Stav doprovodné legislativy k GDPR
Přestože je nařízení GDPR tzv. přímo účinné (tzn. je závazné pro občany EU přímo, aniž by potřebovalo jakýkoli právní předpis členského státu, který by GDPR do svého právního řádu implementoval), připouští GDPR, aby si jednotlivé členské státy, pokud budou to uznají za vhodné, upravily určité otázky odlišně od samotného textu nařízení. Jinými slovy – v otázkách, u nichž lze očekávat, že si členský stát bude chtít danou materii upravit podle vlastního uvážení, jinak než je v GDPR, dovoluje nařízení, aby takový členský stát vydal právní předpis, který záležitosti, u nichž to GDPR dovoluje, upraví odlišně od GDPR. Klasickým příkladem je výše sankcí. Pokud členský stát takové možnosti nevyužije, plně se uplatní text nařízení GDPR.
V České republice má být takovým vnitrostátním předpisem nový zákon o zpracování osobních údajů. Na Slovensku „adaptační“ zákon přijali a schválili již před více jak několika týdny. Prezident Kiska ho již dokonce podepsal, čímž byl celý legislativní proces prakticky ukončen. Ale jaký je stav u nás doma?
Návrh zákona o zpracování osobních údajů, kterým bude nahrazen stávající zákon
č. 101/2000 Sb., o ochraně osobních údajů, byl dne 21. března 2018 schválen vládou a půjde tak teprve do prvního čtení v poslanecké sněmovně. Je tak zřejmé, že do účinnosti GDPR se zákon nestihne přijmout. Všichni se obávají nejasností v případě včasného nepřijetí adaptačního zákona. Nově připravovaná úprava zákona posiluje práva osob i technickou ochranu osobních údajů. Upravuje také strukturu Úřadu pro ochranu osobních údajů. Vláda dále stanovila věkovou hranici pro udělení souhlasu se zpracováním osobních údajů dítětem, a to na 15 let. Specifikuje tedy věkové rozhraní pro udělení souhlasu dítětem, které je stanoveno GDPR mezi 13 a 16 lety věku dítěte. Zavádí nové možnosti ochrany osobních údajů spočívající především v možnosti výmazu osobních údajů, které jsou již „nepotřebné“
a také právo osoby vnést námitku proti zpracování osobních údajů.
Nyní schválený návrh poputuje do Poslanecké sněmovny. Představitelé parlamentních polických stran se snaží dohodnout na projednání případných změn zákona již na prvním čtení dle § 90 odst. 2 až 7 Jednacího řádu PS, ale už teď je více než zřejmé, že přijetí zákona je do účinnosti GDPR, které nastane 25. května 2018, prakticky nemožné.
O den dříve než se konalo samotné jednání vlády, podalo ministerstvo vnitra návrh na snížení pokut pro I. a II. obce vč. Jimi zřizovaných příspěvkových organizací (typicky školy). Návrh zahrnoval § 59, v jehož důsledku by pokutyza porušení Obecného nařízení o ochraně osobních údajů známé pod zkratkou GDPRdramaticky klesly, a to na několik tisíc korun. Snížení pokut se mělo týkat nejen obcí ale i příspěvkových organizací jimi zřizovanými – všechny školy a jiná školská zařízení by taktéž unikly vysokým sankcím. Důvodem, pro snížení pokut pro malé obce je podle ministerstva snaha zmírnit devastující dopad pokut v řádech milionů s ohledem na hospodářské poměry obce. Rozdíl ve snížení sankcí je razantní. Dle § 59 se mělo jednat o snížení z 5 milionů korun na 15 tisíc korun v případě porušení zákona, kdy se bude jednat o přestupek. Zejména se jedná o taková porušení ochrany osobních údajů,kdy bude údaj zveřejněn v rozhlasu, tisku či televizi. A snížení z 1 milionu na 5 tisíc u porušení zákona méně závažného. Návrh však bohužel neprošel a vláda tak odmítla snížit pokuty pro obce a města. Lze očekávat pozměňovací návrhy při jednání nyní již ve sněmovně, ovšem vzhledem k časové tísni nelze předpokládat včasný úspěch. Pokuty za porušení GDPR tak zřejmě zůstanou v původní výši, jak je upravuje znění Nařízení EU.
Vzhledem k vysokým sankcím, které hrozí za porušení Obecného nařízení o ochraně osobních údajů, je znepokojující fakt, že tzv. adaptační zákon nebude přijat do účinnosti GDPR a nebude tak prozatím uplatněna možnost každého členského státu stanovit vlastní pravidla a specifikovat jednotlivá kritéria pro ochranu osobních údajů. Nicméně i samotné znění GDPR nám dává veškeré potřebné informace a nejdůležitější otázky upravuje samo. Vzhledem k přímé aplikovatelnosti nařízení se tak budeme do doby přijetí adaptačního zákona řídit samotným Nařízením GDPR v plném rozsahu.
Monika Nezhybová, právní praktikantka