Česká republika neschválí do účinnosti nařízení GDPR adaptační zákon. To bude mít nečekaný dopad na určité oblasti, ve kterých si stát může nastavit vlastní pravidla a výjimky.
Ministr Brabec potvrdil v TV Prima to, co odbornou veřejnost nemohlo jakkoliv zaskočit. Česká republika nebude schopna do 25. 5. 2018, tj. do účinnosti nařízení GDPR, schválit tzv. adaptační zákon. Hlavním cílem tohoto zákona je zajistit soulad vnitrostátní právní úpravy s GDPR a tím splnit povinnost, která České republice plyne z členství v Evropské unii. Neprovedení takového kroku znamená nesplnění závazků plynoucích z tohoto členství, což ve svém důsledku může vést k uvalení finančních sankcí ze strany EU.
Návrh zákona, který má plně nahradit dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů, byl připraven Ministerstvem vnitra v srpnu loňského roku, ale ke schválení vládou a potažmo parlamentem v rámci zavedené legislativní praxe se již z různých důvodů nedostal. Hlavním důvodem byly pochopitelně podzimní parlamentní volby, ale i tento problém by se dal legislativně zvládnout, kdyby v naší zemi existovala vůle a zodpovědnost kompetentních orgánů plnit svoje ústavní povinnosti. Pan ministr sice ve svém rozhovoru uvedl, že Česká republika není zdaleka jedinou zemí, která adaptační zákon stále nemá schválený, ale zapomněl dodat, že ve většině těchto zemí již probíhá jeho projednávání v parlamentu, a tudíž je vysoce pravděpodobné, že i v těchto státech, jako například ve Velké Británii, bude národní zákon do účinnosti GDPR přijat. O tomto stavu si můžeme nechat jen zdát. Jen pro srovnání, zde je přehled posledního stavu přijímání národních zákonů v rámci celé EU.
Na druhou stranu se nepřijetím adaptačního zákona zase moc nestane. S ohledem na fakt, že nová pravidla na ochranu osobních údajů byla přijata formou nařízení, nikoliv směrnice, tak zde téměř 2 roky existuje předpis, který je automaticky platný a účinný ve všech zemích EU a není třeba ho transponovat do národní legislativy prostřednictvím zákona, jak jsme tomu zvyklí u směrnic. Výmluvy části české veřejnosti, že není možné se na nová pravidla připravit kvůli neexistenci prováděcího zákona, jsou naprosto liché a zavádějící, protože adaptační zákon tuto roli rozhodně neplní. Kdo čekal do této chvíle s nadějí, že český zákon všechna obecná ustanovení nařízení vysvětlí a zpřesní, tak úspěšně ztratil téměř 2 roky, které mohl věnovat důkladné přípravě na nová pravidla, a to zvlášť za situace, že současnou legislativu dodržoval jen částečně nebo vůbec.
Přestože je v samotném nařízení obsažena drtivá většina pravidel na ochranu osobních údajů, v jeho několika článcích je každému členskému státu dána možnost prostřednictvím tzv. derogačních klauzulí vyloučit znění GDPR a stanovit si vlastní pravidla úpravy. A právě nepřijetím adaptačního zákona se Česká republika prozatím o tuto možnost připravila, a tudíž bude muset aplikovat GDPR v jeho plném rozsahu bez jakýchkoliv výjimek nebo úlev.
Tato možnost je stanovena např. v těchto článcích GDPR: 6(2), 6(3), 8(1), 9(2a), 9(4), 10, 23, 83–91 a v Recitálech 50, 53, 73, 153–165.
Zaměřme se tedy na ty nejdůležitější oblasti, kde z důvodu nepřijetí adaptačního zákona bude platit znění GDPR, přestože nám byla dána možnost si danou úpravu zmírnit nebo dopad GDPR zcela vyloučit:
Za naprosto ohrožující a pro orgány veřejné moci vysoce rizikové lze nepřijetím českého adaptačního zákona považovat možnost omezit výši správní pokuty podle článku 83 GDPR. Návrh Ministerstva vnitra počítá s maximální hranicí pokuty do výše 10 000 000 Kč, přičemž je obecně známo, že podle GDPR může být udělena pokuta v maximální výši 20 000 000 eur nebo 4 % celkového ročního obratu podle toho, která hodnota je vyšší. Nepřijetím adaptačního zákona tak „protekcionismus” orgánů státní moci vzal za své a ve svém důsledku, pochopitelně s ohledem na princip přiměřenosti, může být po účinnosti GDPR orgánům veřejné moci udělena pokuta i vyšší, než je navržena v nepřijatém návrhu zákona.
Soukromoprávní subjekty se na příchod GDPR již začaly v nějaké míře připravovat, takže je nepřijetí adaptačního zákona nemůže nijak zaskočit, a už vůbec ne zastavit. Nezodpovědný přístup české vlády naopak ve svém důsledku poškodí samotný stát, a to nejenom reputačně, kdy budeme zařazeni na samotný chvost v adaptaci na GDPR pravidla v rámci EU, ale zároveň tím vnesl mnohem více nejistoty pro samotné orgány státní moci, kterým budou chybět jasná pravidla a výjimky z působnosti v jistých ohledech velmi tvrdého GDPR nařízení.
Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!