Vysvetlenie negativných dopadov GDPR v rámci B2B a B2C

Zasažené oblasti:

  • rozvoj volného obchodu mezi zeměmi EU
  • prověřitelnost firem v rámci B2B i B2C
  • snížení transparentnosti s nákladním s veřejnými prostředky z evropských fondů
  • vývoj softwarových řešení v rámci EU
  • otevřená data
  • efektivita evropských firem
  • zhoršení efektivity obchodních oddělení
  • zhoršení podmínky podnikání malých a začínajících firem

Rozvoj obchodu mezi zeměmi EU:

Jednou z hlavních myšlenek EU je podpora volného obchodu mezi státy evropské unie. GDPR naopak dle nás negativně ovlivňuje rozvoj obchodu v rámci B2B mezi státy EU. Máme za to, že pro rozvoj podnikání v rámci EU je důležitá možnost snadno vyhledat, prověřit obchodní partnery. GDPR naopak snižuje dostupnost informací a možnosti prověření firem. Máme za to, že místo omezování dostupnosti dat by naopak měl být dostupný jednotný rejstřík, který by byl využitelný jak k ověření existence obchodních subjektů, jejich zastupujících osob a tyto data by měli být navíc poskytovaný jako otevřené, tak aby mohly být využity pro vývoj softwarových řešení zvyšujících efektivitu evropských firem.

Prověřitelnost firem:

GDPR má i z naší zkušenosti zcela průkazné negativní důsledky jak pro B2B, tak B2C v rámci prověřitelnosti firem. Máme za to, že jak právnické, tak fyzické osoby nemají využívat GDPR jako důvod proč omezovat přístup k informacím o jejich podnikání, jak současném, tak historii, což se aktuálně děje. Jelikož sami provozujeme databázi firem setkáváme se pravidelně, že se fyzické podnikající osoby, právnické osoby nebo statutáři firem snaží ohánět ochranou svých osobních údajů a argumentují GDPR. Výsledkem je, že jak jiné firmy, tak koncový spotřebitelé mají zhoršené možnosti odhalit nepoctivé podnikající subjekty jak fyzické nebo právnické osoby. Tyto se při zveřejňování negativních informací o nich samotných hájí ochranou svých osobních údajů. GDPR tedy používají jako způsob, který jim pomáhá chránit jejich negativní pověst a případné podvody. GDPR nemá sloužit jako ochrana nepoctivých podnikatelů nebo k zastírání informací, které jsou požadovány běžně k prověření podnikatelů.

Jedním z přímých negativních důsledků je například z českého živnostenského rejstříku zmizla v návaznosti na GDPR informaci o bydliště podnikatele, díky této úpravě si tak ať nepodnikající, tak jiné firmy nemohou být 100% jisti, že jednají se skutečným zástupcem firmy, že jim podepisuje smlouvu správná osoba apod.

Když jsem s tímto konfrontovali Ministerstvo průmyslu a obchodu proč tyto údaje přestal poskytovat a jak si mají být zákazníci skutečně jisti, že jednají se skutečným zástupcem firmy. Tak nám Ministerstvo průmyslu a obchodu sdělilo, že by správně měli zákazníci a obchodní partneři požadovat po podnikateli výpis z neveřejné části živnostnenského rejstříku, který navíc běžně podnikatel ani nemá a musí pro jeho získání osobně na úřad. Máme za to, že prověření podnikatele má jít i diskrétní cestou a bez nutnosti poslání prověřovaného podnikatele na úřad, což případné budoucí spolupráci mezi podnikateli nepřidá. Navíc se tímto vracíme do 80 let kdy nebyl internet. Navíc v době koronavirové epidemie ani úřady řádně nefungovaly a lidem je naopak doporučováno se vyhýbat zbytečným fyzickým kontaktům.

Výňatek z odpovědi Ministerstva průmyslu a obchodu:

“Údaje z neveřejné části živnostenského rejstříku, např. údaj o bydlišti nebo rodném čísle, poskytuje živnostenský úřad pouze podnikateli, kterého se týkají, správnímu orgánu, pokud tyto údaje potřebuje pro výkon své činnosti, a v případech stanovených jinými právními předpisy.”

Má být výsledkem GDPR Evropa, která jde cestou zpět a místo elektronizace a snadné prověřitelnosti obchodních subjektů napříč státy jde cestou vytváření prostředí, které snižuje transparentnost podnikatelů, nutí podnikatele k fyzickým návštěvám úřadů?

Pokud by chtěla například zahraniční firma prověřit českého podnikatele za účelem navázání spolupráce, jen velmi těžko na dálku skutečně zjistí, že dokument, který má být výpisem z neveřejné části rejstříku je skutečně praví, když nikde není ani jasná forma.

Máme za to, že prověřit jak právnické, tak fyzické podnikající osoby má jít snadno elektronicky bez nutnosti a tyto údaje mají být navíc poskytovány formou otevřených dat, tak aby byly snadno implementovatelné do informačních technologií.

Tím, že se fyzická osoba rozhodne podnikat vlastním jménem a na vlastní odpovědnost vyjadřuje vůli, aby bylo její jméno a další informace spojeno právě s její podnikatelskou činností, je poté nesmyslné, aby takové údaje disponovaly stejnou mírou ochrany jako údaje jiných subjektů, na které GDPR dopadá.

GDPR nemá sloužit k ochraně neúspěšně, podvodně podnikajících subjektů či jiných, které používají GDPR jako argument pro skrývání svých aktivit.

Máme za to, že dostupnosti informací o historii organizací, fyzických i právnických osob je ve veřejném zájmu a je také podstatným pilířem pro rozvoje obchodu v rámci EU, ale také mezi subjekty s členských a nečlenských států EU.

Kdyby naopak EU šla opačným směrem a usnadnila prověřovat evropské subjekty díky otevřenosti dat, tak by by bylo zárukou, že když se někdo rozhodne spolupracovat se subjektem z EU, tak o něm snadno dostupné a ověřitelné údaje včetně jeho historie, což naopak usnadní rozvoj obchodu, protože subjekt z EU by pak znamenal, že se jedná o snadno prověřitelný subjekt co se týče jeho existence, historie atd.

Nyní díky GDPR jdeme přesně opačnou cestou jde proti veřejnému zájmu, zájmu koncových zákazníků a i podnikatelů spolupracovat a obchodovat s prověřitelnými subjekty s jasnou historií a proti hlavním pilířům EU rozvoje volného obchodu a jednotného trhu.

Snížení transparentnosti s nákladním s veřejnými prostředky z evropských fondů

GDPR se nyní může používat jako argument pro skrývání údajů o poskytnutých dotacích z veřejných prostředků fyzickým osobám, což zhoršuje transparentnost s nakládáním s veřejnými prostředky. Pokud někdo přijímá dotace ať se jedná o fyzickou nebo právnickou osobu máme za to, že má být veřejně dostupné informace od koho, za co a jakou výši dotace získal z veřejných prostředků. Máme naopak informace, že fyzické osoby používají GDPR jako argument pro skrývání informací o tom v jaké výši byly subjektu poskytnuty dotace. Navíc sám Úřad na ochranu osobních údajů uvádí, že i když v zákonu o otevřených datech je, že otevřená data mají neomezené podmínky užití, tak takový bod zřejmě není v souladu s GDPR, a dle úřadu lze oprávněně požadovat skrytí údajů o poskytnutých dotacích u podnikajících fyzických osob.

Máme za to, že zde převládá veřejný zájem a není možné, aby některé subjekty přijímající dotace z veřejných prostředků argumentovali ochranou svých osobních údajů když získali veřejné prostředky ať se jedná o právnické nebo fyzické osoby. Veřejnost má mít právo kontrolovat kdo dotace získal a pokud jsou tyto údaje poskytovány jako otevřené data, tak nemá být nijak omezeno jejich užití. GDPR bohužel pomáhá snižovat transparentost nakládání s veřejnými prostředky.

Níže vyjádření českého úřadu na ochranu osobních údajů při konfrontaci týkající se otevřených dat u dotací a znění zákona o otevřených datech:

Ustanovení § 4b odst. 2 zákona o svobodném přístupu k informacím tím, že je v něm stanoveno, že „Má se za to, že před dalším zpracováním otevřených dat nemají přednost oprávněné zájmy nebo práva a svobody subjektu údajů vyžadující ochranu osobních údajů“ neneguje povinnosti správců a zpracovatelů při jimi prováděném zpracování osobních údajů stanovené jim obecným nařízením o ochraně osobních údajů. I pro další zpracování tak musí být splněna podmínka veřejného zájmu na zveřejňovaných informacích resp. nezbytnost pro účely oprávněných zájmů příslušného správce.

Ustanovení § 4b odst. 2 zákona o svobodném přístupu k informacím tak neopravňuje soukromoprávní subjekty, aby z datových souborů či evidencí obsahujících osobní údaje, jež jsou ve smyslu ustanovení § 3 odst. 11 zákona o svobodném přístupu k informacím otevřenými daty, vytvářely nové datové soubory a evidence, například sdružováním osobních údajů. Takovými operacemi s osobními údaji mohou vznikat nové informace o subjektech údajů, které již podmínky pro zákonnost zpracování z hlediska veřejného zájmu ani nezbytnosti pro účely oprávněných zájmů správce nesplňují.

Podotýkáme však, že ustanovení svou formulací má proklamativní charakter a ani z průběhu projednávání a schvalování není zřejmé, že by bylo provedeno posouzení vlivu (DPIA) a uvedení do souladu se zásadami zpracování zakotvenými v předpisu vyšší právní síly, tj. obecném nařízení o ochraně osobních údajů (GDPR).

Vývoj softwarových řešení v rámci EU

GDPR má i zřetelný dopad na vývoje softwarových řešení v rámci EU. Vývojáři řešení, které mohou bez problémů fungovat v zahraničí v EU mají problém, což bude zvyšovat neefektivnost evropských firem. Některé informační systémy například zavedli GDPR modul, který eviduje jak dlouho daný kontakt mohu uchovávat apod. Postrádá logiku evidovat v systému jak dlouho údaj mohu uchovávat a po uplynutí této lhůty jej například automaticky mazat, pokud se subjektem údajů pořád mám smluvní vztah. Různé subjekty vymýšlejí další GDPR funkce ať již důvodně nebo jen z důvodu neznalosti jejich poradce, každopádně tím přidávají práci uživatelům těchto řešení a dále snižují efektivitu evropských firem. Nevíme jestli nařízení bylo dostatečně konzultováno s lidmi, kteří mají zkušenosti s praxe z běžného obchodu, ale moc nám to nepřipadá.

Máme za to, že by mělo být jasné, že pokud subjekt zapsaný v obchodním nebo živnostenském rejstříku sám na svých webových stránkách, v katalozích, reklamě prezentuje své osobní údaje jméno, telefon a e-mail dává tím automaticky svolení k využití těchto údajů pro zpracování, kontaktování, prověření a zveřejnění. To stejné pokud se subjektem údajům mám platnou smlouvu, žádné lhůty pro evidenci údajů by nemělo být třeba evidovat a jen jednoduše oprávněnost spojit s návazností na platnou smlouvu nebo obchodní spolupráci.

GDPR například ovlivnilo mobilní aplikace, které umí zaznamenat hovory nebo aplikace, které uměli automaticky přiřazovat do informačních systémů proběhlé volání. Evropské firmy musí díky GDPR více manuálně zapisovat, nemohou využívat výhody moderních technologií a mají omezené možnosti vyvíjet automatizované systémy, které urychlují práci.

Miliony uživatelů v EU používali aplikaci jako ACR Call recorder (více jako 10 milionů stažení na Google Play), společnost Google však v návaznosti na GDPR omezila funkci nahrávání hovoru, přestože nahrávání hovoru není nelegální v případě, že je druhá strana informována. Spousta uživatelů, tak přišlo o praktickou funkci, která jim umožnila zaznamenat důležitý hovor či podobně. GDPR tímto negativně ovlivňuje praktické funkce i za situace, že by byly používány v souladu se zákony.

Do budoucna má být například automatizované autonomní řízení vozidel, logicky by bylo umožnit automaticky navigovat do jakékoliv firmy díky otevřeným datům o firmách a následně třeba automaticky vytvořit knihu jízd i s účelem jízdy souvisejícím s navštívenou firmou. Díky GDPR se však vývojáři mohou setkat s problémy souvisejícími s požadavky na ochranu údajů jako jméno a adresa podnikajícího subjektu, i když tyto údaje mohou být dostupné v rámci otevřených dat.

Otevřená data

GDPR dle nás opomíjí otevřená data, které úřady poskytují. Sami využíváme v rámci firmy otevřená data jako rejstřík firem apod.

Na jednu stranu jedny úřady poskytují otevřená data, které mají být poskytovaný bez omezujících podmínek užití, tudíž by měli být bez problémů využitelné pro vývoj různých softwarových řešení, osobní potřeby, zveřejnění v online katalozích a jakékoliv další užití na druhou stranu však subjekty údajů žádají mazání těchto údajů vyhrožují policií, soudy a argumentují GDPR a navíc s tímto souhlasí i sám úřad na ochranu osobních údajů, a to i za situace, že se jedná otevřená data.

Vzhledem k tomu, jaké pokuty hrozí z porušení GDPR je opravdu problematické a vyvolávající velkou nejistotu zda takové data mají opravdu neomezující podmínky užití a v konečném důsledku GDPR přispívá k nejistotě při využívání těchto údajů. Už z logiky věci, když úřady tyto údaje veřejně prezentují poskytují je ve strojové podobě pro další zpracování, tak by tyto údaje měli mít v rámci GDPR jasnou definici, že je je opravdu možné bez problémů a strachu z pokut využívat, zveřejňovat a implementovat pro vývoj řešení, které mají za úkolu zvyšovat efektivitu, prověřovat firmy apod.

Aktuálně dle nás GDPR zcela opomíjí oblast otevřených dat.Naší firmě ačkoliv jsme malá se podařilo oslovit české poslance a ti do návrhu prováděcího předpisu zapracovali aktuální upřesnění zákona o svobodném přístupu k informacím.

„Má se za to, že před dalším zpracováním otevřených dat nemají přednost oprávněné zájmy nebo práva a svobody subjektu údajů vyžadující ochranu osobních údajů.“.

Myslíme si však, že podobné znění by mělo být přímo součástí GDPR a nemělo by se spoléhat na to jestli konkrétní země podobné nejasnosti vyjasní.

Protože když jsme konfrontovali český úřad na ochranu osobních údajů ve věci otevřených dat o dotacích poskytnutých fyzickým osobám, tak jej výše uvedená zákonná úprava v rámci prováděcího předpisu nezajímala a uvedl, že je nejspíše v rozporu s GDPR. Přestože otevřené data v rámci českého zákona mají znamenat neomezené podmínky užití.

Viz. výňatek z odpovědi Úřadu na ochranu osobních údajů:

“Ustanovení § 4b odst. 2 zákona o svobodném přístupu k informacím tak neopravňuje soukromoprávní subjekty, aby z datových souborů či evidencí obsahujících osobní údaje, jež jsou ve smyslu ustanovení § 3 odst. 11 zákona o svobodném přístupu k informacím otevřenými daty, vytvářely nové datové soubory a evidence, například sdružováním osobních údajů. Takovými operacemi s osobními údaji mohou vznikat nové informace o subjektech údajů, které již podmínky pro zákonnost zpracování z hlediska veřejného zájmu ani nezbytnosti pro účely oprávněných zájmů správce nesplňují.”

Samotné GDPR má také negativní důsledek na objem poskytovaných otevřených dat. viz. již dříve uvedená skutečnost, že z otevřených dat zmizla informace o bydlišti podnikatele čímž se snižuje možnost jeho prověření. Statistický úřad přestal v návaznosti na GDPR poskytovat údaje o kategoriích obratu u fyzických podnikajících osob, tyto údaje sloužili jak k vědeckým a statistickým údajům, tak k prověření toho, že budete podnikat s firmou, která skutečně vykonává činnost a generuje nějaký obrat.

GDPR nemá snižovat využitelnost a přístupnost otevřených dat. Toto je proti transparentnosti a vývoji nových řešení zvyšujících efektivitu.

Efektivita evropských firem:

GDPR přineslo spoustě evropských firem snížení efektivity, řeší místo obchodu a své náplně to jestli mohou a jak dlouho evidovat běžné kontaktní údaje,a to i za situace, kdy subjekty údajů tyto údaje zveřejňují a mají se subjektem platný obchodní vztah a smlouvu. Tyto údaje musí zapisovat do informačních systému, což je stojí čas, který by mohli věnovat generování zisku, který znamená i vyšší daně pro Evropskou unii.

Po uplynutí lhůty by měli tyto údaje smazat nebo opakovaně vyžadovat svolení.

Máme za to, že pokud probíhá aktivní spolupráce mezi subjekty je tím jasně dáno najevo, že je možné údaje evidovat a to stejné za situace kdy jsou údaje veřejně prezentované daným subjektem údajů. Opravdu není efektivní po uplynutí období automaticky veřejně prezentované údaje opakovaně dohledávat nebo opakovaně žádat subjekt o svolení s jejich využíváním, když probíhá spolupráce nebo může probíhat, pokud někdo nechce aby dané údaje se dále používali například pro jeho kontaktování ať se naopak ozve s námitkou na zpracování svých kontaktních údajů. GDPR aktuálně přineslo činnosti navíc, které postrádají logiku a jsou proti běžné podnikající praxi.

Zhoršení efektivity obchodních oddělení

Jak jsme zmínili výše nařízení snižuje efektivitu firem a zejména obchodních oddělení zbytečnou evidencí údajů a zvýšením administrativy místo prodeje. Obchodní oddělení mají nejistotu zda je možné aktivně nabízet své produkty.

Nový podnikatelé často začínají, tak že si například pořídí databázi firem z oboru svého podnikání a snaží se nabídnout rychle vybrané skupině subjektů své služby nebo produkty, protože samozřejmě začínající firma musí co nejdříve vybudovat svou klientelu, aby mohla na trhu úspěšně fungovat. GDPR však v naší nejistotu na trhu databázích, a to i přesto firmy, které poskytují takové služby nabízí jen veřejně prezentované kontaktní údaje nebo údaje z otevřených dat. Logicky pokud své údaje veřejně prezentují jako kontaktní údaje firmy, organizace, tak mohu očekávat, že tyto údaje budou ostatní používat i bez písemného souhlasu.

S příchodem GDPR i sem byla vnesena nejistota.

Dalším praktickým příkladem negativního dopadu je výše zmiňované zrušení poskytování údajů o kategorii obratu u fyzických podnikajících osob.

Tento údaj pro obchodní oddělení byl známkou toho, že má význam daného podnikatele oslovovat, protože vykonává nějakou činnost a kategorie obratu i označovala jestli se jedná o velikostí cílovou skupinu podnikatele. Nemá například význam nabízet někomu stroj za 10 milionů, když obrat jeho firmy je 1 milion. Výsledkem toho, že daná informace již není úřady poskytována, je to že firmy s aktivním obchodem budou více oslovovat subjekty, které reálně nevykonávají činnost a budou ztrácet čas zbytečnou obchodní činností, ale i čas těchto osob, které reálně nefungují nebo nejsou cílovou skupinou.

Výsledkem je zase menší zisk a menší odvedené daně pro rozpočty jednotlivých zemí a rozpočet Evropské unie.

GDPR díky překážkám v aktivním obchodu dává výhodu velkým nadnárodním podnikům, které si mohou dovolit velkou plošnou reklamu, ale zásadně zhoršuje činnosti malých a začínajících podnikatelů, kteří nemají takové možnosti plošného oslovení a musí používat aktivní prodej, proto aby se jejich služby a produkty prosadili.

Zároveň slouží i k prověření podnikatele to jaký má obrat, pokud s někým máte uzavřít velký obchod, ale z historie podnikání daného podnikatele vypovídá, že subjekt negeneruje žádnou činnost, tak byste byly při takovém obchodu hodně obezřetní a snažili se subjekt prověřit.

Navíc díky omezení a stížení možností prověření fyzických podnikajících osob bude výsledkem i menší obchod s těmito subjekty, což je v rozporu s podporou malého podnikání, protože GDPR svou ochranou tyto subjekty nakonec poškozuje z obchodního hlediska, protože se díky GDPR jedná o subjekty se sníženou prověřitelností a důvěryhodností.

Rozumíme, že pro někoho je aktivní prodej nevyžádaný, ale v konečném důsledku na základě rozvoje obchodu a toho, že si podnikatel koupí od prodejce novou službu, produkt, technologii může sám zvýšit svou efektivity a výnosy, které v konečném důsledků rozvíjjí celý evropský trh.