Zdroj článku: Časopis Nevšedník 1/2018, ke stažení zde…

Právní předpis jménem Pan Google

Víte, kterému právnímu předpisu se pod pokličkou říká pan Google? Určitě víte. Pokud ne, napovím více. Ráno otevírám e-maily, převažují nabídky na provedení analýzy v souvislosti s jeho implementací, nabízející se představují sloganem: „Máme toho nejlepšího certifikovaného pověřence!“
Otevřu raději Facebook. Blikne mi do očí článek, že každý podnikatel ho musí mít. Koho, ptám se sama sebe? Pověřence přece! Posuzujte vliv zpracování na ochranu osobních údajů! Všichni do jednoho! Zřejmě i ti už mrtví, na které se tento právní předpis vůbec nevztahuje… Přemýšlím nad tím, jestli už se nejedná o šíření poplašné zprávy.
Kdo je oním Panem Googlem? Samozřejmě, že všudypřítomné GDPR. První písmeno není ale zkratka pro Google, ale slovo General a následují anglická slova Data Protection Regulation. V překladu tedy obecné nařízení o ochraně osobních údajů, v plném názvu nařízení Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
Ať nekřivdím Googlu (ruku na srdce, kdo z nás by dnes vystudoval bez něj a bez dalších elektronických zdrojů?). Příčinou je samozřejmě prudká elektronizace všeho možného i nemožného. Dnes se můžete dozvědět o mnohých lidech téměř vše z Internetu. Včetně věcí důvěrných, ryze soukromých, tak se může stát, že Vaše soukromí a jeho ochrana je ta tam. Kolikrát nejste schopni uchránit vlastní osobní údaje i přesto, že byste chtěli. Například – zhruba před deseti lety vydal nejmenovaný stavební úřad územní souhlas a pro velký počet účastníků jej doručoval veřejnou vyhláškou. Je v něm mé jméno, příjmení i adresa. Donedávna šlo na Googlu najít odkaz na tento dokument.
Osobní údaj už tedy není mým výhradním majetkem, ani otázkou jednoho státu, ale lze jej šířit přes hranice jednoho státu, Evropské unie a dále přes „velkou louži“. Je potřeba jej chránit. Tato potřeba se tu ale neobjevila nyní s příchodem GDPR. Byla tu už před tím. A nebyla tak tragická. Jen už neodpovídá dnešní době plné neomezených možností šíření.
Jednou z posledních kapek vedoucích k přípravě evropské regulace byl rozsudek soudního dvora ECLI:EU:C:214:317 ze dne 13.05.2014, nazývaný jednoduše Google vs. Spain. Jak název napovídá, jednalo se o rozsudek o předběžné sporné otázce, jež vznikla mezi společností Google Spain SL a Google Inc. na jedné straně a Agencia Española de Protección de Datos – AEPD (Státní úřad pro ochranu údajů, dále jen AEPD) a M. Costeja Gonzálezem na straně druhé. Spornou bylo rozhodnutí uvedeného úřadu, kterým uvedený úřad vyhověl stížnosti podané M. Costeja Gonzálezem proti uvedeným dvěma společnostem a uložil společnosti Google Inc., aby přijala opatření nezbytná k odstranění osobních údajů týkajících se M. Costeja Gonzáleze ze svého indexu a zabránila přístupu k těmto údajům v budoucnosti. Jak to říci srozumitelně – o panu González bylo možné najít informace, staré 16 let v souvislosti s dražbou nemovitostí v rámci jeho dluhů. Soud zde definoval právo „být zapomenut“. A co vlastně jde? Každý má právo požádat, aby osobní údaje (v tomto případě dokonce citlivé) o něm, pokud nemají již právní titul, byly zapomenuty, vymazány.
Toto právo a mnohé jiné najdeme právě v GDPR. Najdeme tam také mnoho povinností. Obecně subjektům údajů (tedy těm, kterých se osobní údaje týkají), příslušní spíše práva a správcům a zpracovatelům povinnosti. Těm GDPR povinnosti skutečně ukládá. Těm běžným – mikropodnikům a malým podnikům s méně než 250 zaměstnanci – vskutku velmi málo nových. Jiná situace je samozřejmě u orgánů veřejné správy, které mají k dispozici mnoho osobních údajů, na kterých jsou postaveny důkladně propojené informační systémy napříč celou republikou.
Není účelem článku specifikovat všechny povinnosti z GDPR plynoucí. Účelem je zdůraznit, že ochrana osobních údajů tu byla již mnohem dříve. Na první problémy v souvislosti s šířící se globalizací reagovala evropská právní úprava vydáním směrnice Evropského parlamentu a Rady 95/46/EU, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Tato směrnice vyvolala u nás novou právní úpravu, kterou byl zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Nyní se připravuje jeho novela. Nečekejte něco převratně nového. Nebo spíše – vůbec na ni nečekejte. GDPR je na území České republiky přímo účinné. Není nadřazené našemu právu. Aplikuje se jen přednostně, jak se říká v právní terminologii. Začtete-li se do jeho úvodu, zjistíte, že je velmi obecné (based-performance). Nikde nevyčtete, že musíte být schopní na dálku „odpálit“ Váš zcizený notebook, že jediným právním titulem ke zpracování osobních údajů je souhlas a tento musí být výslovný. Vnímejte ho skutečně jako ochranářské. Možná po jeho účinnosti budeme sami více přemýšlet nad tím, jestli skutečně každý musí vědět, že já, Andrea Kovářová, momentálně večeřím v restauraci s celou svojí rodinou a můj dům je tedy prázdný. Račte tedy do něj, zloději, vstoupit…