají omezení své práce,“ řekl Fiala.
V debatě zazněl také dotaz, zda-li se Nařízení o ochraně osobních údajů dotkne v poslední době velice diskutovaného zveřejňování majetkových poměrů politiků (psali jsme například v textu Zákon o zveřejňování majetků komunálních politiků může lidi odradit, uznává Babiš). „Tedy, že by s odkazem na ochranu osobních údajů zástupci samospráv odmítali zveřejňovat svůj majetek. Tady jsou přece zcela jasně oni tím subjektem údajů,“ ptala se poslankyně Levová, která je také členkou Ústavně-právního výboru Sněmovny. Podle Michala Nulíčka tento nápad neuspěje. „Pokud je informace zveřejněná a je na ní veřejný zájem, tak se to určitě měnit nebude,“ řekl Nulíček. Stejný argument pak podle něj uspěje také u případných sporů o novinářské práci.
Nevíte, jestli jste povinni řešit GDPR? Pomůže vám desatero
Jan Sůra, partner advokátní kanceláře Císař, Češka, Smutný při svém vystoupení prezentoval Desatero k GDPR, podle nějž by se všichni, kdo se domnívají, že by se na ně měla vztahovat povinnost řešit toto nařízení, mohou řídit:
„Původně jsme se tímto tématem nechtěli vůbec zabývat. Jenže klienti neustále požadovali, zpracování analýz, jestli se jich GDPR týká nebo ne a řadu dalších služeb spojených s tímto předpisem, až jsme se tedy rozhodli na problematiku podívat velice detailně. Právě proto jsme vypracovali i toto desatero, které velice podrobně popisuje, jakých kroků by se měly subjekty, které zpracovávají osobní údaje, držet,“ řekl Sůra.
Michal Nulíček z Rowan Legal ve své prezentaci upozornil na skutečnost, že řada firem dnes řeší GDPR, ale kdyby dodržovala již platný Zákon o ochraně osobních údajů, nemusela by tolik řešit GDPR. „Říká se, že kdo dodržoval zákon na osobních ůdajů, tak se nemá čeho obávat. Skutečnost je však taková, že ji téměř nikdo nedodržoval. Také to bylo způsobeno tím, že pokuty byly úplně někde jinde a subjekty údajů, tedy lidé se moc nezajímali o to, kdo co o nich zpracovává,“ říká Michal Nulíček partner advokátní kanceláře Rowan Legal. S tím jsou spojené i relativně velké náklady, jelikož se musí mnohdy začít zcela od začátku.
Podle něj navíc na právo výmazu osobních údajů nejsou připraveny velké IT společnosti, protože s takovouto variantou nikdy při tvorbě svých systémů nepočítaly. „Když se dnes díváme na to, jak jsou systémy nastavené, tak největší IT společnosti nejsou schopny garantovat, že vymažou konkrétní údaj, pokud o to dotčená osoba požádá. Systémy jsou tak provázané, že by se mohly zhroutit,“ dodává Nulíček. Ten se také zabýval přístupem jednotlivých národních úřadů pro ochranu osobních údajů k implementaci GDPR. Upozornil na stránky českého Úřadu pro ochranu hospodářské soutěže, který pravidelně vydává stanoviska pracovní skupiny WP29 a také překlady všech relevantních stanovisek. Ze zahraničních vyzdvihl britský dozorový úřadu ICO, který vydává velmi užitečné připomínky k GDPR především pro malé a střední podniky.
Jiří Reichl
