Karel Bačkovský z Odboru bezpečnostních politik Ministerstva vnitra ČR a jeho kolegyně Kateřina Jamborová byli jedněmi z těch, kdo stáli u zrodu návrhu zákona o zpracováních osobních údajů, který „adaptuje“ české právní předpisy do souladu s evropským Obecným nařízením o ochraně osobních údajů známým jako GDPR. V legislativním slangu je tento zákon označován jako „adaptační zákon“. Již zítra a následně ve čtvrtek ho budou projednávat výbory Poslanecké sněmovny a je již jisté, že termín 24. května, kdy měl začít platit spolu s Nařízením, se nestihne. Nejen o tom jsme diskutovali v našem rozhovoru.
Je jisté, že se poslanci chystají navrhnout nějaké pozměňovací návrhy do adaptačního zákona, což napovědělo veto dvou poslaneckých klubů při jeho projednávání 18. dubna. Nyní se jím budou zabývat Výbor pro veřejnou správu a regionální rozvoj, Ústavně právní výbor, Hospodářský výbor, Volební výbor a Výbor pro zdravotnictví. S Vaší zkušeností a znalostí legislativního procesu, dá se odhadnout, kdy by adaptační zákon mohl vstoupit v platnost?
Karel Bačkovský: Už před prvním jednáním ve Sněmovně jsme se bavili s některými politiky, kteří o to měli zájem, na pracovní úrovni. Vysvětlovali jsme jim řadu věcí, oni samozřejmě zase sdělovali své postoje nám a dá se očekávat, že debata bude poměrně košatá. To nemůže být překvapením. V tuto chvíli samozřejmě netušíme, co všechno ta debata může přinést, jaké tam mohou vzniknout pozměňovací návrhy, nicméně některé z těch tematických okruhů jsou vcelku jasné. Jedna z věcí, které se budou hodně probírat, bude dopad GDPR a navazující právní úpravy na samosprávu, na malé obce. Určitě se bude hodně řešit i dopad na soukromý sektor. Jaká další témata se ještě objeví, to teprve uvidíme. My to každopádně nebereme tak, že by naše práce končila okamžikem předložení do sněmovny. Je to norma, která je složitá, košatá a my určitě budeme i nadále v tom procesu v parlamentu aktivní tak, aby případné změny do toho zapadly pokud možno organicky.
Délku odhadnout nedokážeme, já si myslím, že na jednu stranu tu bude tlak probrat to podrobně, protože dílčích okruhů je tam spousta. Na druhou stranu si myslím, že si všichni uvědomují, že je poptávka po tom, aby platná právní úprava byla poměrně rychle. Adresáti platné právní úpravy na ni čekají.
Kateřina Jamborová: Jinak chceme zdůraznit, že Nařízení je přímo použitelný předpis, takže pokud adaptační zákon nebude, taková tragédie to není, nicméně ono se to objevuje i v médiích a na sociálních sítích, že ten balík zákonů je obrovský, je to těžko čitelné. Je potřeba upozornit na to, že ten tzv. data protection balíček přijatý na evropské úrovni zahrnuje nejen obecná nařízení, ale i směrnice, což je celý implementační balík.
Směrnice jsou vlastně dvě, jedna je o využívání údajů z letecké dopravy pro účely trestního vymáhání práva a ta druhá je tzv. trestně právní směrnice, která upravuje používání osobních údajů zejména v policii. Když se podíváte do zákona samotného, tak ze zhruba asi 70 paragrafů je nakonec důležitých pro obce méně, než deset. Takže to, co se opravdu týká adaptace, to, co má dopad třeba i přímo na obce, tak těch ustanovení je velice málo a jsou to především zpřesňující ustanovení. Například z hlediska právní jistoty tady říkáme, co je citlivý údaj v přechodných ustanoveních, protože to je termín, co se teď již nepoužívá. Zpřesňuje se tu, co je veřejný subjekt atd. To jsou opravdu takováto dílčí zpřesnění, nicméně ani převážná část toho hlavního zákona se běžného uživatele týkat nebude. A to je obrovský posun oproti stávajícímu zákonu 101, kde ten princip byl opačný.
Pro obce je důležitých 10 paragrafů
Pokud má správce zákonem stanovenou povinnost, vykonává veřejnou moc nebo plní úkol ve veřejném zájmu:
– je oprávněn kvůli tomu zpracovávat osobní údaje – § 5 návrhu zákona, navazuje na článek 6(3) GDPR (zajišťuje se, že pokud právní předpis stanoví povinnost, v rámci které k tomu je nezbytné zpracovávat osobní údaje, tak je samozřejmě může zpracovávat, byť v příslušném zákoně není věta „lze zpracovávat osobní údaje“)
– může informace o zpracování poskytnout zveřejněním na internetu – § 8, navazuje na články 13 a 14 (1, 2, 4) GDPR – informační povinnost lze splnit zveřejněním na internetu
– Správce zajišťující některé chráněné zájmy nemusí posuzovat slučitelnost účelů – § 6 zákona, čl 6(4)a čl 23 GDPR – možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného účelu za stanovených podmínek
– Povinnost jmenovat pověřence mají orgány veřejné moci a jim se blížící úzká skupina „veřejných subjektů“ – § 14, čl. 37(1)(a) – pověřence tak nebudou muset mít např. ZUŠ, školní jídelny apod.
– Subsidiární výjimky z práv subjektu údajů za kvůli zajištění některých chráněných zájmů kompenzovány dozorem ÚOOÚ
– Oznamovat změny a výmazy lze aktualizací evidence – § 9, čl. 19
– Věk pro samostatný on-line souhlas dítěte na 15 let – § 7, čl. 8 – nařízení počítá s 16, snižujeme na 15
– Omezení zpracování nestaví zákonnou ohlašovací povinnost
Ministerstvo vnitra vydalo také řadu užitečných dokumentů, například vzorový dokument pro praxi malých obcí. Na stránkách ministerstva vnitra si můžete STÁHNOUT například Základní pravidla postupu souvisejících se zpracováním osobních údajů
„Policejní“směrnice nedopadá na strážníky
KJ: Třeba v rámci školení upozorňujeme i na to, že část, která se týká státní policie, se netýká městských policií. Opravdu městské policie jsou podle Obecného nařízení. Takže v tomto ohledu nenastane žádný problém, když adaptační zákon nebude. Česko bude mít trochu problém s tím, že nedodržíme implementační lhůtu pro ty dvě směrnice. Nicméně jsme na to Evropskou komisi upozorňovali už v průběhu projednávání. Pro nás je dvouletá implementační lhůta prostě krátká vzhledem k tomu, jak máme v ČR dlouhý legislativní proces. Pokud máme neproblémovou legislativu, kde není potřeba nějaká náročná komunikace s ostatními rezorty, tak dva roky je taková průměrná doba, kdy se to dá v pohodě stihnout.
Opět se říká, že Vnitro a ÚOOÚ nestíhají, má skluz s GDPR, začali to řešit pozdě, atd. co na takovou kritiku říkáte?
KB: Dá se říct, že na tom děláme od roku 2016. Není to tak, že by tu bylo přijaté nařízení a my jsme si pak dali nějakou dobu volno a jenom o tom přemýšleli, nebo si dali „oraz“. Opravdu se na tom ty dva roky pracuje. Byla tam dlouhá doba, kdy jsme oslovovali všechny možné dotčené subjekty, upozorňovali jsme je na to, že byl přijat tento předpis a je zapotřebí identifikovat poptávky na změny v národní legislativě, které je v návaznosti zapotřebí udělat právě v těch rezortních předpisech. Je potřeba si uvědomit, že u této normy bylo třeba enormně dlouhé vypořádání připomínkového řízení. Měli jsme k tomu přes 300 připomínek a dlouho jsme je zapracovávali.
Jak dlouho jste je vypořádavali?
KJ: Zhruba šest měsíců. Bylo to velice náročné, my jsme mysleli, že to budeme mít tak o měsíc, dva dříve, ale opravdu nám chodily zásadní připomínky třeba k věcem, co jsme ani nečekali, protože se jednalo o stávající úpravu ze zákona 101. A i tam muselo dojít právě v souvislosti se stávajícími právními předpisy k některým dalším dílčím změnám, další rezorty vznášely své požadavky na adaptaci svých předpisů, takže to celé nabobtnávalo. A navíc my jsme tam byli ještě takovým mezistupněm mezi Úřadem pro ochranu osobních údajů a dalšími.
KB: Důvod, proč to bylo tak dlouhé, byl mj. třeba ten, že jsme to rozhodně nechtěli řešit na sílu. Chtěli jsme dosáhnout maximálně konsenzuálního textu, protože toto se opravdu týká leckoho. Chtěli jsme najít takové řešení, se kterým budou adresáti právní úpravy srozuměni. Je to jedna z věcí, které jsme říkali od začátku, i na evropské půdě, že totiž ta dvouletá implementační lhůta je příliš krátká. Jedním z důvodů je i to, že nám do ní spadl také konec volebního období. Když si člověk uvědomí, jak to chodí prakticky, tak návrhy zákonů, které jsou do sněmovny předloženy třeba v posledním půlroce, ale leckdy i třeba v posledním tři čtvrtě roce fungování sněmovny, tak už u nich není jisté, že budou vůbec projednány. Zvlášť se to týká těch komplikovaných složitých návrhů zákonů, u kterých není nějaká obrovská shoda, což je tento případ.
Když jsme si dělali pracovní harmonogram, jak by musel být návrh zákona předkládán, aby měl vůbec šanci být schválen minulou sněmovnou, tak jsme dospěli k názoru, že bychom jej museli předložit už hotový někdy na podzim roku 2016. Pokud bychom to chtěli mít předložené na podzim roku 2016, tak když si od tohoto termínu odpočítám všechny lhůty na mezirezortní připomínkové řízení a legislativní radu vlády, tak se to v podstatě nedalo stihnout. Zřejmě by se to nedalo stihnout ani v situaci, kdy bychom už adaptační legislativu měli napsanou v květnu 2016, kdy Nařízení schválil Evropský parlament.
Prohlédněte si celý harmonogram Jak šel čas s adaptací a implementací GDPR podle Ministerstva vnitra ČR
Zní to jako byste si stěžovali na příliš mnoho připomínek resortních kolegů…
Unisono: To vůbec ne. Ta spolupráce byla dobrá.
KB: My připomínky samozřejmě považujeme za nezbytnou a standardní součást legislativního procesu, která nevyhnutelně musí nastat, jestli má adaptace k něčemu být. Jen to nevyhnutelně zabere čas. Je to tak, že jsme od začátku na evropské úrovni říkali, že potřebujeme delší implementační lhůtu právě i s ohledem na to, že to spadá do konce volebního období. Vyhodnotili jsme to tak, a ukazuje se i z hlediska toho, jak pak ten proces reálně vypadal, že nebylo vůbec reálné stihnout to v minulé sněmovně. Legislativa byla předložena současné vládě v podstatě bezprostředně po jejím vzniku. Ostatně to, že lhůta není příliš velkorysá, se ukazuje i na situaci ostatních Evropských států. V okamžiku, kdy jsme to předložili do parlamentu, jsme se ocitli možná v první třetině států, která pokročila až k tomuto bodu.
KJ: Zhruba třetina států tu adaptační legislativu v květnu mít bude. Ale zase nevíme, jestli bude mít dopady do všech jejich právních předpisů. To třeba nemají ani Němci. Že by měli adaptaci v rámci celého právního řádu, kde se objevují nějaké osobní údaje, tak to nestíhají ani Němci. Nicméně zhruba třetina států adaptační legislativu v květnu mít bude.
Dá se říct, kdo například?
KB: Deset států je na tom tak, jako my, třetina států to zhruba mít bude. Komise toto samozřejmě pravidelně vyhodnocuje, státy pravidelně reportují a rozhodně to není tak, že by ČR v tomto byla na chvostu. Možná by se dalo říct, že jsme uprostřed toho pelotonu.
KJ: A zbytek to pořád ještě vypořádává. Je docela dost států, co se ještě nebyly schopny posunout v legislativním procesu dál. Právě proto, že je to tak komplikované.
Dá se z vašeho pohledu shrnout, třeba jen do oblastí, které budou jiné po přijetí adaptačního zákona? Co to upravuje? Tady zase může někdo říct, tak jste to nemuseli vůbec přijímat, když je přímo aplikovatelné ono nařízení…
KB: Já si myslím, že to by bylo dost nevýhodné. Protože nařízení je sice na jednu stranu přímo aplikovatelný právní předpis, na druhou stranu my jsme třeba trošku kritičtí i k tomu, že vůbec má podobu nařízení. Protože přímo aplikovatelný právní předpis má dikci nařízení, která není úplně stejná, jako dikce našich národních předpisů. Z podstaty věci jsou tam nějaké věci poměrně nejasné. Ony budou pak vyjasňovány i na Evropské úrovni. Jak víte, tak vzniká sbor úřadů pro ochranu osobních údajů a právě ty věci se v tom sboru budou vyjasňovat. Teď tomu předchází skupina WP 29 a myslím si, že právě z hlediska adresátů je dobré, když jsou některé věci upřesněny na národní úrovni. Kdybychom tu národní adaptační legislativu vůbec neměli, tak je možné, že velká část věcí, které tam upřesňujeme, by pak vlastně v aplikační praxi byla vyargumentována stejným způsobem. Ale nebyla by to úplná jistota, možná by to nějakou dobu trvalo. Z hlediska té právní jistoty nám přijde výhodné, ujasnit některé právní věci už v normě.
KJ: Nařízení funguje tak, že zhruba ve 30 článcích nechává prostor k tomu, aby to adaptační legislativa nějakým způsobem upravila. Dlužno podotknout, že většinou umožňuje nějaké zpřísnění. Tuto možnost si tam řada států chtěla nechat. Aby jejich režim byl ještě přísnější, než u nařízení. Zejména Německo. My jsme nevyužili ani jedné z možností režim zpřísnit, např. by bylo možné zpřísnit režim pro jmenování pověřence. Že bychom stanovili nějaké kvalifikační předpoklady, nějaké vzdělání, nebo něco takového. To jsme nevyužili.
Pokud ÚOOÚ dojde k tomu, že se stalo nějaké pochybení, může jen vyzvat k nápravě. Mohou i zkonzultovat, jak má k té nápravě dojít a pokud k ní dojde, tak úřad jednání ani vůbec nezahájí. Nezahájí žádné řízení o tom, že by nějaké pochybení bylo. To je docela důležité.
Subjekty veřejné správy a jejich povinnosti
Důležité je specifikovat co je „veřejný subjekt“. Od toho se odvíjí vše podstatné.
KJ: Ano, je důležité, přesně definovat tento pojem. Aby příspěvkové organizace anebo pomocné organizace, které obce mají a nejsou orgánem veřejné moci, nemusely mít pověřence. To je jedna z věcí, která je docela medializovaná. Ale jsou to i takové drobnosti, že třeba pokud správce bude do budoucna zpracovávat nějaké osobní údaje na základě zákona, má výjimku a nebude muset dělat analýzu posouzení vlivu na zpracování osobních údajů.
Vychází to ze zákona, čili zákonodárce tuto úvahu již provedl a nebude to muset dělat správce jako takový. To je docela důležitá věc obsažená v „našem“ adaptačním zákoně, který je ve Sněmovně. A pak tam jsou opravdu věci tohoto typu, které by měly snížit administrativu v případech, kdy není nezbytné, aby správce tu administrativu zvýšenou měl. Jako třeba oznámení změny formy. V případě, že je nějaká změna, tak to správce oznámí do všech evidencí a nemusí se to dělat dílčím způsobem. Dále pak informační povinnost. Tam je zakotvena povinnost informovat subjekt údajů, že se zpracovávají údaje. Zase to správce bude moct udělat třeba na internetu. Takže to jsou opravdu věci, které by měly zjednodušit život správců, a zároveň by bylo dodrženo vše, co má být.
Je asi korektní říci i to, že se vede debata o tom, že by pro určité subjekty, ve veřejné správě konkrétně pro obce, nebo alespoň pro obce určité velikosti, došlo ke snížení horní hranice sankcí, to navrhoval váš úřad, ale vláda to zamítla.
Karel Bačkovský: Já bych před závorku k této debatě vytkl to, že si myslím, že to není takové drama. Podotýkám, že nikde nikdo nenavrhuje zvýšení horní hranice, takže ta nejpřísnější varianta je zachování stávajícího stavu a to je ze 101, samozřejmě doprovázena obecnými principy, které už jsou u nás v rozhodovací praxi pevně zakotveny. To znamená, že ty sankce musí být proporcionální, nesmí být likvidační, jinými slovy musí odpovídat možnostem toho sankcionovaného subjektu.
Kateřina Jamborová: A tady je ještě důležité, že celé GDPR je postavené na posouzení rizika. Což zrovna u těch obcí je docela směrodatné a má to samozřejmě vliv i na výši pokut. Pokud máte zpracování osobních údajů typu, že vedete evidenci místních poplatků, kdo zaplatil a kdo ne, tak samozřejmě to riziko je tam úplně jiné, než když jste třeba ministerstvo a vedete registraci. Od toho se vyvíjí výše pokuty. Samozřejmě za to nedostanete těch 10 mil.
KB: Myslím si, že se toho nikdo bát nemusí. Opravdu platí, že dosavadní rozhodovací praxe ÚOOÚ nevedla k ukládání nějakých drakonických pokut a především se k této otázce již opakovaně vyjádřily soudy. Tady správní úřady nemohou ukládat nepřiměřené pokuty, protože by to neudržely u soudů. Soudní judikatura je v tomto poměrně jasná. Na druhou stranu si myslím, že je korektní říct, že tohle je otázka, o které se ta debata vedla před předložením vládě. Víte, že návrh, co šel do vlády, vypadal nakonec trochu jinak, než to, co vláda schválila. Myslím si, že se dá očekávat, že ze strany některých poslanců se tato otázka zase otevře. Takže my sami za sebe si asi umíme představit více různých řešení, a asi to bereme jako záležitost, která je zatím otevřená. A uvidíme, jak to dopadne na parlamentní půdě.
KJ: A tady je ještě důležité zdůraznit, že v adaptačním zákoně je zakotven paragraf, který v případě nějakého pochybení umožňuje Úřadu subjekt jen vyzvat k nápravě. Mohou i zkonzultovat, jak má k té nápravě dojít a pokud k ní dojde, tak ÚOOÚ jednání ani vůbec nezahájí. Nezahájí žádné řízení o tom, že by nějaké pochybení bylo.
KB: Což je důležitý prvek, protože to nezatíží adresáta nejen sankcí, ale ani tím samotným správním řízením. A podotýkám, že to je zrovna ustanovení, které i samotný úřad podporoval. Je to rozumné pragmatické ustanovení, které vyjadřuje, že primárně nikomu nejde o to někoho za každou cenu sankcionovat, ale jde prostě o to, aby byla dodržována pravidla. Takže dojde k porušení pravidel, úřad na to přijde, upozorní, ten kdo pravidla porušil, přijme okamžitě nějaká nápravná opatření, úřad se s tím spokojí a nemusí běžet ani žádné správní řízení.
KJ: Jinak pro zajímavost, nejvyšší pokuta, co kdy byla nějakému městu, nebo obci, v ČR udělena za celou dobu fungování úřadu, bylo zhruba 80.000,- Kč a dostalo ji druhé největší město v ČR.
Je to nejsložitější věc, kterou jste ve své kariéře řešili?
KB: To je strašně relativní. Určitě bych řekl, že je to věc, která má přímý dopad na největší množství lidí. Asi žádný jiný předpis s takto bezprostředním dopadem jsme tady nikdy neřešili. Na druhou stranu říct, jestli je to ta nejsložitější věc, kterou jsme kdy řešili… třeba kolegyně svou kariéru na ministerstvu vnitra začala tím, že připravovala návrh na rozpuštění Dělnické strany. Což je zase věc, která je unikátní i v evropském kontextu. To bylo složité ze zcela jiných hledisek. Odpověď, že to je asi předpis, který má bezprostřední dopad na nejvíc různých osob v naší kariéře vychází už z toho, že jsme bezpečnostní část ministerstva. Že naše předpisy většinou dopadají primárně na veřejnou správu. Kdybychom byli tvůrci nového občanského zákoníku, tak bychom asi řekli, že ten dopadal na větší počet lidí, ale….
Jiří Reichl
Tématu GDPR se věnujeme pravidelně – přečtěte si některé starší texty:
GDPR se blíží, ale veřejnost se ochranou osobních údajů příliš netrápí 20.4.2018
Vnitro sníží pokuty za porušení GDPR pro obce I. a II. a jejich školy…20.3.2018
MŠMT uklidňuje školy ohledně GDPR: Jen pár nových povinností 20.3.2018
Jak na GDPR? Základní školení je na internetu k dispozici zdarma 18.3.2018
Spravedlnost bude mít sdíleného pověřence GDPR. Bude zaštiťovat 96 soudů a rejstřík trestů 12.3.2018
Evropská komise spustila on-line nástroj k GDPR pro malé a střední podniky 25.1.2018
Úřad na ochranu osobních údajů začíná zveřejňovat dotazy k GDPR 31.10.2017
Zákon o GDPR: vnitro dostalo stovky připomínek. Chvojka normu označil za hranou srozumitelnosti 2.10.2017
Anketa mezi obcemi o GDPR: Některá města nevědí, o co jde 28.9.2017
Tuzemské pokuty nemohou být výrazně nižší než v západní EvropěPetr Woff – 21.9.2017
I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl – 15.9.2017
Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence”Petr Woff – 13.9.2017
Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl – 8.9.2017
GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017
Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017
GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017
Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017
Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017
Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017
Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcíJiří Reichl – 30.8.2017
Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13…Jiří Reichl – 24.8.2017
Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017
Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017
EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017