GDPR? Na obchodníky s osobními údaji je Česko zatím krátké
Úřady mohou udělit až půlmiliardovou pokutu. Často ale nevědí komu.
Panika z horentních pokut. Miliardy, které soukromé firmy i veřejné instituce v Česku vynaložily na papírování. Mýtus, že školy nemohou zveřejňovat fotky žáků na webu. Evropské nařízení o ochraně osobních údajů (GDPR), které platí v celé EU od 25. května, přimělo řešit ochranu údajů o zákaznících třeba i instalatéry.
Ukazuje se ale, že na ty největší kšeftaře s osobními údaji, kterým především měla směrnice zatnout tipec, je krátké. Přiznává to i Úřad pro ochranu osobních údajů (ÚOOÚ), který je za vynucování nařízení zodpovědný. Teoreticky může udělit až půlmiliardovou pokutu. Fakticky se ale v řadě případů setkává s tím, že neví komu. Na to, aby to zjistil, nemá dostatečné pravomoce.
Webová stránka Centrální registr dlužníků (CERD) se tváří, že za stokorunové poplatky vydává oficiální potvrzení o bezdlužnosti, které lidem může posloužit třeba při sjednávání půjček. Ve skutečnosti jde ale jen o bezcenný cár papíru a údaje, které v „registru“jeho provozovatel schraňuje o tisících lidech a firem, tam jsou protizákonně. Zadat je může kdokoliv a očernit tak třeba konkurenci.
I když tak CERDu kvůli schraňování osobních údajů bez povolení hrozí vysoké pokuty, s nařízením se web vypořádal svérázně. „Z důvodu potřeby zkvalitnění služeb a zajištění požadavků GDPR postupně převezme správu nad registrem technologická skupina Registry LLC na základě odkoupení všech registrů v EU,“tvrdí oznámení na webu – osobní údaje tisíců Čechů tak vlastní americká firma. Další americká firma Cerd System LLC je pak označená jako provozovatel registru.
Nedosažitelní kšeftaři
Úřednici sice tuší, že za projektem od začátku stojí český podnikatel Jiří Jedlička, který se přejmenoval na Jamese Quicka a působí jako jednatel příbuzné firmy CSR & protikorupcnilinka.cz., ale nemohou to dokázat. Americké společnosti totiž na výzvy nereagují. „Vymáhání správního práva se děje s presumpcí poctivosti kontrolovaného. Spoléhá se do značné míry na jeho součinnost a dokumenty jím předložené. Cílem je napravit mírnými prostředky pochybení, která jsou mu přičitatelná,“konstatoval mluvčí ÚOOÚ Tomáš Paták. Podobných nedosažitelných kšeftařů s citlivými osobními údaji přitom ÚOOÚ eviduje řadu. Řešení našli při zavádění GDPR u sousedů. Například v Německu zavedli za kšeftování s osobními údaji ve velkém až dva roky vězení. A jako trestný čin to policie může stíhat i v Rakousku. „Trestní stíhání se zahajuje, je-li zřejmé, že došlo k trestuhodnému jednání, které pravděpodobně zavinil obviněný. To opodstatňuje zavedení policejních nástrojů, jako je domovní a osobní prohlídka, zadržení a otevření zásilek, jejich záměna a sledování či odposlech,“dodal Paták.
V Česku ovšem trestní zákoník zůstal stále v minulém století, takže zná jen neoprávněné nakládání s osobnímu údaji, které shromáždil stát. Na soukromé byznysmeny se tak hrozba až tří let žaláře nevztahuje.
I když ve Sněmovně leží pozměňovací návrh poslance Dominika Feriho (TOP 09), který v souvislosti s GDPR žádá změnu, není pravděpodobné, že projde. Ministerstvo vnitra má totiž zásadní problém schválit i ty nejnutnější adaptační zákony, které legislativu na již platící GDPR mají připravit.
O termínu zavedení GDPR se přitom ví už dva roky. Česko ale svou úpravu na rozdíl od většiny ostatních členských států EU pořád nemá. Jak už MF DNES informovala, její schvalování zbrzdilo i to, když se ministerstvo do paragrafů pokusilo vpašovat osekání zákona o svobodném přístupu k informacím, který zajišťuje občanům práva dozvědět se třeba údaje o hospodaření politiků či úředníků.
Vnitro doufá, že adaptační zákony začnou platit do konce roku. Ovšem bez toho, že by včlenilo stíhání kšeftařů s osobními údaji.