Jan Zavřel: Lze vynutit efektivní ochranu osobních údajů zákonem?

13.04.2018 15:46 | Zprávy

V článku A Question of Trust (Otázka důvěry), publikovaném v časopise Think:Act #24 02/2018 se píše: „Svět se stal hrozným místem v dnešní době digitálních informací. To vás nutí posadit se a zamyslet se nad tím, jak rychlý pokrok nastal v schopnosti dolovat a zpeněžovat informace. Korporace a jejich zákazníci jsou překvapeni, ne-li zaskočeni tím, co vše je možné v novém a dosud nepoznaném světě digitálních informací.“

Jan Zavřel: Lze vynutit efektivní ochranu osobních údajů zákonem?
Foto: pixabay.com
Popisek: GDPR, ilustrační foto

Jakákoliv informace obecně je aktivum. Osobní údaje jsou aktivem každé fyzické osoby. Proto stojí za ochranu zrovna tak, jako si chráníme svůj byt nebo automobil. Z tohoto pohledu je Nařízení EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů jistě chvályhodný počin. Ovšem je potřeba, aby organizacím přešla do krve i etika ochrany osobních údajů zrovna tak, jako dnes už většině organizací přešla do krve péče o ochranu životního prostředí nebo obecně společenská odpovědnost (Corporate Social Responsibility).

Ve své knize Data Ethics: The New Competitive Advantage (Etika informací: Nová konkurenční výhoda) píší autoři Gry Hasselbalch a Pernille Tranberg následující: „Společnosti, které v dnešní době „velkých dat“, ctí etické zásady, dělají pro ochranu osobních údajů víc než jen to, že jsou v souladu s platnou legislativou. Ctí ducha a vizi platné legislativy, bedlivě naslouchají svým zákazníkům a implementují věrohodnou a transparentní politiku pro management osobních údajů. Zpracovávají pouze nezbytně nutný rozsah osobních údajů a vyvíjejí takovou podnikovou kulturu a organizační struktury, které zaručují důvěrnost informací. Některé společnosti vyvíjejí a navrhují nové produkty a služby od počátku tak, aby svou vnitřní strukturou ctily principy ochrany osobních údajů (Privacy by Design).“

Podívejme se však na některé principy a zásady Nařízení EU 2016/679 (obecné nařízení o ochraně osobních údajů), tak jak je vykládá český Úřad pro Ochranu osobních údajů, které dle mého názoru snižují hodnověrnost Nařízení EU 2016/679 v očích podnikatelů a snižují vůli podnikatelů, společností a organizací ztotožnit se s ním. (Pokoušel jsem se získat výklad přímo od institucí EU, byl jsem však odkázán na český ÚOOÚ.)

V Nařízení EU 2016/679 se několikrát uvádí, že má být brán zvláštní zřetel na MSP 1). A sice v preambuli Nařízení EU 2016/679 v odstavcích (13), (98), (132) a (167) a v článku 30 odstavec 5. a v článcích 40 a 42 v odstavci 1.

V článku 30 odstavci 5. se celkem logicky uvádí: „Povinnosti uvedené v odstavcích 1 a 2 (povinnost vést záznamy o činnostech zpracování; pozn. autora) se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, …“

Výklad ÚOOÚ pak zní: „Pokud společnost provádí zpracování osobních údajů svých zaměstnanců za účelem vyplácení mezd, není takové zpracování příležitostné a společnost by měla vypracovat záznamy o činnostech zpracování osobních údajů.“

Je skutečně myslitelné, že úředníci EU, kteří tvořili Nařízení EU 2016/679 v jednom odstavci v první větě udělili výjimku pro organizace s méně než 250 zaměstnanci s tím, že v druhé větě téhož odstavce tuto výjimku prakticky zruší? Nebo je český ÚOOÚ papežštější než papež?

Vždyť podle výkladu českého ÚOOÚ platí tato výjimka jen a pouze pro organizace s méně než 250 zaměstnanci, které zaměstnávají nula zaměstnanců!

Navíc v době, kdy se v médiích a na půdě HK ČR diskutuje nadměrná administrativní zátěž podnikatelů, ÚOOÚ napíše větu: „ …, že záznamy jsou pouze několikastránkový dokument, ve kterém správce shrnuje své zpracování, neměla by tato povinnost představovat pro správce zásadní administrativní zátěž.“ Naši předkové pro tuto situaci vymysleli jadrné přísloví: Stokrát nic umořilo osla. Další výklad ÚOOÚ praví: „Informace o zpracování osobních údajů do pracovní smlouvy nepatří. Tyto informace by měly být poskytnuty zaměstnanci odděleně a vysvětlit mu, že se jedná o povinné osobní údaje poskytované například pro mzdovou agendu či pro účel sociálního nebo zdravotního pojištění.“

Nechci nikterak přeceňovat inteligenční úroveň českých zaměstnanců, ale jsem bytostně přesvědčen, že čeští zaměstnanci už desítky, ne-li stovky let vědí, že zaměstnavatelé zpracovávají jejich osobní údaje právě pro účely mzdové agendy. Je skutečně nutné ve všech podnicích a organizacích potisknout miliony stránek kancelářského papíru, spotřebovat tuny tonerů a tisíce hodin administrativních pracovníků, aby zaměstnanci dostali do ruky papír, který jim nic nového neříká a tak jako tak při nejbližší příležitosti skončí v koši?

Další navýšení zbytečné administrativy hrozí z výkladu vztahu výrobce a dopravce. Kdy některé právní kanceláře označují tento vztah jako vztah správce a zpracovatele. Odůvodňují to tím, že dopravce nahlíží a používá osobní údaje uvedené na zásilkách k jejich doručení. Zatímco zákon č. 89/2012 občanský zákoník ponechává volbu formy právního jednání včetně volby formy pro smlouvu o přepravě věci, tak Nařízení EU 2016/679 vyžaduje pro smlouvu nebo jiný právní akt upravující zpracování osobních údajů písemné vyhotovení. To znamená, že když vinař požádá souseda vlastnícího dodávku, aby dovezl pět krabic s vínem jeho odběratelům, musel by s ním uzavřít písemnou (i elektronickou) smlouvu o zpracování osobních údajů, protože mu předal jména a adresy těchto fyzických osob. Popravdě řečeno neumím si představit, že by něco takového dělal vinař ve Francii.

Dalším výkladem ÚOOÚ s podobnými důsledky jako u předchozích případů je i: „ … správce je povinen přijmout odpovídající technická a organizační opatření, aby nemohlo dojít ke zneužití osobních údajů na balíčkách na nákladové rampě, a tato opatření podle potřeby revidovat a aktualizovat.“ Nejsem vůbec přesvědčen, že skenování adres na balíčcích připravených k přepravě je nějak významnou únikovou cestou osobních údajů.

Jistě by se našla i celá řada dalších příkladů příliš „ortodoxního“ výkladu Nařízení EU 2016/679, které nijak nezvyšují ochranu osobních údajů, nepřispívají k vyššímu komfortu subjektů údajů, ale spolehlivě zatěžují zvláště MSP zcela zbytečnou administrativou.

Dovolím si tímto vyzvat ÚOOÚ, aby k výkladu některých ustanovení Nařízení EU 2016/679 přistoupil z pohledu zdravého selského rozumu a nenutil podnikatele a organizace, zvláště pak MSP, dělat něco, co nepřináší žádný efekt a jen zvyšuje jejich administrativní zátěž. Může k tomu využít jak svého vlivu ve sboru nebo při jednáních pracovních skupin WP 29.

Nezbývá než doufat, že osel (v našem případě podnikatel) se nenechá dalšími a dalšími „nic“ z produkce státních úředníků umořit.

Poznámka:
1) Pojem mikropodniky a malé a střední podniky (MSP) vychází z článku 2 přílohy doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků, malých a středních podniků

Tento článek je uzamčen

Po kliknutí na tlačítko "odemknout" Vám zobrazíme odpovídající možnosti pro odemčení a případnému sdílení článku.

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: PV

Kampaň "snížili jsme deficit o 180 miliard"

Pane preiére, kde si mohu toto sdělení ověřit? Podle všeho je zavádějící a lživé (viz.: https://www.novinky.cz/clanek/ekonomika-fiala-se-chlubi-srazenim-deficitu-rozpoctu-k-nemuz-ale-zatim-nedoslo-40495940), pokud je to pravda a jste si toho vědom, pak cíleně dezinformujete. Ptám se tedy ještě jedno...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

Petr Brandtner: Další podpásovka v „kauze Ševčík“

14:08 Petr Brandtner: Další podpásovka v „kauze Ševčík“

Pondělní Seznam Zprávy přinesly další z řady článků týkajících se osoby a osudu doc. Miroslava Ševčí…