Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek

Ochrana dat, data, GDPR. Foto: www.pixabay.com

Ministerstvo vnitra před několika dny rozeslalo do meziresortního připomínkového řízení návrh Zákona o zpracování osobních údajů, který bylo nutno připravit především kvůli zapracování evropského nařízení o ochraně osobních údajů – tzv. GDPR.

Stovky připomínek se dají očekávat návrhu Zákona o zpracování osobních údajů, který před několika dny rozeslalo ministerstvo vnitra do meziresortního připomínkového řízení. Jde o jeden z klíčových zákonů této vlády, který musí být přijat především kvůli Nařízení evropského parlamentu o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů známé pod zkratkou GDPR. Termín pro doručení připomínek je 15. září. Podle odborníků na tvorbu zákonů se jich dají očekávat desítky, možná stovky. Zákon musí začít platit 25. května 2018, kdy vstoupí v platnost také Směrnice o GDPR.

Úředníci ministerstva vnitra a Úřadu na ochranu osobních údajů (ÚOOÚ), který je spolupředkladatelem zákona, tak splnili úkol daný legislativním plánem vlády (str. 14 -pozn. red.), tedy předložit tuto novelu do konce srpna.

„Hlavním cílem předloženého návrhu zákona a novelizace právních předpisů je tedy provést implementaci shora uvedeného sekundárního předpisu Evropské unie, včetně adaptace na nařízení, zajistit soulad vnitrostátní právní úpravy s těmito předpisy a tím splnit povinnost, která plyne České republice z členství v Evropské unii. Neprovedení transpozic uvedených právních předpisů EU by znamenalo nesplnění závazků plynoucích z členství České republiky v Evropské unii, což ve svém důsledku povede k uvalení finančních sankcí,“ píší autoři důvodové zprávy v jejím úvodu.

Již několik měsíců funguje Pracovní skupina k legislativě v oblasti ochrany osobních údajů při Úřadu vlády, v níž zasedají nejen zástupci ministerstev a Úřadu pro ochranu osobních údajů, ale také podnikatelé a jejich sdružení – například Svaz průmyslu a dopravy (SP ČR). I přesto, že hlavní problematické body by měly být vyjasněné, dá se očekávat, že i u tohoto zákona, stejně jako u dalších klíčových právních norem, budou uplatněny desítky, možná stovky připomínek. Bude pak na ministerstvu vnitra, jak se s nimi vypořádá.

Ekonomický deník má návrh novely a přinese podrobnější pohled na jeho klíčové pasáže. Silnější pravidla ochrany údajů od května 2018 budou podle Evropské komise znamenat, že občané získají větší kontrolu nad svými údaji a podniky mají mít prospěch z rovných podmínek. Komise si slibuje jeden soubor pravidel pro všechny společnosti působící v EU, ať sídlí kdekoliv.

„Řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Evropské unii nebyl omezován z důvodů souvisejících s ochranou osobních údajů fyzických osob. Jednotná úroveň ochrany fyzických osob v celé Evropské unii zamezí rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu a poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, prostřednictvím důsledného monitorování zpracování osobních údajů a rovnocenných sankcí ve všech členských státech, jakož i účinné spolupráce mezi dozorovými úřady jednotlivých členských států,“ píše se v důvodové zprávě zákona, kterou úředníci ministerstva vnitra a ÚOOÚ zpracovali.

Největší dopad? Právo vědět, že vaše údaje někdo zpracovává

Asi největší dopad bude mít nový zákon na informovanost všech občanů, že „veřejné subjekty“ jejich údaje zpracovávají. Každý se totiž bude moct dotázat příslušné instituce, jestli o něm shromažďuje jeho osobní údaje a zjistit, jaké údaje to jsou. Veřejnými subjekty jsou podle důvodové zprávy myšleny tyto instituce:

  • Ministerstva, další ústřední orgány státní správy a další úřady jim podřízené (asi 50)
  • Veřejné sbory, ozbrojené sbory, veřejné školy (cca 10 000),
  • Kraje (14), obce (asi 6 250)
  • Komory (Česká advokátní komora, Česká lékařská komora, …)
  • Soudy (vč. Ústavního) mimo soudní rozhodování – max. 97

Dále pak Česká národní banka, Nejvyšší kontrolní Úřad, Správa státních hmotných rezerv, Veřejný ochránce práv a další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech.

„Smyslem výčtu těchto organizací není kontrola moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona 106/1999 Sb. a dalších předpisů o přístupu k informacím. Pokud například obec založí s.r.o. na opravu silnic, nemá zřízení pověřence pro ochranu dat v takové s.r.o. žádnou přidanou hodnotu a představuje administrativní zátěž a náklad navíc,“ vysvětlují autoři zákona a důvodové zprávy s tím, že cílem je lépe chránit osobní údaje v případech, kdy existuje dostatečná formální nerovnováha mezi subjektem údajů (občanem) a správcem, například protože příslušný zákon, podle kterého se správce řídí, může stanovit řadu omezení práv občanů.

Všechny povinné subjekty, které budou zpracovávat osobní údaje, budou muset být certifikovány. Jak jsme již psali v červencovém textu Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní, Úřad pro ochranu osobních údajů po řadě jednání zvolil za akreditační autoritu Český institut pro akreditaci.

Jiří Reichl