GDPR je dnes už všeobecně srozumitelná zkratka, označující obecné nařízení o ochraně osobních údajů. Nařízení představovalo už od svého vzniku v roce 2016 velké téma pro všechny správce osobních údajů, ať už šlo o soukromý sektor nebo veřejnou správu. Jeho cílem bylo upravit pravidla zpracování osobních údajů jednotně v rámci Evropské unie a nahradit tak zastaralou regulaci, kterou u nás představoval zákon o ochraně osobních údajů z roku 2000.

Evropské nařízení je inspirací po celém světě

Přestože opravdu nových povinností přineslo nařízení vlastně pomálu, hrozba vysokých sankcí spolu s povinností provést audit zpracování dat se staly klíčovým motivačním faktorem, který donutil správce — často vůbec poprvé — zamyslet se skutečně zodpovědně nad tím, proč a jak osobní údaje sbírají a jestli to, co s nimi pak dělají, odpovídá zákonu. Současně se veřejnost dozvěděla, jaká práva jsou vlastně se zpracováním dat spojena, a často vůbec poprvé slyšela o nástrojích, kterými může člověk tok dat, která dává k dispozici, ovlivnit.

V něčem byla doba před sedmi lety podobná jako dnes. Stejně jako jsme se tehdy připravovali na nová pravidla dle nařízení o ochraně osobních údajů, dnes se připravujeme na nové nařízení o umělé inteligenci. Stejně jako dnes je nařízení o umělé inteligenci prezentováno jako překážka pokroku a konkurenční nevýhoda oproti zbytku světa, objevovala se před sedmi lety stejná argumentace i ve vztahu ke GDPR.

Aniž bych chtěl předjímat, jak dopadne vývoj a regulace umělé inteligence, v souvislosti s GDPR můžeme říci, že se spíše naplnil optimistický scénář. Nařízení o ochraně osobních údajů nevytvořilo z Evropy přeregulovaný ostrov, alespoň co se ochrany dat týká. Nařízení se naopak stalo inspirací pro mnoho dalších regulací v zemích od Brazílie po Japonsko, ale bylo i pro předpisy přijímané v USA nebo Číně. V mnoha směrech se stala právě úroveň ochrany osobních údajů nastavená v Evropě standardem, kterému se vyplatilo zpracování přizpůsobit po celém světě.

Spíše než že by GDPR bylo přílišnou brzdou, můžeme dnes konstatovat, že je brzdou nedostatečnou. Přeci jen jsme doufali ve výraznější zlepšení ochrany osobních údajů, zejména u velkých internetových platforem. Přes několik vysokých pokut udělených zejména společnostem Meta nebo Google se ale všudypřítomné sledování vysavači našich dat, kteří s námi často nehrají fér hru, odstranit nepodařilo.

Na vině je i těžkopádnost kontrolních mechanismů, většinu velkých kontrol totiž provádí personálně poddimenzovaný irský úřad pro ochranu osobních údajů, protože pro velké platformy je z mnoha důvodů lákavé zvolit si své evropské sídlo v Irsku.

Na vině jsou ale například i — více politické než právní — kompromisy schvalované Evropskou komisí, která v reakci na judikaturu Soudního dvora EU pokaždé vymyslí způsob, který umožní velkým platformám dál předávat data Evropanů do USA, aby toto řešení následně Soudní dvůr dle očekávání s obdobnými argumenty znovu odmítl jako nepřijatelné.

Naše soukromí a svobodu musíme před technologiemi chránit

Účinnost nařízení ale oslabují i národní státy, včetně České republiky. Ani zde nemůžeme Úřad pro ochranu osobních údajů pochválit za nějaké rychlé prověřování podezření na porušování nařízení. Některé kontroly trvají roky.

Možná ještě větším problémem je ale výjimka, kterou do české implementace vtělili poslanci a senátoři napříč politickým spektrem. Díky ní nemůže Úřad pro ochranu osobních údajů udělit pokutu za porušení GDPR orgánům veřejné moci a dalším veřejným subjektům. Tato právní úprava, kterou nařízení o ochraně osobních údajů připouští, pokud se pro ni státy rozhodnou, znamenala krok zpět i oproti našemu dřívějšímu zákonu o ochraně osobních údajů, který pokutování připouštěl.

Výjimka, za jejíž iniciování spolek Iuridicum Remedium udělil jednu z anticen Velkého bratra za rok 2019 poslanci Vítu Kaňkovskému, se oháněla zájmy malých obcí nebo škol. Faktem ale je, že odebrala účinný nástroj na sankcionování tak velkých a častých porušovatelů pravidel ochrany osobních údajů, jako je ministerstvo vnitra, které dlouhodobě ignoruje evropskou legislativu či judikaturu plošným uchováváním metadat o elektronické komunikaci, vedením kriminalistické databáze DNA nebo nověji využíváním metod rozpoznávání tváří policií.

Mimochodem Vít Kaňkovský se v reakci na udělení ceny zavázal, že bude iniciovat legislativní změnu. Přes jistou počáteční snahu ale zůstalo jen u slibů a dodnes tak neučinil. Haló, pane poslanče!

Poučení z GDPR

Co bychom si měli vzít ze zkušeností s GDPR? Snad to, že obavy z dopadů evropských regulací, které nám líčí zejména lidé, které živí vývoj nových technologií, je záhodno poslouchat, ale rovněž k nim přistupovat s rezervou. Hodnotou není jen pokrok a technologický vývoj, ale i naše soukromí a svoboda, kvůli nimž stojí za to občas technologie nebo nápady jejich tvůrců brzdit.

Toto brzdění ale nesmí být samoúčelné. Musíme mít účinné a rychlé mechanismy, které budou sloužit k naplňování pravidel, a vždy mít na paměti hlavní cíl regulace. U nařízení o ochraně osobních údajů bych tento cíl nazval otevřeností a férovostí vůči těm, o jejichž data jde. U nařízení o umělé inteligenci pak nutnou opatrností při nakládání s něčím, co nám může rychle přerůst přes hlavu a my už nebudeme schopni vzniklý požár uhasit.

Text byl publikován v březnu 2025 v knize Tak už teda žijeme v dystopii, která vyšla ku příležitosti dvacátého ročníku české soutěže Ceny Velkého bratra. Redakčně upraveno.