Neschválením adaptačního zákona poškodí stát nejvíce sám sebe

Ministr Brabec potvrdil v TV Prima to, co odbornou veřejnost nemohlo jakkoliv zaskočit. Česká republika nebude schopna do 25. 5. 2018, tj. do účinnosti nařízení GDPR, schválit tzv. adaptační zákon. Hlavním cílem tohoto zákona je zajistit soulad vnitrostátní právní úpravy s GDPR a tím splnit povinnost, která České republice plyne z členství v Evropské unii. Neprovedení takového kroku znamená nesplnění závazků plynoucích z tohoto členství, což ve svém důsledku může vést k uvalení finančních sankcí ze strany EU.

Návrh zákona, který má plně nahradit dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů, byl připraven Ministerstvem vnitra v srpnu loňského roku, ale ke schválení vládou a potažmo parlamentem v rámci zavedené legislativní praxe se již z různých důvodů nedostal. Hlavním důvodem byly pochopitelně podzimní parlamentní volby, ale i tento problém by se dal legislativně zvládnout, kdyby v naší zemi existovala vůle a zodpovědnost kompetentních orgánů plnit svoje ústavní povinnosti. Pan ministr sice ve svém rozhovoru uvedl, že Česká republika není zdaleka jedinou zemí, která adaptační zákon stále nemá schválený, ale zapomněl dodat, že ve většině těchto zemí již probíhá jeho projednávání v parlamentu, a tudíž je vysoce pravděpodobné, že i v těchto státech, jako například ve Velké Británii, bude národní zákon do účinnosti GDPR přijat. O tomto stavu si můžeme nechat jen zdát. Jen pro srovnání, zde je přehled posledního stavu přijímání národních zákonů v rámci celé EU.

Na druhou stranu se nepřijetím adaptačního zákona zase moc nestane. S ohledem na fakt, že nová pravidla na ochranu osobních údajů byla přijata formou nařízení, nikoliv směrnice, tak zde téměř 2 roky existuje předpis, který je automaticky platný a účinný ve všech zemích EU a není třeba ho transponovat do národní legislativy prostřednictvím zákona, jak jsme tomu zvyklí u směrnic. Výmluvy části české veřejnosti, že není možné se na nová pravidla připravit kvůli neexistenci prováděcího zákona, jsou naprosto liché a zavádějící, protože adaptační zákon tuto roli rozhodně neplní. Kdo čekal do této chvíle s nadějí, že český zákon všechna obecná ustanovení nařízení vysvětlí a zpřesní, tak úspěšně ztratil téměř 2 roky, které mohl věnovat důkladné přípravě na nová pravidla, a to zvlášť za situace, že současnou legislativu dodržoval jen částečně nebo vůbec.

Přestože je v samotném nařízení obsažena drtivá většina pravidel na ochranu osobních údajů, v jeho několika článcích je každému členskému státu dána možnost prostřednictvím tzv. derogačních klauzulí vyloučit znění GDPR a stanovit si vlastní pravidla úpravy. A právě nepřijetím adaptačního zákona se Česká republika prozatím o tuto možnost připravila, a tudíž bude muset aplikovat GDPR v jeho plném rozsahu bez jakýchkoliv výjimek nebo úlev.

V jakých oblastech si může každý členský stát prostřednictvím adaptačního zákona stanovit svoje vlastní pravidla a výjimky?

Tato možnost je stanovena např. v těchto článcích GDPR: 6(2), 6(3), 8(1), 9(2a), 9(4), 10, 23, 83–91 a v Recitálech 50, 53, 73, 153–165. 

Zaměřme se tedy na ty nejdůležitější oblasti, kde z důvodu nepřijetí adaptačního zákona bude platit znění GDPR, přestože nám byla dána možnost si danou úpravu zmírnit nebo dopad GDPR zcela vyloučit:

• zpracování osobních údajů pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu,
• zpracování osobních údajů v úředních dokumentech,
• zpracování národních identifikačních čísel,
• zpracování osobních údajů zaměstnanců,
• zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely,
• zpracování osobních údajů orgány podléhajícími povinnosti zachovávat mlčenlivost nebo služební tajemství,
• zpracování osobních údajů církvemi nebo náboženskými sdruženími,
• omezení rozsahu povinností správců nebo zpracovatelů v souvislosti se zajištěním národní bezpečnosti, obrany, prevence nebo vyšetřování trestných činů, v souvislosti s ochranou nezávislosti soudů atd.,
• udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo dítěti – možnost snížit věkovou hranici udělení souhlasu pro děti mladší 16 let, ne však nižší než 13 let. Takto se s možností určení věkové hranice pro udělení souhlasu vypořádaly jednotlivé státy EU. 

Za naprosto ohrožující a pro orgány veřejné moci vysoce rizikové lze nepřijetím českého adaptačního zákona považovat možnost omezit výši správní pokuty podle článku 83 GDPR.  Návrh Ministerstva vnitra počítá s maximální hranicí pokuty do výše 10 000 000 Kč, přičemž je obecně známo, že podle GDPR může být udělena pokuta v maximální výši 20 000 000 eur nebo 4 % celkového ročního obratu podle toho, která hodnota je vyšší. Nepřijetím adaptačního zákona tak „protekcionismus“ orgánů státní moci vzal za své a ve svém důsledku, pochopitelně s ohledem na princip přiměřenosti, může být po účinnosti GDPR orgánům veřejné moci udělena pokuta i vyšší, než je navržena v nepřijatém návrhu zákona.

V čem a komu bude příslušný národní zákon nejvíce chybět?

Soukromoprávní subjekty se na příchod GDPR již začaly v nějaké míře připravovat, takže je nepřijetí adaptačního zákona nemůže nijak zaskočit, a už vůbec ne zastavit. Nezodpovědný přístup české vlády naopak ve svém důsledku poškodí samotný stát, a to nejenom reputačně, kdy budeme zařazeni na samotný chvost v adaptaci na GDPR pravidla v rámci EU, ale zároveň tím vnesl mnohem více nejistoty pro samotné orgány státní moci, kterým budou chybět jasná pravidla a výjimky z působnosti v jistých ohledech velmi tvrdého GDPR nařízení.