Pět let s GDPR ukazuje limity nejslavnější evropské regulace

GDPR zůstává v případě velkých firem spíše bezzubá.

GDPR zůstává v případě velkých firem spíše bezzubá. Zdroj: Istock

Ondřej Malý

Příští týden oslavíme symbolických pět let účinnosti Obecného nařízení o ochraně údajů, lépe známého jako GDPR. Dá se předpokládat, že se představitelé Evropské komise pochválí za to, jak to tehdy pěkně vymysleli a jak to další evropské instituce hezky schválily, zazní i to, že nařízení inspirovalo podobné úpravy od Kalifornie přes Brazílii až po Japonsko nebo Čínu. To všechno je pravda.

Pravda také ale je, že jsme od GDPR tak nějak očekávali omezení bezbřehého vysávání osobních dat velkými digitálními giganty. Jenže to už tak dobře nefunguje. Poslední studie Irské rady pro občanské svobody (ICCL) ukazuje, jak papírovým tygrem GDPR hlavně v případě firem jako Meta, Google a další reálně je.

Malé Irsko hraje v oblasti ochrany osobních údajů první ligu, protože právě tam z historických a daňových důvodů formálně sídlí velká část evropských poboček amerických digitálních gigantů (ale i čínských, protože v Dublinu sídlí i TikTok), kteří jsou pochopitelně ti největší potenciální i skuteční hříšníci, co se týče ochrany dat. Protože vymáhání GDPR je i na celoevropské úrovni svěřeno tomu členskému státu, kde má sídlo organizace, jíž je porušení GDPR vytýkáno, příslušný irský úřad řeší ty největší kauzy. A zjevně v tom mimořádně selhává.

Je to vidět ze závěrů studie ICCL. Irský úřad dokázal za pět let do konečného rozhodnutí dovést jen osm velkých případů porušení pravidel GDPR. Evropská rada pro ochranu údajů EPDB (ta sdružuje zástupce všech úřadů zemí sedma­dvacítky) navíc ve třech čtvrtinách případů, které se k ní dostaly, neboť se týkají více členských států, musela donutit irského regulátora k uplatnění vyšších sankcí, než chtěl udělit. Irský úřad je velmi líný cokoli vyšetřovat – podání pro porušení GDPR řešil v 83 procentech případů pouze napomenutím, což podle irského práva znamená, že už dále nemusí zkoumat, zda došlo, či nedošlo k porušení nařízení.

Ale není v tom sám. Registr pravomocných rozhodnutí, který vede EPDB, ukazuje, že za čtyři a půl roku fungování GDPR vydaly na přeshraniční úrovni různé úřady členských zemí jen 49 rozhodnutí, jimiž firmy porušující nařízení nutí k nápravě, a jen 28 pokut. Většina rozhodnutí přitom byla také jen napomenutí.

O tom, že irský úřad je doslova žábou na prameni, se ví už dlouho, stejně jako to, že mu šetření, pokud se k němu už odhodlá, příliš trvá. Ke konci roku 2021, kdy jsou k dispozici poslední data, měl nedořešených 160 případů. Loni se zabýval tímto problémem i evropský ombudsman. Výsledkem bylo, že EK se zavázala k častějšímu a podrobnějšímu monitorování jednotlivých regulátorů v členském státě, tedy že jim bude dýchat víc na krk. Jak a zda to bude fungovat, je otázkou. Šéfka irského úřadu Helen Dixonová svou práci pochopitelně brání a uvádí, že ukládají vysoké sankce (celkem už regulátor pokutoval firmy dohromady za přibližně 1,3 miliardy eur, přičemž skoro všechny sankce cílily na Zuckerbergovu Metu), a že pokuty, které hříšníkům udělil její úřad, tvořily loni dvě třetiny všech sankcí v celé EU.

Jenže důležitý je kontext těchto částek, které vypadají obrovské. Pro Metu je samozřejmě nepříjemné platit pokutu, nicméně ne zas tak moc. Oněch necelých 1,3 miliardy eur, které schytala od doby účinnosti GDPR, je čistý zisk společnosti za přibližně tři týdny. Pro Zuckerberga tak jde fakticky o „cost of doing business“ v Evropě, provozní náklady, se kterými je nutné počítat. Významnější je pro firmu ta část rozhodnutí, která ji nutí měnit způsob, jak nakládá s osobními daty – což je mimo jiné důvod, proč většinu rozhodnutí Meta napadla u soudu.

Autoři výše zmíněné studie z Irské rady pro občanské svobody poměrně správně obviňují komisi, že se věnuje nové legislativě a zapomněla na tu už funkční. A mají pravdu i v tom, že těžko budou nějaké evropské inovativní firmy a vydavatelé s to konkurovat digitálním gigantům, kterým neschopnost vymáhat pravidla týkající se nakládání s osobními daty umožňuje zneužívat své postavení a dělat si v zásadě, co chtějí.

Faktem ale je, že se evropští zákonodárci poučili a nová digitální legislativa už v sobě zahrnuje vymáhání na unijní úrovni – takto největší platformy a vyhledávače podle Aktu o digitálních službách bude hlídat přímo Evropská komise prostřednictvím speciálního útvaru. GDPR ale zůstává ve velkých prohřešcích velkých firem spíše bezzubá a je otázkou, jestli bude na evropské úrovni navržené nějaké zlepšení současného stavu a kdy. Zatím se o tlak na úřady starají aktivisté jako Rakušan Max Schrems a jeho NOYB, který má rozjetých asi 800 případů v různých zemích.

Autor je spolupracovník redakce