Nic takového přitom evropská pravidla nenařizují. Vedení návštěvní knihy ani není zpracováním osobních údajů a podobné je to s vyvěšováním výtvarných děl. "Tam půjde o oblast osobních práv, která je upravena v občanském zákoníku," říká advokát Squire Patton Boggs Jaroslav Tajbr. Místo plošného sundávání dětských výtvorů by podle něj stačilo, kdyby školy z chodeb a tříd odstranily jen obrázky a výrobky těch dětí, jejichž rodiče o to školu výslovně požádají. Omlouvání dětí je možné jednoduše řešit předáním omluvenky učitelce.
"Přestřelení" evropských pravidel je ve školství, ale i v jiných státních institucích snadno pochopitelné.
"Školství je dlouhodobě zatěžováno výkaznictvím, metodologiemi a jinou administrativou. Evropské nařízení tak mohlo v řadě ředitelů snadno vzbudit pocit, že je třeba papírů vyprodukovat ještě o trochu více," míní Tajbr.
Dalším důvodem absurdních opatření pak může být to, že se školy většinou připravovaly na nařízení vlastními silami. V rozpočtech se jim totiž podle Asociace ředitelů základních škol nedostávalo peněz, aby si zaplatily konzultace s právníky.
Paniku kolem GDPR navíc přiživila i hrozba astronomických pokut, které nařízení zavedlo. Ty mohou podle závažnosti porušení pravidel ochrany osobních dat vystoupat až na 20 milionů eur, tedy zhruba půl miliardy korun.
Z obsahu aktuálního čísla Ekonomu
Téma čísla
Rozhovor
Další témata
Ze světa práva
Novela zákona o obchodních korporacích zjednoduší zakládání i rušení firem
Moje tři cesty
Restaurace
Portfolio Ekonomu
Obří telekomunikační fúze v USA a jak z toho může těžit česká PPF
A za co by reálně mohli správci dat pokutu dostat? Typickým příkladem pokutovatelného prohřešku proti GDPR je "vydírání", kterého se dopouští někteří podnikatelé při získávání souhlasů se zpracováním osobních údajů od svých zákazníků. Ač podle nařízení musí být souhlas vždy svobodný a lidé mají mít možnost ho i neudělit, praxe mnohdy vypadá jinak. Příklad popisuje partner KPMG Martin Hladík: "Na recepci hotelu v Mariánských Lázních kolegyni například řekli, že jestli nepodepíše souhlas se zpracováním osobních údajů, tak ji neubytují. Byl už večer, tak podepsala."
Inspektorům chyběl zákon
Ačkoliv takové nezákonné chování není v českých podmínkách ojedinělé, první rok účinnosti nařízení žádné drakonické sankce nepřinesl. Úřad pro ochranu osobních údajů, který na dodržování evropských pravidel v Česku dohlíží, dosud uložil jen osm pokut. Nejvyšší dosáhla 250 tisíc korun a dostala ji banka za to, že držela osobní údaje, které měla smazat, i po uplynutí lhůty pro jejich likvidaci. O jakou konkrétní banku šlo, úřad s ohledem na svá interní pravidla nezveřejnil. Ostatní sankce byly mnohem nižší − pohybovaly se v řádu desítek tisíc korun. Nejnižší pokuta pak činila pouhých pět tisíc korun a dostala ji nezisková organizace za zpracování nepřesných údajů a neposkytnutí přístupu ke zpracovávaným údajům.
Právníci předpokládají, že jakmile si úřady nová pravidla "osahají", začnou růst i sankce. V českých podmínkách k jejich nízkému počtu i výši vedlo mimo jiné to, že Úřad pro ochranu osobních údajů po většinu času pracoval "v provizoriu". Až do konce letošního dubna totiž Česko nemělo schválený adaptační zákon k novému nařízení. Ač nařízení platilo i bez něj, úřadu chyběly regule, jak s ním pracovat.
"Bez adaptačního zákona nemohl úřad začít plně fungovat v nové podobě. My jsme stále postupovali podle starého zákona o ochraně osobních údajů a ten museli kombinovat s GDPR," říká ředitel správní sekce Úřadu pro ochranu osobních údajů Josef Prokeš.
I proto a s přihlédnutím k poradní roli, kterou evropské nařízení ukládá, se úřad rozhodl, že bude ke správcům dat mírný a spíše než na represe vsadil na konzultace a vstřícnost. "Většina správců a zpracovatelů to mezidobí do účinnosti českého zákona vzala jako dodatečnou lhůtu pro adaptaci na nařízení," dodává Prokeš.
To ostatně potvrdil i březnový průzkum společnosti Cisco. Ukázal, že požadavky vyplývající z nařízení splňuje úplně či z větší části jen 59 procent podniků. A podobně vyznívá i čerstvý průzkum poradenské společnosti KPMG, který na konferenci GDPR rok poté, pořádané vydavatelstvím Economia, představil partner KPMG Martin Hladík.
Průzkum analyzoval, jak je na tom s dodržováním nových pravidel 52 významných českých společností od bank přes pojišťovny a telefonní operátory až po dopravce a energetické společnosti. Prohřešků proti nařízení jen ve veřejně dostupných údajích odhalil 76.
Problematické ve firmách bylo například to, jak plní informační povinnost, kterou podle nařízení mají vůči zákazníkům.
"Šlo o nejasně vymezený rozsah osobních údajů, které podniky zpracovávají, vymezení účelu, pro který je drží, a doby, po kterou je drží," popisuje Hladík. Chyby KPMG našlo také ve způsobu, jakým podniky sbírají souhlasy se zpracováním zákaznických dat, nebo v tom, jakým způsobem u nich mohou lidé uplatnit práva, která podle nových pravidel mají, tedy například právo žádat výmaz svých údajů z marketingových databází. Uvnitř podnikových procesů a systémů pak typicky bývá největším problémem zajistit výmaz dat. "Většina firem se nedokáže zbavit těch, která už dávno nemá mít, a nastavit způsob, jak data průběžně vymazávat, když od nich klient odchází," uvádí Hladík.
Nejlépe v průzkumu KPMG dopadly banky a pojišťovny. Naopak nejvíce prohřešků či nejasností poradci odhalili u sportovních organizací a nemocnic. "Fakultní nemocnice dlouho neřešily GDPR vůbec. Čekaly na pokyny z ministerstva zdravotnictví. V momentě, kdy je dostaly, je všechny jak přes kopírák zavedly," říká Hladík. V rozporu se stávajícími předpisy jsou zejména v oblasti zpracování cookies, tedy ukládání informací o návštěvnících svých webů. "Fakultní nemocnice používají cookies, sledují, co dělají návštěvníci na jejich webu, ale nemají tam souhlas se zpracováním cookies ani informaci, že je používají," upozorňuje Hladík.
Podniky a státní instituce ale nedohánějí zdaleka jen nedostatky, které mají v přechodu na nová pravidla. Často chybují i v tom, co měly dodržovat už před účinností evropského nařízení. To ostatně ukazují i pokuty, které úřad uložil od loňského května. "Nejsou to kauzy, které by se týkaly novinek plynoucích z GDPR. Jsou to věci, které by byly trestatelné i podle starého zákona," zdůrazňuje Prokeš.
Nenaplněná očekávání
Běžní občané si od nařízení zejména slibovali, že zabrání tomu, aby jejich e-mailové schránky plnily nevyžádané marketingové nabídky. To se ale nestalo.
Jednak proto, že spíše než GDPR má problematiku spamů řešit jeho sesterské nařízení ePrivacy, které ale ještě Evropská unie nestihla schválit, a navíc ani GDPR nefunguje ve vakuu. Navazují na něj další zákony. "Zákon o některých službách informační společnosti říká, že marketingová sdělení může společnost zasílat bez souhlasu svému zákazníkovi, se kterým vede jednání o smlouvě nebo s ním dříve komunikovala o nějaké transakci týkající se typově podobného zboží," vysvětluje partner advokátní kanceláře Rowan Legal Michal Nulíček.
Této výjimky hojně využívají e-shopy nebo také banky. Patří k nim například ČSOB. "Klienti, kteří se k žádosti o souhlas se zpracováním osobních údajů nevyjádřili, dostávají základní marketingovou nabídku," popisuje Margit Doležalová, která pracuje jako pověřenec pro ochranu osobních údajů v ČSOB. Od marketingových kampaní cílících na zákazníky, kteří bance souhlas udělili, se základní nabídka liší v tom, že se neopírá o analýzu informací o konkrétním zákazníkovi. Může se tak stát, že takovému klientovi banka nabídne produkt, který už u ní má. Firmy také mohou bez souhlasu posílat zákazníkům informace technického charakteru, například avíza na plánované odstávky svých aplikací nebo informace o chystaném uzavření prodejen.
GDPR v zapomnění
Ačkoliv loni před účinností evropských pravidel kvůli nim zavládla v Česku panika a firmy se mnohdy na poslední chvíli snažily dohnat resty v ochraně osobních údajů, letos to v řadě podniků vypadá, že na hrozbu astronomických pokut zapomněly.
"Obávaly se sankcí, ty ale byly uděleny v minimálním rozsahu. Zároveň se obávaly, že se GDPR stane prostředkem nepříjemných zákazníků a konkurence, jak firmám otrávit život tím, že na ně bude podána spousta požadavků na výmaz osobních údajů, jejich přenos nebo zpřístupnění. Ani to se neukázalo jako pravdivé," připomíná Hladík z KPMG. To podle něj v očích manažerů často vedlo k popírání významu nařízení. Jejich přístup k pracovníkům zabývajícím se ochranou osobních údajů by se tak teď dal shrnout slovy: Vy jste nás zbytečně vyděsili, my vám na oplátku do toho projektu už nedáme ani korunu.
Jenže ve firmách zároveň zůstala po účinnosti GDPR nedokončena řada dlouhodobých úkolů, které mají na ochranu osobních údajů zásadní dopad. "Zejména větší firmy potřebují pro soulad s GDPR upravit funkcionality IT systémů, na kterých často stojí celé jejich podnikání," uvádí příklad právník Deloitte Legal Martin Bartoň.
Za odmítáním dalších výdajů ale mohou stát také vysoké náklady, které už podniky s přizpůsobením se novým pravidlům měly. Tak například Česká spořitelna výdaje spojené s přípravou na nařízení vyčíslila na 100 milionů korun. Podle propočtů Hospodářské komory celkově čeští podnikatelé utratili za opatření spojená s GDPR 25 miliard korun. Svaz průmyslu a dopravy, který do svých odhadů zahrnul nejen firmy, ale i živnostníky, hovoří dokonce o stovkách miliard korun.
