Debata o implementaci GDPR je složitá. I zde zazněly jisté nepravdy a nepřesnosti. Myslím si, že někteří mají problém rozlišovat mezi samotným nařízením, které je přímo aplikovatelné, jak jistě všichni víte a směrnicí, která se implementuje v českém právním řádu.
Nicméně je jasné, že tyto zmatky vznikly opravdu ostudným selháním minulé, ale i současné vlády, protože i samotní úředníci z Ministerstva vnitra mi potvrdili, že ty implementační zákony byly připraveny před rokem, ale prostě nebyla politická vůle je předložit, což je opravdu otřesné. To je ten problém, který postihuje naše občany a samosprávy. Proč se toho bojí? No, protože to nebyl ten konkrétní zákon, který by jim jasně řekl co ano, co ne. Popřípadě ten Úřad pro ochranu osobních údajů nemohl činit závazná stanoviska atd., protože samozřejmě on je podřízen zákonu. A tohle je opravdu hrozný problém a je mi velmi líto, že neprošel ani přes grémium návrh kolegy Michálka, abychom už tyto zákony probírali aspoň na minulé schůzi, aby byla aspoň teoretická šance do platnosti nařízení nebo účinnosti nařízení mít v platnosti něco, i když já si myslím, že to ještě stejně bude delší kvůli Senátu atd., a složité rozpravy na výborech.
Já si myslím, že názor Pirátské strany už tu několikrát zazněl, ale také si ho dovolím shrnout. My vítáme celoevropský rámec ochrany osobních údajů, protože ochrana osobních údajů to není opravdu nějaký byrokratický výmysl. Prokazatelně se údaje přeprodávají, a to včetně tak citlivých údajů jako je zdravotní stav apod., a to teď nemyslím, že by ho zpřístupňovali tyto údaje lékaři, ale prostě analytické nástroje jsou dneska mnohdy schopnější než naše zdravotnictví. A to samozřejmě musíme reflektovat. Tohleto je prostě problém a máme v Listině práv a svobod právo na soukromí. Čili určitě je potřeba tyto zákony pustit do prvního čtení a v druhém čtení budeme mít nějaké pozměňovací návrhy.
Ještě bych se chtěl zastavit u praxe. My se jí samozřejmě také bojíme, protože jelikož nejsou zákony, nejsou závazné výklady. A jelikož nejsou závazné výklady, tak nevíme. Ale osobně si myslím, že tento strach je relativně neopodstatnění. Sám jsem uspořádal seminář pro samosprávy, kde jsme si jasně řekli, že oni vlastně všechno dělají ze zákonného pověření, takže nemusí shánět žádné další souhlasy, nemusí moc řešit tu agendu. Oni většinou takovou agendu nemají. A pokud jí mají, tak by se měli zamyslet, jestli jí opravdu chtějí mít anebo jsou to případy těch největších samospráv apod.
A ještě vlastně se zcela jasně ukázalo, že tu máme zákon platný již od roku 2000 - zákon 101 o ochraně osobních údajů, který je viditelně našimi úřady víceméně ignorován, protože jinak by se nemohly pozastavovat nad GDPR, protože to jim příliš nových věcí nepřináší, což je samozřejmě problém vymahatelnosti práva a je mi líto, že naše veřejná správa takto ostudně ignorovala tento zákon. Pak je potřeba říci, že velká část té praxe toho, jaké reálně budou pokuty atd., spadá samozřejmě na ty rozhodnutí Úřadu pro ochranu osobních údajů, případně soudů, ale že všechny samozřejmě incidenty se hodnotí na principu proporcionality. Na principu toho, jestli opravdu to bylo závažné nebo ne. Opravdu si myslím, že někdo, kdo provozuje šachový kroužek a vede si e-maily členů, tak se nemusí bát, pokud vysloveně ty e-maily bez souhlasu nezveřejňuje. To nařízení je zcela jasně koncipováno tak, aby byla možnost zasáhnout ty velké hráče, kteří opravdu tvrdě přeprodávají velká data, aktivně je získávají. A u těch malých nastaví jistá pravidla té praxe toho, že opravdu když mám osobní údaje, tak s nimi zacházím s náležitou péčí, že hesla v databázích hešuju, že prostě nenechávám papíry s rodnými čísly někde povalovat se na stole a podobné. To jsou opravdu věci, které bychom se měli naučit, že jsou běžné. A jsem rád, že tu mohou...
Dále je třeba říct, že ten tolik obávaný písemný souhlas, kde jsem slyšel, jak se obce bojí, kde vezmou písemný souhlas svých občanů apod., tak podle výkladu pracovní skupiny i samotného nařízení je písemný souhlas až poslední možnost. Je to ten moment, kdy vy sbíráte nějaká data, která z jiného právního titulu nepotřebujete. Nicméně pro spoustu užití jsou tu ty jiné právní tituly. U veřejné správy zcela jasně ty zákonné. Prostě je jasné, že když vydáváte občanky, tak máme jména svých občanů. To není žádná diskuse a nemusíte kvůli tomu shánět písemný souhlas vedle samotného formuláře, což si opravdu... jsem se setkal na obcích, že si mysleli.
Takže asi největší problém je zamyslet se, jestli ta osobní data opravdu potřebuji, v jakém rozsahu je potřebuji atd. Ještě bych rád zmínil, s čím konkrétně nesouhlasíme a co budeme navrhovat změnit ve druhém čtení. Je to primárně celá změna zákona 106, kterou považujeme za zcela neopodstatněnou v souvislosti s GDPR a dále nesouhlasíme s hranicí tzv. internetové plnoletosti, protože patnáct let je podle nás absolutně zbytečné. Třináct let asi není náš ideál, ale jsme ochotni se s touto hranicí smířit a ani nám nic jiného nezbývá, to nám jasně říká legislativa Evropské unie. Ale těch patnáct let, to už je opravdu problém jak pro uživatele internetu, tak pro jejich rodiče, tak pro podnikatele, kteří to musí administrovat. Je to zbytečné a budeme tedy navrhovat snížení této věkové hranice.
A ještě ke konkrétní implementaci. Rád bych poděkoval Ministerstvu vnitra, že se tam dostala ta pasáž, že konkrétní incidenty se posuzují proporcionálně a že lze neuložit pokutu. Opět tolik k strachu. Úřad pro ochranu osobních údajů opravdu může mít tu mentorující roli a pokud nedojde k závažnému úmyslnému poškození, tak prostě dané drobné firmě, živnostníkovi, obci vysvětlí, kde pochybil a nemusí mu žádnou pokutu ukládat. Víme i z praxe, že ty pokuty ani dnes neukládá na maximální hranici, takže opravdu si myslím, že ty obavy, které se tady šíří, jsou mnohdy velmi nepodložené.