Jak správně zjednodušit GDPR

Současný přístup Evropské komise ke snižování administrativní zátěže dle GDPR, zejména pro malé a střední podniky, považujeme skutečně za příliš úzký. Omezení konkrétních compliance povinností, jako je vedení záznamů, je sice krokem správným směrem, avšak mnoho společností, zejména v odvětvích datově náročných, bude i nadále mimo tyto výjimky, s ohledem na široký a komplexní výklad „vysoce rizikového“ zpracování údajů. V praxi to omezuje účinnost navrhovaných změn a zachovává velkou compliance zátěž pro mnoho organizací, jejichž postupy zpracování údajů představují přitom pro fyzické osoby nízká nebo dobře řešená rizika.

Současné úsilí EU o zvýšení konkurenceschopnosti, jak je nastíněno v Draghiho zprávě, spolu s probíhajícími diskusemi o zjednodušení GDPR, představují zásadní příležitost k řešení naléhavějších a strukturálních problémů při provádění GDPR, které brání právní jistotě a inovacím. Pokud by se tyto problémy podařilo vyřešit, nejenže by to usnadnilo dodržování předpisů, ale také by se posílily možnosti evropské digitální ekonomiky konkurovat a prosperovat v celosvětovém měřítku. Řekněme si to jasně: když odvětví volá po zjednodušení GDPR, nejde o opětovné otevření nařízení nebo zpochybnění základního práva na ochranu osobních údajů. Jde o naplnění původních cílů GDPR: harmonizace, právní jistoty a volného pohybu osobních údajů v rámci EU.

Zjednodušení musí začít nápravou nejednotného a zúženého uplatňování zásad GDPR založených na riziku a proporcionalitě. Příliš často se povinnosti uplatňují jednotně, bez ohledu na skutečný dopad na fyzické osoby. Současný model implementace „jedna velikost pro všechny“ (one-size-fits-all) málo rozlišuje mezi riziky teoretickými a těmi prokazatelnými. To nejen zvyšuje náklady na dodržování předpisů, ale také odrazuje od odpovědných inovací. Smysluplný posun vyžaduje lepší začlenění bodu č. 4 odůvodnění GDPR, který požaduje spravedlivou rovnováhu mezi právem na ochranu osobních údajů a dalšími základními právy, jako je svoboda podnikání, včetně zavádění inovací.

Tento posun v provádění GDPR by umožnil zlepšení v klíčových oblastech:

Zaměření se na skutečná rizika a prokazatelné škody, místo uplatňování plošného přístupu předběžné opatrnosti. Jasnější a harmonizované chápání toho, co představuje „vysoce rizikové“ zpracování, je nezbytné pro zajištění přiměřených povinností.

Vyjasnění použití oprávněného zájmu jako právního základu, který je v současné době podkopáván právní nejistotou, což často nutí organizace zbytečně se spoléhat na souhlas subjektů údajů, čímž se zvyšuje celková únava ze souhlasu a potlačují inovace.

Sladění GDPR s širším souborem digitálních pravidel EU, počínaje převzetím otázek souvisejících s osobními údaji ze zastaralé směrnice o soukromí a elektronických komunikacích (ePrivacy). Vzhledem ke stažení návrhu Nařízení ePrivacy nastal čas na snížení nadbytečnosti a zvýšení právní jednoznačnosti právní úpravy.

Uvolnění potenciálu kodexů chování a certifikací, které jsou stále nedostatečně využívány, navzdory jejich významu pro podporu odpovědnosti a důsledného dodržování právních předpisů. Pro fungování těchto nástrojů je nezbytný agilnější a transparentnější schvalovací proces.

Řešení nejednotných výkladů ze strany dozorových orgánů, které nadále vytvářejí právní nejistotu a narušují hospodářskou soutěž. Skutečně harmonizované vymáhání práva je zcela nezbytné pro nadnárodní společnosti působící ve více státech EU.

Aniž by byly narušeny základní zásady ochrany osobních údajů, marketingové odvětví ekonomiky založené na datech požaduje změnu paradigmatu při výkladu, který by znovu stanovil přístup založený na riziku jako hlavní zásadu GDPR. Toto je zásadní pro umožnění udržitelného, inovacím nakloněného, datového rámce, který respektuje soukromí a zároveň podporuje hospodářský růst.

Jménem datové a marketingové komunity jsme i nadále odhodláni konstruktivně spolupracovat s institucemi EU, regulačními orgány a úřady pro ochranu osobních údajů, aby se tato vize stala skutečností.