V úvodu bych chtěl poděkovat panu ministrovi Babišovi za ten citační potenciál, kdy nás tady vyjmenovává. Ono když zazní příjmení člověka, říká se - dokud se o něm mluví, tak do té doby dýchá. Ale chtěl bych ho upozornit na jednu věc. Když říká - poslanec Holeček řekl - aby si uvědomil, že tady sedíme Holečkové dva. A jeden je z jeho party. To znamená, vždycky, když budete, pane ministře, prosím vás, říkat Holeček a budete mluvit o mně, dejte mi tam to Radim. Děkuji.
Já bych chtěl říct směrem k Vítkovi Jandákovi prostřednictvím, my máme sil dost a argumentů máme připravených klidně ještě na hodin mnoho, takže, prosím vás, nechte nás mluvit. Máme toho ještě národu a vám co sdělit.
Protože jsem mluvil před čtrnácti dny - a těch deset minut, které mám na vystoupení, je velmi málo, zapomínáme, o čem se mluvilo, tak já jenom v krátkosti shrnu tři nejdůležitější věci, které jsme řešili na podvýboru pro ochranu soukromí, který jsem svolal hned, okamžitě poté, co se objevila ta úžasná studie BDO, která nahlížela na EET z hlediska bezpečnosti dat. Na podvýboru byla značná účast, např. od pana ministra financí tam přišlo sedm lidí, z vnitra tam přišel jeden člověk, ale i těch osm úředníků se shodlo na tom, že se ta studie za drobné peníze, jak o ní mluvil pan ministr, byla k ničemu, byla plná hrubých chyb a nesmyslů, bude nejspíš přepracovávat. Pak se přišlo na to, že spíš asi vznikne studie nová z dalších peněz daňových poplatníků. Ta studie byla dlouho zatajována a nepřineslo to žádné pozitivum. Studie je žalostně zastaralá a co je horší, v tuto chvíli nemá následovnici, podle které by mohla být nastavena technická specifikace toho skvělého chorvatského zázraku, který je nám předkládán. O nebezpečí, o kterém jsem slyšel v posledních dnech, a to je to, že EET je v Chorvatsku napojeno na pyramidové společnosti, o tom uslyšíme dnes od kolegy Bendla, pokud se na něj dostane řada, a je to podle mého věc, které bychom se měli věnovat velmi.
Další věc byla informace, kdy vnitro nevědělo vůbec o studii. Tam úředník z Ministerstva vnitra řekl, že se o studii k EET dozvěděl z médií. To je pro mě absolutně nepřijatelné. A já říkám - domluvte se, prosím vás, v té koalici, říkejte si nějaké informace mezi sebou, protože tady se opravdu jedná o jeden z největších sběrů dat v historii, ne-li největší.
No a třetí věc z toho podvýboru byla, že nazvaní hosté, kteří mají nějaký přístup k hackerům, mají k nim blízko, nám sdělili, že pokud bude použito šifrování, které je zmiňované ve studii, tak si tam hackeři budou chodit pro informace jako běžně do sámošky.
Minule jsem řekl první dva důvody, proč je EET nepřijatelné z hlediska ochrany soukromí. První věcí byl věcný záměr, který nebyl vůbec zapracován k tomuto zákonu. Druhý důvod - a tam jsem byl přesně přerušen minule, to bylo, že důvodová zpráva říkala, že navrhovaná právní úprava nemá dopad na standard ochrany soukromí a osobních údajů. Vzpomeňte, přesně jsem byl přerušen ve chvíli, kdy jsem vám chtěl říci, co je smyslem DPIA - a to je popsat a vyhodnotit stávající a zamýšlená zpracování osobních údajů. K vyhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů slouží tento postup. Musí-li se nově zpracovat osobní údaje, je potřeba uvést jeho základní parametry - proč, specifický účel, kategorie zpracovávaných osobních údajů, veřejnost zpracování, jeho částí nebo výstupů ze zpracování zakládaného navrhovanou regulací a lhůty pro uchování těchto osobních údajů. To vůbec nebylo učiněno. (Hluk z galerie pro novináře.)
Přeskočím, abych vás nezdržoval, a řeknu o třetím hříchu, to, čemu já říkám kladivo na živnostníky, a to je RIA samotná. Na první pohled je zřejmé, že je absolutně přetížena detaily. Nevysvětluje ani základní věci. Proto Úřad pro ochranu osobních údajů naprosto správně vyžadoval její kompletní přepracování. Předkladatel zvažoval několik variant v působnosti tohoto nedobrého zákona. Ačkoliv píšeme rok 2016 v tuto chvíli, statistická data použitá pro tento zákon jsou z roku 2012. Jak je tohle možné? To nebyla novější data? Předkladatel zastaralost informací nikde nezdůvodňuje.
Ačkoliv je podle ČSÚ v České republice 1,3 mil. podnikatelů, podle předkladatele se má zákon týkat jen 600 tis. subjektů. Více než 50 % podnikatelů tedy nemá žádné tržby? RIA postrádá vyhodnocení alternativ u základních otázek, jako je např. povinnost převzít účtenku, což řeší § 17.
Čtvrtou slabinou tohoto šmírovacího zákona je legislativně technická podpora. Úřad pro ochranu osobních údajů zmínil, že je nezbytné osnovu podstatně přepracovat i po legislativně technické stránce, např. § 1 až 3, ty do té osnovy vůbec nepatří, nemají tam co pohledávat, protože nestanovují žádná oprávnění ani povinnosti. Jsou to pouhé informace.
Pátý problém - tento legislativní zmetek - a dneska to tu zaznělo - tak to přijmeme jako zmetek, vždyť to můžeme za jízdy opravit, to auto, že jo, vyjedeme bez brzd a nějaké si po cestě domontujeme... Tento zmetek popírá princip dělby moci. Je zcela nemožné, aby k výjimkám ze zákona bylo zmocněno Ministerstvo financí. To je v rozporu s principy dělby moci tak, jak je již stanovená v čl. 2 odst. 3 Ústavy a v čl. 2 Listiny práv a svobod. Státní moc lze uplatňovat jen v případech a v mezích stanovených zákonem, a to způsobem, který zákon stanoví.
Zde zákon žádné meze nestanovuje. To samé platí i pro další zasílané údaje o tržbě podle § 12 odst. 3. Důvodová zpráva sice specifikuje, že se předběžně počítá se zasíláním základních údajů o poplatníkovi, jako je jméno, příjmení, popřípadě název, sídlo firmy, o proběhlé transakci zejména čas, objem platby. Dále se předpokládá, že součástí údajů zasílaných správci daně bude údaj o době odezvy, to jest bude možné tento údaj aktualizovat v rámci každé evidované tržby. A to ale má patřit přímo do normativního textu. Tam chybí.
Šestým kiksem v návrhu zákona jsou autentizační údaje. Právní úprava je strohá. Důvodová zpráva definuje, že přihlašovací údaje existují. A certifikát. Je otázkou, proč má poplatník o autentizační údaje žádat. Proč mu nejsou přidělovány automaticky? To vše měl řešit věcný záměr zákona, a neřešil. Naopak je problematické, že je osnova přetížena podrobností v tom, že se žádost posílá na adresu určenou pro evidenci tržeb. Za jak dlouho mu budou přiděleny takové údaje? Kdo o tom bude rozhodovat? A tak podobně.
Je nezbytné upozornit na to, že předkladatel má zcela nesprávné pojetí identifikace a autentizace. Zatímco identifikace je ztotožnění, to jest určení, o který konkrétní subjekt se jedná, autentizace je ověření třídy oprávnění, to znamená, jestli konkrétní subjekt smí něco dělat, aniž by byl nutně identifikován. Například znalost PIN k bankovní kartě ještě neznamená, že si dotyčný smí vybrat peníze, i když není vlastníkem této karty.
Rovněž je otázkou, která tu padla, proč předkladatel nezařadil evidenci tržeb do systému eGovernmentu, kde se nabízí přímo jako identifikační údaj AIFO, který by byl zde doplněn o certifikát. Nevyjasněný je vůbec vztah k DIČ. Důvodová zpráva o DIČ úplně mlčí. Odůvodnění v § 10 jen opisuje normativní text bez pokusu jej opravdu odůvodnit. Ne zcela vyjasněný je vztah k bezpečnostnímu kódu poplatníka podle § 12, který je definován, že je jedinečným kódovacím algoritmem poplatníka. Jde o vygenerované označení, které jako výstup konkrétních vstupů v podobě údajů o evidované tržbě a poplatníkovi, který ji uskutečnil. Jenom tak identifikuje poplatníka, který účtenku vydal a uskutečněnou tržbu s vydanou účtenkou ztotožňuje. Ani v důvodové zprávě ani v tezích prováděcích předpisů o tom nejsou žádné další podrobnosti. Je tedy více než pochybné, že by byl zveřejňován, a to na účtence, ten jedinečný kód tak, jak to říká § 13. Ten fiskální identifikační kód. Zatímco v § 13 č. 2 písmena c) je FIK vágně vymezen jako jednoznačný identifikátor.
Ano, musíte nám nasadit náhubek. Ale já si myslím, že lidé to vidí.