Problematika GDPR - ochrana osobních údajů
Praha, 12. schůze Senátu
čas 12:05:51 - 12:34:11:
Vážený pane předsedající, vážený pane ministře, vážené kolegyně, kolegové. Já bych se chtěl na úvod omluvit možná za náš výbor pro územní rozvoj a veřejnou správu, že jsme navrhli zařazení tohoto bodu na jednání Senátu. Berte to prosím jako nějaký takový akt zoufalství, protože se v podstatě přes naše urgence a přes věci, které jsme vykonali v rámci našeho výboru, dle mého názoru pořád neděje to, co by se mělo dít. A tím nechci nijak zpochybňovat pana ministra a jeho práci. A ani bych tady dneska nechtěl mluvit, takže bych chtěl za každou cenu někoho kritizovat. Spíše se pokusím popsat tu situaci tak, jak já ji vidím po těch hodinách konzultací s různými lidmi, kteří podléhají tomu obecnému nařízení o ochraně osobních údajů. A i po hodinách konzultací například i s těmi, co ten návrh zákona o zpracování osobních údajů, který my ještě nemáme k dispozici v té definitivní podobě, protože dneska je na Legislativní radě vlády psali.
První věc, na kterou chci upozornit, je, že to nařízení bylo přijato. Obecné nařízení o ochraně osobních údajů bylo přijato v dubnu roku 2016. Nyní je únor 2018, to znamená, Evropská unie měla dva roky na to, abychom implementovali, respektive v tomto případě adaptovali to nařízení. A pan ministr nám představuje jako vítězství, že dneska ten návrh toho prováděcího zákona je v Legislativní radě vlády. To je naprosté selhání exekutivy, moci výkonné, která byť na to měla dva roky, tak nějak zapomněla zřejmě, že budou volby, a nyní na poslední chvíli připravuje prováděcí zákon.
A teď ještě k jednomu velkému omylu, respektive mýtu, který s tím souvisí. Prosím vás, ten prováděcí zákon, který je dneska připravený, já o něm ještě budu mluvit a budu říkat, co obsahuje, není pouze o adaptaci obecného nařízení o ochraně osobních údajů. On, kromě toho, že má adaptovat to obecné nařízení, tak má dělat další věci. A vy se to dočtete v té důvodové zprávě. On také by měl zapracovávat a implementovat evropskou směrnici, která má číslo 2016/680. To znamená, zároveň ten zákon je transpozicí této směrnice. To znamená, to je další věc, která už není vůbec jasná. A směrnice, jak všichni víme, není přímo aplikovatelná. Dále ten zákon by měl upravit to, jak bude fungovat Úřad pro ochranu osobních údajů. To rovněž není dáno tím nařízením, ale rovněž je to podmínkou pro to, aby to nařízení vůbec mohlo být aplikováno.
To znamená, jsou tady další věci, které ten zákon má zohlednit a řekněme zpřístupnit těm, co jsou osobami povinnými. A my ten zákon dneska nemáme. A ministerstvo říká, že se nic neděje, protože nařízení je přímo aplikovatelné. Ale ono není přímo aplikovatelné, protože je potřeba ještě transponovat směrnici a ještě upravit fungování Úřadu pro ochranu osobních údajů, které je dozorovým úřadem. A je potřeba potom ještě udělat to, že nahradíme věci, které už máme, v zákoně 101 o ochraně osobních údajů. A to všechno musí být v tom zákonu, který ještě nemáme. A to všechno dneska nemáme a pak se divíme, že dochází k obchodu se strachem. Nemůžou nic jiného ty zodpovědné osoby dělat, než říkat, co teď máme dělat, a naskakovat na různé kouzelníky, kteří vědí, co a jak bude.
Takže to je moje první poznámka. Není pravdou a je mýtus, že bez prováděcího zákona jsme schopni jednoduše aplikovat nařízení, protože ten zákon ještě musí zařídit spoustu jiných věcí.
Transpozice, Úřad pro ochranu osobních údajů a současně platný zákon. Jaké jsme v současné situaci? V tom návrhu zákona už je naplánováno, že se má v Poslanecké sněmovně projednat, hádejte jak, kdyby tady byl Jaroslav Kubera, je tady, tak by to řekl, podle § 90, to znamená, v Poslanecké sněmovně se ten zákon má projednat tak, že o něm nebude žádná diskuse, nebude v žádných výborech, protože to je jediná možnost, jak se to má stihnout. A dokonce je to už v důvodové zprávě toho zákona napsáno. Už to jde do Legislativní rady vlády, tam je napsáno, že se předpokládá, že se to v Poslanecké sněmovně projedná podle § 90, čili ve zkráceném řízení, a tohle je přístup k tomu, na co jsme měli dva roky. Já nevím, čí je to chyba, znova říkám, že to nebudu zmiňovat, ale je to podle mě šílená situace.
Co se stalo? Nejistota dotčených subjektů, a těch subjektů jsou statisíce, možná miliony, je enormní, jsou to desetitisíce, orgánů státní moci a veřejných institucí, k tomu se ještě dostanu, co je veřejná instituce, to je taky velmi zajímavé, jsou to statisíce různých podnikatelských subjektů, které neví, co mají dělat, tak se nějak připravují. Teď všichni se bojí, protože jsou pod hrozbou sankcí, ty sankce jsou maximálně 20 milionů eur, což je 500 milionů korun, nebo 10 milionů eur. A pak je tam možnost, já se k tomu za chvilku dostanu, že pouze v případě orgánů státní moci a veřejných subjektů je možné podle čl. 83 odst. 7 ty sankce upravit na nějaké jiné hodnoty. Takže to je druhá věc. Hrozba sankcí.
Co se stalo? Ti, co jsou otrlejší, obchodují se strachem, to znamená, nabízí různým firmám, nabízí městským úřadům atd. to, že oni zařídí, aby jejich úřady byly dobře připraveny na nařízení EU. Obecné nařízení o ochraně osobních údajů. Aby toto někdo mohl slíbit, tak musí mít akreditaci. A to je moje první otázka na pana ministra. Aby někdo mohl obdržet akreditaci, musí zasednout Český institut pro agregaci a ve spolupráci s dozorovým úřadem, Český institut pro agregaci je nějaká organizace, která pracuje MPO, ten musí zasednout, společně s dozorovým úřadem, což je Úřad pro ochranu státu, tedy pardon, Úřad pro ochranu osobních údajů, musí sestavit základní podmínky, které musí splnit ten, kdo dostane akreditaci, aby potom mohl kontrolovat ty úřady, zda plní v plné míře to nařízení, příp. jim udělovat osvědčení či certifikaci. Já se ptám, už máme ty podmínky stanoveny, aby případně ty úřady, nebo ty firmy, které potom budou chtít vydávat osvědčení, resp. certifikaci, se mohly okamžitě přihlásit, jakmile to nařízení vyjde v účinnost? Nebo dokonce už to je tak, že to běží, že předpokládáme, že některé firmy se už přihlásily, aby mohly obdržet tu akreditaci? A potom skutečně mohly nabízet tu certifikaci, protože mají tu akreditaci? Dneska to je tak, že žádná z firem, která nabízí, že vám to zkontroluje, na úřadě, ve škole, v podniku, nemá akreditaci, nemůže vydat žádné osvědčení, je to celé nesmysl, je to bez jakéhokoli jistoty, že to je v pořádku. Mě fascinuje, že exekutiva nic nekoná, neříká, prosím vás, nenabíhejte na to, normálně nejde ze strany exekutivy zásadní oznámení, že nemají si nechávat u těchto firem, které nemají akreditaci, tyto audity nebo cokoliv jiného dělat, protože jediné, co případně by mohly udělat, je to, jak dneska plní ?101?, to bych ještě chápal, jak dneska je plněn současně platný zákon o ochraně osobních údajů, to když si dneska nechá udělat, tak tam souhlasím s panem ministrem, že potom z hlediska aplikace obecného nařízení o ochraně osobních údajů to bude mít jednodušší. Ale mimochodem, všichni si dneska představujeme, co to zase bude za byznys, ty akreditace, ty certifikace. Teď budeme mít podniky, protože to není povinné, a orgány státní moci, které budou mít certifikaci, pak budeme mít orgány státní moci a podniky, které nebudou mít certifikaci, pak předpokládám, že to dá někdo do výběrového řízení a řekne, že v okamžiku, nebo do nějaké podmínky dotace, to někdo prolobbuje, to znamená, ty firmy, které mají akreditaci a udělují certifikáty, tak budou potom chtít, aby třeba v nějakém dotačním programu bylo napsáno, jestli když chcete stavět plot, tak jedině, když budete mít certifikaci, která říká, že dodržujete obecné nařízení o ochraně osobních údajů. To bude prostě neuvěřitelný byznys, který se tady rozjede. To budou stovky milionů korun, které tady budeme utrácet, protože jsme to takhle vymysleli, protože jsme vymysleli certifikaci a vydávání osvědčení atd. To je jedna věc.
Další věc, která je naprosto zásadní, která znejisťuje celou veřejnou sféru, je to, že v českém zákonodárství není nikde napsáno, co je veřejný subjekt, nikde není napsáno, co je veřejný subjekt. Co je veřejným subjektem, je definováno až v tom zákoně, který je dneska na Legislativní radě vlády. Jinde to nikde není. A to nařízení pracuje s pojmem veřejný subjekt následujícím způsobem. Říká, že tzv. pověřence, což je osoba odpovědná za ochranu osobních údajů, musí mít všechny orgány státní moci a veřejné subjekty. A my nevíme, kdo dneska je veřejným subjektem. To znamená, některé organizace v ČR vůbec neví, jestli ten zákon projde v podobě, kdy by ony byly veřejným subjektem, nebo v podobě, kdy nebudou veřejným subjektem. To znamená, neví, jestli mají shánět pověřence nebo nemají shánět pověřence. A druhá věc je, která je ještě podstatnější, a jde to proti sobě, o tom se moc nemluví, že v tom čl. 83 odst. 7 toho nařízení, obecného nařízení, je napsáno, že pouze orgánům státní moci a veřejným subjektům může na základě svého národního práva snížit český stát v tomto případě sankce až na nulu. Čili jde to proti sobě. Zaprvé, nechci být veřejným subjektem, protože nechci mít pověřence, to by říkalo, pojďme veřejný subjekt v tom zákoně definovat co možná nejúžeji, ale v okamžiku, kdy ho definujeme co možná nejúžeji, tak potom ta organizace, která není veřejným subjektem, protože je to velmi úzce definováno, mimochodem, tak je to v tom zákoně, to znamená, že třeba knihovna by nebyla veřejným subjektem atd., tak se stane to, že se na to nevztahuje odst. 7 čl. 83, kdy jedině těmto můžete dát sankce na nulu, resp. velmi nízké. To znamená, že určitě veřejným subjektem, resp. orgánem státní moci je určitě úřad, určitě orgánem státní moci je škola, protože vydává správní rozhodnutí ve správním řízení. Nemusí být, nebo není orgánem státní moci třeba knihovna. Veřejná knihovna. Ale dělá evidenci, spadá pod to nařízení, a protože nebude z té definice, která je v tom zákoně dneska navržena, veřejným subjektem, to znamená, že nebude moci být omezena výše pokuty pro tuto knihovnu, protože není ani orgánem státní moci ani veřejným subjektem. Takže takto to tam je uděláno. Ten zákon, který je navržen, to neřeší. Řeší to způsobem, který je velmi zajímavý, že pro § nějaký v tom zákoně jsou veřejné subjekty definovány úzce, pro § jiný v tom zákoně jsou definovány široce, což já si nedovedu představit, že by mohlo být možné. Ale takhle je to uděláno.
Já jen upozorňuji, že ten problém tady existuje, to ministerstvo vnitro, předpokládám, že o něm ví. Podle mého názoru se přiklonilo ke špatné verzi, k té, že veřejné subjekty definovalo velmi úzce, to znamená, že to jsou subjekty založené pouze na základě zákona, nebo definované zákonem. V tom okamžiku se ale stane, že těmto různým malým organizacím, které různě fungují pod různými samosprávami, nebude možné sankce snížit téměř na nulu, protože nespadnou pod čl. 83 odst. 7. Takže to je věc, která je poměrně hodně zásadní. Nelze ji řešit dřív, než bude ten zákon. Nelze, protože my nevíme, kdo je ten veřejný subjekt, to je až v tom zákoně.
Teď ten nárůst administrativy. Už jsem o těch akreditacích a o těch obrovských byznysech, které s tím budou spojené, mluvil. A pak přímo v tom obecném nařízení o ochraně osobních údajů jsou tři velmi zajímavé články. Jednak je to čl. 13 a čl. 14. Ten čl. 13 a čl. 14 hovoří o povinnosti, kterou má ten zpracovatel osobních údajů vůči tzv. subjektu údajů. Když to mám uvést na příkladě, pokud např. proběhne vítání občánků nebo nějaká jiná hromadná akce na městském úřadě, kde bude dělána evidence, kde bude vznikat nějaká databáze, např. podnikatelů, kteří pravidelně chodí na schůzky se starosty atd., bude nějaká databáze, která bude udržovaná atd., v tom okamžiku, kdy se tak stane, budou ty údaje získávány od těch podnikatelů, kteří se toho setkání se starosty zúčastnili, tak je povinností toho zpracovatele, toho správce, aby podle čl. 14 jednotlivé subjekty zúčastněné na tom setkání informoval o totožnosti kontaktního údaje správce, to znamená, kdo tu databázi udržuje, příp. jeho zástupce, dále aby předal kontaktní údaje případného pověřence pro ochranu osobních údajů, pokud existují, to všechno by ten podnikatel měl dostat, potom by měl dostat zdůvodnění účelu toho zpracování té databáze, pro které jsou osobní údaje určeny, a právní základ pro zpracování by měl být oznámen, pak by měl oznámit kategorizaci dotčených osobních údajů, jestli jsou citlivé nebo necitlivé, to všechno každý z nich, kdo se zúčastní toho setkání se starostou, by měl dostat, pokud si ten úřad bude dělat databázi, to znamená tzv. evidenci. Pokud by si evidenci nedělal, tak by nemusel. Ale kdyby zažádal o evidenci, dlouhodobě si to začal udržovat, tak musí. Je to evidence, je tam databáze. Pak by muselo být rozdělení na případné příjemce nebo kategorie příjemců osobních údajů, dále by se musel oznámit tomu podnikateli případný záměr správce předat osobní údaje příjemci, nějakému třetímu příjemci, pak by se ještě musela tomu člověku říct doba, po kterou budou osobní údaje uloženy, nebo není-li, je možné určit kritéria použitá pro stanovení této doby, pak by měly být tomu člověku oznámeny oprávněné zájmy správce nebo třetí strany v případě, že zpracování je založeno atd. To jsou všechno věci, které podle toho čl. 14, příp. 13, musí ten, kdo zakládá nějakou databázi, je tedy tím pádem pověřen těmito povinnostmi splnit. Počítá se s tím, že to nikdo dělat nebude, abychom tomu rozuměli. Ale je to tam napsáno. Pozor, toto teď cituji z nařízení, abych nebyl zlý na pana ministra, tak to je v tom nařízení napsáno.
Další úžasnou věcí, nebojte se, já nechci být dlouhý, nevím, jestli všichni měli třeba tolik času jako já... Úplně úžasný je potom čl. 30 toho nařízení. Čl. 30 říká, že pokud provádíte nějakou evidenci, děláte třeba závody dobrovolných hasičů na obci, tak potřebujete udělat evidenci účastníků toho závodu, protože je potřebujete pojistit, tak děláte tu evidenci, pak je tam necháte v té databázi, tu databázi máte v počítači na obci, protože příště je zase budete zvát atd. To znamená, evidence probíhá. Potom každý správce... To znamená, provedli jste nějaké zpracování. A teď co jste povinni podle čl. 30 toho nařízení? Co jste povinni všechno dělat? Dávejte pozor. Vůči těm hasičům, kteří se zaevidovali. Jste povinni provést tzv. záznam o činnosti zpracování. To znamená, omlouvám se, nyní to je tak, že to nemusíte dávat těm hasičům, ale sami jste povinni jako starosta nebo organizátor té akce provést tzv. záznam o činnosti zpracování. V něm bude, dávejte pozor, jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů, dál tam bude uveden účel zpracování, dál tam bude uveden popis kategorií subjektů údajů a kategorií osobních údajů, dál tam bude uvedena kategorie příjemců, kterým by byly nebo budou osobní údaje zpřístupněny, vč. příjemců ve třetích zemích nebo mezinárodních organizacích, dál tam bude informace o případném předání osobních údajů třetí osobě, dál tam budou, pokud je to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů, dál tam bude, je-li to možné, obecný popis technických, organizačních, bezpečnostních opatření, uvedených v čl. 32 odst. 1, dál tam bude jméno a kontaktní údaje zpracovatele nebo zpracovatelů u každého správce, pro něhož správce jedná, dál tam bude kategorie zpracování prováděného pro každého ze správců, dál tam bude informace o případném předání osobních údajů do třetích atd... A teď tam bude, teď pozor, záznamy podle tohoto článku se vyhotovují písemně, v to počítaje elektronickou formu. Takže můžete to mít asi i elektronicky. To znamená, to zase musíte dělat, když děláte ty závody, všechno, podle toho nařízení. Abychom věděli, kam spějeme, kam se dostáváme, díky tomu, co jsme vyjednali na té komisi, kde byl taky zástupce ČR, kde to probírali, měli k tomu připomínky a pak to nějak pouštěli dál. Takže to se dostávám k tomu, jak to dochází k administrativě. Teď co se týká Úřadu pro ochranu osobních údajů, to znamená, to je ten pověřený úřad, ten se mění, jsou zrušeni ti inspektoři, bude tam jeden předseda a dva místopředsedové, což samozřejmě oni v nějakém okamžiku budou muset udělat, je to zřejmě napasováno na to, aby mohli lépe kontrolovat, jak je plněno to obecné nařízení o ochraně osobních údajů, ale oni samozřejmě to nebudou vědět dřív, než ten zákon bude schválen. To znamená, ten začátek bude takový rozpačitý atd.
Teď ta směrnice, která bude taky transponována, zavádí, řekl bych, EIA v oblasti osobních údajů. Ta EIA v oblasti osobních údajů říká, že se tomu říká zpracování vlivů, zpracování na ochranu osobních údajů pro rizikové činnosti. To bude nová. To znamená, jestliže ta činnost, kterou vy evidujete a zpracováváte, je riziková, tak se bude dělat elaborát, který se nazývá, který bude hodnotit vliv toho zpracování těchto údajů, když ta činnost je riziková, na tu činnost. To tam je, to tam musíte dělat, to je v té směrnici, to tam máme zapracované v tom zákoně atd. Takže takhle to vypadá.
Já jsem tedy hodně stručný, spoustu věcí jsem vynechal. Co z toho plyne? Samozřejmě, že současná nebo spíše ta minulá vláda zaspaly, tím pádem došlo k tomu obchodu se strachem, tím pádem to, co nás čeká, prostě na to nejsme připraveni, nejsme na to nachystaní. Tady některé ty věci, co říkal pan ministr, jsou hodně za hranou. Já uvedu jeden příklad. On tady pan ministr říkal, já to tady mám vypsané, že jako ministerstvo dalo do provozu ten chatbot GDPR, chatbot je nějaký ten automatický systém, který odpovídá, tady on píše, ten chatbot, když se to pustí, tak píše: Dobrý večer, jsem univerzální automatický komunikátor. Neboli chatbot. Jménem Michal. Ahoj Michale. Jsem schopen odpovídat na vaše otázky ohledně GDPR. Pokud se budete chtít na cokoliv zeptat, pokládejte, prosím, otázky odděleně. Tak jsem položil. Otázka č. 1: Jak by měla obec postupovat při tradičním vítání občánků, pokud je jeho součástí jmenovité přivítání maminek a podobně? Odpověď chatbotu: Pokud vznikla subjektu údajů hmotná či nehmotná újma, v důsledku porušení obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud. Otázka č. 2 je moje: Jak má sportovní oddíl postupovat, když součástí fotbalového zápasu mezi starými a mladými je hlášení o tom, kdo vstřelil gól? Odpověď chatbotu Michala: Spuštěn jsem byl v lednu 2018. Takže, prosím, to je... Tak jsem napsal mail, že to asi není úplně správná odpověď. Zatím mi nebylo odpovězeno. Ale věřím, že se nějaké odpovědi... Takhle to funguje. Takže, prosím vás, my jsme na výboru a potom i se Zbyňkem Linhartem se bavili, co s tím můžeme udělat, aby aspoň trošku se někdo probral, začal tady pracovat pro občany, tak, aby to nebyla hrozivá šikana dalšími byrokratickými nesmysly. To usnesení, které máte na stole, tak velmi mírně vyjadřuje naši nespokojenost, jednak se současným stavem adaptace a potom s přístupem odpovědných orgánů, které podle mého názoru nepomáhají s tou řídící, pomocnou, podpůrnou a organizační činností. Ten stát v tomto smyslu naprosto selhává. Je schopen posílat jen 90stránkové metodiky, kde stejně není napsáno, co máte dělat, a na konkrétní dotazy není schopen odpovědět, to jste viděli. Spuštěn jsem byl v lednu 2018. To je odpověď na to, co mám dělat. Takže já bych byl docela rád, kdybychom tu nespokojenost vyjádřili, protože si myslím, že to je velmi mírné. Kdyby toto doma dělaly moje děti, tak bych byl více než nespokojený. A potom jsou tady nějaké výzvy, spíš pro pana ministra. Pane ministře, zkuste to brát jako pomoc. První věc je, prosíme, aby v tom našem návrhu zákona byly maximálně využity pravomoci, které to nařízení dává. To nařízení někde je striktní, někde umožňuje tomu národu, tomu státu se odchýlit od té nejtvrdší varianty. Třeba uvedu příklady. V tom nařízení je napsáno, řekněme, z práva evropského plyne, že třeba se smíte do Facebooku přihlásit se souhlasem rodičů, pouze se souhlasem rodičů, pokud je vám více než 16 let. A přitom umožňuje toto udělat méně tvrdé, tak v tom návrhu zákona českého je napsáno, že by to bylo možné, že musíte mít souhlas rodičů, pokud je vám méně než 13 let. To znamená, to je věc, kdy je možné v některých případech, které se týkají sankcí, třeba věkových limitů, příp. dalších věcí, jako tvrdost toho nařízení zjemnit, nebo některé věci upřesnit, tak, aby byly jasnější. Typické je, že je tam potřeba napsat, co je veřejný subjekt, atd.
Takže ta první odtržka říká, proboha, zamyslete se vážně nad tím, co nás, ubožáky, kteří přijdou pod to obecné nařízení, čeká. A udělejte všechno pro to, aby ty dopady byly co možná nejmírnější. To je první. Druhá je, že je tam výzva k nějaké aktivitě, aby se prostě k tomu přistupovalo aktivně a efektivně. Když za sebe řeknu, co bych si třeba já představoval, že by to ministerstvo tam mělo udělat, tak je tam nějaký autor toho zákona, někdo, kdo byl u vyjednávání, kdo ví, jak ty věci byly myšleny. Mimochodem vůbec není jisté, že Úřad pro ochranu osobních údajů si věci bude vykládat stejně jako ten, kdo byl u toho zákona. Smysl zákona oni vlastně neznají, protože oni tam neseděli. Za nás seděl na té komisi, která dávala dohromady obsah nařízení, člověk z Ministerstva vnitra. A dozorovým úřadem, který tam neseděl, je Úřad pro ochranu osobních údajů. A prostě tím pádem on nezná ducha toho nařízení a nerozumí některým věcem a neví, že třeba v případě činnosti novinářů, akademických pracovníků, umělců atd. je to velmi mírné a je možné docela dobře fungovat. Ale když k tomu přistoupí striktně, tak vzniknou úplné nesmysly a bude prostě postihovat za věci, na které nikdo ani nepomyslel, že by měly být postihovány. A tohle je věc, která chybí. A tím pádem si myslím, že jedna z věcí, která by měla nastat, je, že při nějakém rozhovoru dvou poučených lidí autor nebo navrhovatel zákona vysvětlí, jak jsou některé věci myšleny. A to takovým způsobem, že si to poslechne i Úřad pro ochranu osobních údajů a nebude blbnout, až někam přijde na kontrolu atd. A poslední věc, která tam je v usnesení ještě navržena, je, aby se Ministerstvo vnitra pochlapilo a za nového ministra udělalo nějaký jednotný portál, abych se nemusel ptát na Ministerstvu vnitra, Ministerstvu školství, Ministerstvu zdravotnictví, Ministerstvu průmyslu a obchodu atd., kde ten člověk napíše dotaz a bude mu odpovězeno. A ta odpověď bude garantována v tom smyslu, že když mu tam někdo odpoví, tak mi potom on bude říkat: "Prosím vás, oni mi takhle odpověděli, jak to, že vy z toho úřadu mi dáváte pokutu?" A bude to tam prostě jasné. A on řekl: "Já vítám občánky. Musím tohle dělat?" Někdo mu odpoví. A on řekne: "Tady mi odpověděl na tom portálu, který spravuje Ministerstvo vnitro, nebo já nevím kdo, úřad, jak to tedy je? Já jsem se na to zeptal a vy jste mi odpověděli a teď po mně chcete úplně něco jiného." A to je smyšlenka té třetí odrážky tam, aby to někdo udělal. Měl by to udělat ještě dřív, než zákon vstoupí v účinnost, aby ti lidé se mohli zeptat, protože jinak jsou tady ti obchodníci se strachem, kteří odpovídají za peníze. A to většinou ještě třeba špatně, protože oni žádnou takovouhle garanci z hlediska předkladatele toho zákona mít nemůžou. Měl jsem tady potom ještě připraveny některé další perličky, které ukazují na to, jak ten zákon... Ještě je tam jeden problém. Pokud ten zákon bude přijat později, než vstoupí v účinnost to nařízení, tak v těch věcech, kde to nařízení umožňuje "svobodné rozhodnutí" nebo stanoví nějaké limity nebo nějaký prostor pro rozhodnutí státu, se stane, že nějakou dobu bude platit nařízení, třeba dva měsíce, než vstoupí v účinnost ten zákon, a budou ta pravidla jiná než za dva měsíce. Tzn. může někdo přijít na kontrolu, já nevím, dva měsíce po vstoupení v účinnost. Třeba v případě těch 13 a 16 let. Platí 16 let, tzn. bude, vymyslím si, 30. května Úřad pro ochranu osobních údajů atd. On přijde na kontrolu proto, jak to říká vždycky Jarda Kubera, že někdo udá. "Hele, tady byl přihlášen," atd. Když tak bychom asi neměli komunikovat takhle. Tolik ode mě. Úžasné, jak říkám. Kdybyste se mě chtěli něco zeptat, moje odpověď je, spuštěn jsem byl v lednu 2018. Děkuji za pozornost.
čas 13:01:48 - 13:04:10:
Vážený pane předsedající, vážený pane ministře, kolegyně a kolegové, krátce jenom tři věci. První je, abych také trochu chránil ministerstvo a případně i toto obecné nařízení. Asi 80 % věcí, které jste tady uváděli jako problémy, je řešitelných. Mám na mysli fotografie, vyvolávání studentů atd. Toto všechno je myšleno a tam by problém, pokud výklad zákona bude skutečně aplikován tak, jak byl projednáván, neměl být. Druhá věc. Chci tady chránit čest Senátu a výboru, který vedl Luděk Sefzig, jak ho tady Jaroslav Kubera kolegiálně prezentoval – bod 6 usnesení zní: Senát upozorňuje, že návrhy – to jsou návrhy na ochranu osobních údajů – svým pojetím přinášejí adresátům značnou administrativní zátěž a není vždy zřejmá přidaná hodnota, která by tuto zátěž vyvažovala. Čili velmi osvícené a z hlediska budoucnosti bych řekl prozíravé usnesení, byť má bod č. 6, zatímco vítá je v I. bod 1.
A teď poslední věc, kterou si neodpustím a zapomněl jsem ji říci. Ode mne to bude možná příliš překvapivé, ale myslím si, že v případě orgánů veřejné moci a v případě veřejných subjektů to vůbec nemá probíhat tím způsobem, jak to probíhá, že tady máme nějaký systém veřejné správy a že ze strany nejvyšší exekutivy, vlády a ministerstva vnitra, toto mělo být organizováno stejným způsobem, jako například je zajišťováno to, aby byly správně vydávány živnostenské listy nebo stavební povolení či něco jiného, protože to je povinnost daná zákonem a mohl by na ni dohlížet zase stát, s tím, že by ho to samozřejmě stálo nějaké peníze. Ale jak tady správně naznačila paní senátorka Chmelová, myslím si, že by to bylo jednak přehlednější, transparentnější a v tomto případě i lacinější, než když to necháme takovému živelnému procesu, který teď a dnes probíhá. Děkuji za pozornost.
čas 13:14:22 - 13:20:24:
Omlouvám se, že vystupuji potřetí, ale musím kvůli třem věcem, a nemyslím si, že už pan ministr musí reagovat, ale aby to tady i pro stenozáznam zaznělo.
Když jsem mluvil o udělování osvědčení, neboli certifikaci, tak jsem se ptal na to, jestli už dneska akreditační institut skutečně Úřadem pro ochranu osobních údajů by stanovil podmínky pro to, aby mohly vzniknout instituce, které dostanou od akreditačního institutu akreditaci, aby následně potom, co ji dostanou, mohly udělovat certifikát, resp. osvědčení. Takto to je. To byla otázka. Jestli už dnes podmínky máme, aby aspoň v okamžiku, kdy začne zákon platit nebo bude účinný, tak už někdo ví. Mohu se přihlásit, abych případně skutečně erudovaně, nikoliv proto, že chci dělat byznys, protože na to budu mít papír od institutu akreditačního, mohl někam přijít a říct: Vy to máte dobře nebo nemáte dobře. To byla má otázka. Jestli toto tak je nebo není. A prosím nespojovat akreditaci a někoho kdo má akreditaci s tím, že někdo má certifikát. Ten, kdo má certifikát, vůbec akreditaci mít nemusí. Protože to je tak, že ten, kdo má akreditaci, uděluje certifikát. To je první věc.
Druhá věc. Přečtu pro nás pro všechny, jak tady zmiňoval pan kolega Canov, odstavec 7 článku 83. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle článku 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. Rakousko to vyřešilo tak, že dalo nulu. A argumenty ministerstva vnitra, proč nemůžeme dát nulu, jsou řekněme logické, ale myslím si, že v tomto výjimečném případě bychom měli logice odolat. A ty spočívají v tom, že tvrdí, že v Rakousku obecně žádný kontrolní orgán státním institucím a veřejným institucím nedává pokuty. Protože stát platí státu, a protože to Rakušané stejným způsobem udělali i v tomto případě, protože také jde o výkon státní moci. Nebo řekněme naplňování zákona, atd. Čili tam to má logiku, protože to tak mají všude. Když tam přijde inspekce životního prostředí, do školní jídelny, zjistí problémy, tak je popíše, dá nápravní opatření, ale nedostane pokutu jídelna. Protože si stát platí státu atd. A protože to tak nemáme, když přijde hygiena nebo inspekce, tak nám dává pokuty na obcích atd., říkají, že v této linii bychom to měli dělat i v případě, že něco nebude v pořádku, v případě ochrany osobních údajů. Nejsem si úplně jistý, že v tomto případě nemůžeme být buď velmi mírní, že tam dámě nějakou symbolickou částku, a jsem si téměř jistý, že minimálně co můžeme udělat, je dvouletý, pětiletý odklad té věci. To nemusí jít. Takže neříkejte, pane ministře, že to nejde a nedávejte tam, jsem neřekl. V tom návrhu zákona je 10 milionů. Tam je to napsáno. Úředníci ministerstva vnitra, kteří psali zákon, tam napsali maximálně 10 milionů. A přitom měli ode mě dopis, kde to bylo napsáno a byla tam ukázka německého zákona, kdy je nula a dokonce jsem to z němčiny přeložil. Už nevím, co máme dělat dál, aby se něco změnilo a aby někdo začal normálně fungovat a pracovat. Takže to byla ta druhá poznámka a je to problém.
A třetí, hrozně důležitá. Teď mi to připomněla paní senátorka Wagnerová a pan senátor Valenta. Uvědomme si, že to obrovským způsobem zasahuje podnikatelskou sféru a zase zejména koho? Kdo si myslíte, že má problém se správou databází? Kdo si myslíte, že má problém? Samozřejmě malí a střední. Ti budou vyřízení. Protože když je mělká firma, tak to má evidenci a koupí software atd. A malí a střední budou vyřízení, protože zase na ně někdo může jít a zase jim může dát pokutu, asi ne 10 mil. euro, ale nějakou jinou, která je může zlikvidovat. A opravdu si myslím, že v tomto případě jsme se dostali někam, kde nikdo nechtěl, abychom byli. A měli bychom z toho hned nějaké řešení a snažit se z toho dostat ven. Já to řešení nemám, zejména pro podnikatelské subjekty nebo tzv. podniky, ono se to definuje jako podnik. To znamená každý subjekt, který vykonával hospodářskou činnost, je tam napsán. Takže tak je to uděláno a tam nějaké možnosti ani to nařízení moc nedává. To bych řekl, že je velmi důležité, aby potom tu výkonnou moc aplikovala vláda a opravdu si myslím – a teď úplně nesouhlasím s panem starostou Canovem, což se stává málokdy – že ona by měla v případě této činnosti kontrolní, která se týká ochrany osobních údajů, říci ano, ale teď byste se měli chovat velmi rozumně a přesně v duchu, co je napsáno v nařízení, že pokuta má být přiměřená. A mimochodem ona by měla být přiměřená i tomu, jak se chovala státní moc a jakým způsobem dokázala připravit podmínky pro soukromý sektor, který nás živí. A státní správa přece naprosto selhala. To je stejné, jako bych já, když jsem učil matematiku, půl roku nechodil do hodiny, nic svým dětem neříkal a pak přišel a chtěl, aby spočítaly nějaký složitý zlomek nebo nějaký integrál.
Nemůžou. Protože ten, kdo je to měl naučit, kdo je na to měl připravit, nekonal. A v takové my jsme situaci. A teď hrozí, že přestože jsme nekonali jako moc, jako exekutiva, tak budeme najednou ty, pro které jsme měli konat a kteří jsme měli připravit, šikanovat a dávat jim pokuty. To nemá žádnou logiku.
