(17.20 hodin)
(pokračuje Hovorka)
Dále mechanismus anulace neexistující tržby, chybně provedené transakce, běžná storna, omyl obsluhy, chyba v systému, kdy se program zhroutí a podobně. Dále při zcizení elektronické identity analogicky například častý případ, kdy dojde k vyluxování konta na bankovním terminálu instalovanou čtečkou, může být tato identita předmětem obchodu. Jedná se o potvrzovací sekvenci znaků, kterou může kdokoliv použít neoprávněně a schovat se za majitele certifikátu.
Prosím o odpověď na čtyři otázky. Jak se o těchto případech, o kterých jsem mluvil, dozví potom majitel certifikátu a jakým způsobem? Dále, jakou nese odpovědnost za potvrzené tržby, o kterých se nedozvěděl? Za další, kdo zkoumá míru zavinění v případě sankce? A jak se anuluje taková neoprávněně autorizovaná tržba? To jsou moje otázky a připomínky k zákonu.
Současně se hlásím také do podrobné rozpravy, kde chci navrhnout jeden pozměňovací návrh a přihlásit se k němu. Děkuji za pozornost.
Místopředseda PSP Petr Gazdík: Děkuji panu poslanci Hovorkovi. Dalším řádně přihlášeným je pan poslanec Radim Holeček. Prosím, pane poslanče, máte slovo.
Poslanec Radim Holeček: Vážený pane předsedající, vážené dámy, vážení pánové, nejen pro milého kolegu Hájka, který tu teď není bohužel, ale pro všechny, kterým chyběla Big Brother tematika, tak jsem tady.
Jako předseda podvýboru pro ochranu soukromí jsem se na vládní návrh zákona už z této pozice díval. Přesto připomínky Úřadu pro ochranu osobních údajů, které mi připadají naprosto logické, zůstaly nevyslyšeny. Je potřeba si je zopakovat, protože to je důvod, proč já pro tento návrh nemohu zvednout ruku a proč, pokud to ještě nikdo neudělal, navrhuji zamítnutí tohoto návrhu.
Úřad pro ochranu osobních údajů požadoval, aby se návrh zákona o evidenci tržeb vrátil do fáze věcného záměru, a udal 11 podle mě jasně logických důvodů.
Za prvé, standardní legislativní postup. Věcný záměr totiž není jen tak nějaký samoúčel. Jeho smyslem je představit a vyhodnotit možné varianty řešení problému a nechat politickou reprezentaci rozhodnout o volbě optimálního modelu, neboť pouze ona za něj nese politickou odpovědnost. Ministerstvo financí však opakovaně věcný záměr přeskakuje. Věcný záměr nahradil RIA, její varianty jsou arbitrárně vyhodnoceny pomocí účelově nastaveného bodování. Tím je politické rozhodování o volbě optimálního modelu konvertováno na rádoby expertní, jako kdyby existovala optimální varianta zřejmá všem. Ve skutečnosti volba modelu odvisí od politické představy správné regulace, která je odlišná v konzervativní, liberální nebo socialistické ideologii. Zvolený přístup je verifikován ve volbách, což expertní rozhodování nikdy nemůže nahradit. To by byl totiž konec demokracie.
Druhý důvod. Důvodová zpráva jasně říkala: navrhovaná právní úprava nemá dopad na standard ochrany soukromí a osobních údajů. Prosím vás, a už jsem to tady jednou říkal, předkladatel tímto zamýšlí největší zpracování osobních údajů v historii České republiky - podnikatelů, fyzických osob. Vyhodnocení dopadu na soukromí odbude jednou nepravdivou větou? To je zcela nepřijatelné. Smyslem DPIA je popsat a vyhodnotit stávající a zamýšlená zpracování osobních údajů. K vyhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů slouží většinou tento postup: musí-li se nově zpracovat osobní údaje, je potřeba uvést jeho základní parametry - proč, specifický účel, kategorie zpracovávaných osobních údajů, veřejnost zpracování, jeho částí nebo výstupů ze zpracování zakládaného navrhovanou regulací a lhůty pro uchování osobních údajů. Stejný postup se použije, pokud je někdy měněno již existující zpracování osobních údajů. V takovém případe je třeba jednoznačně vyjádřit povahu změny, jestli rozšiřuji, zmenšuji, uvést klíčový měněný parametr, lhůtu uchování osobních údajů, rozšíření počtu nebo rozsahu jednotlivých údajů nebo údajových položek.
Co se týká rozsahu oprávnění subjektu údajů, uvede se slovní vyjádření obsahu dotčených oprávnění podle zákona o ochraně osobních údajů a popíše, pokud možno je i vyhodnotí za použití běžně používaných kvalifikačních kritérií. Zásah do každého z těchto oprávnění je potřeba učinit. Poté se vyhodnotí, zda navrhovaná regulace představuje zvláštní úpravu některé povinnosti nebo oprávnění subjektu údajů a kvalifikační hodnocení takové změny, pokud to lze. V popisu jiných dopadů na soukromí se uvede jednak obecně používané označení dotčeného aspektu soukromí, tak výstižné označení nebo popis zásahu. Pokud se předpokládá, nebo dokonce přímo zamýšlí návaznost na jiná již existující nebo souběžně zakládaná či zamýšlená zpracování osobních údajů, vyhodnotí se, zda jde o prostou výměnu, či zda bude nebo má být dosahováno synergického efektu.
Identifikují se a popíší všechny uzly, ve kterých existuje nebo vzniká potenciálně nebezpečí neoprávněného přístupu nebo zneužití osobních údajů. Popíše a stručně se vyhodnotí kvalita osobních údajů, jež mají být zpracovávány. Pro hodnocení se použijí parametry jako obecný požadavek na kvalitu zejména ve vztahu k možným právním důsledkům, spolehlivost zdroje, stálost vstupních hodnot, a tam, kde jsou na to dány podmínky, rovněž forma a periodicita aktualizace a parametry specifické pro upravované zpracování osobních údajů. Uvedou se základní protiopatření, která zajišťují ochranu osobních údajů, a to jak specifická, tak i obecná, vše podle zákona o ochraně osobních údajů.
Lze shrnout, že předmětem hodnocení jsou pouze přímé projevy. Popis se uvádí, i pokud navrhované řešení zachovává již právně existující zpracování osobních údajů a parametry práva na ochranu osobních údajů. Je-li shledáno, že existují změny ve zpracování osobních údajů, popíší se a zhodnotí záruky pro ochranu osobních údajů, přednostně a v úplnosti se popíší postupy a instituty. Není-li jich, pak se vyhodnotí, zda a v jaké míře se použijí záruky a opatření podle obecného zákona o ochraně osobních údajů a jiného zákona obsahujícího zvláštní úpravu, kterou je potřeba převzít.
Za třetí. RIA je přetížena detaily, ale nevysvětluje ani základní věci, a proto je nutno ji přepracovat. Předkladatel zvažoval několik variant působnosti zákona. Ačkoliv píšeme rok 2015, statistická data pro tento zákon jsou z roku 2012. Jak je to možné? Předkladatel zastaralost informací nikde nezdůvodňuje. Ačkoliv je podle ČSÚ v České republice cca 1,3 milionu podnikatelů, podle předkladatele se má zákon týkat jen 600 000 subjektů. Více než 50 procent podnikatelů tedy nemá žádné tržby? RIA postrádá vyhodnocení alternativ u základních otázek, jako je například povinnost převzít účtenku, což je § 17.
Za čtvrté. Legislativně technické podpora (v písemném podkladu je slovo podoba). Je nezbytné osnovu podstatně přepracovat i po legislativně technické stránce. Například § 1 až 3 - tyto paragrafy do osnovy vůbec nepatří, protože nestanovují žádná oprávnění ani povinnosti. Jsou to pouhé informace.
Za páté, Porušení principu dělby moci. Je zcela nemožné, aby k výjimkám ze zákona bylo zmocněno Ministerstvo financí. To je v rozporu s principy dělby moci a zásadou enumerativnosti veřejnoprávních pretenzí, jak je již stanovena v článku 2 odst. 3 Ústavy a v článku 2 odst. (2) Listiny práv a svobod: "Státní moc lze uplatňovat jen v případech a v mezích stanovených zákonem, a to způsobem, který zákon stanoví." Zde zákon žádné meze nestanovuje. To samé platí i pro další zasílané údaje o tržbě podle § 12 odst. 3.
Důvodová zpráva sice specifikuje, že se předběžně počítá se zasláním základních údajů o poplatníkovi, jako je jméno, příjmení, případně název, sídlo firmy, a o proběhlé transakci zejména čas, objem platby. Dále se předpokládá, že součástí údajů zasílaných správci daně bude údaj o době odezvy, tj. bude možné tento údaj aktualizovat v rámci každé evidované tržby. A to patří přímo do normativního textu.
Za šesté, autentizační údaje. Právní úprava je příliš strohá. Důvodová zpráva pouze definuje, že jsou přihlašovací údaje a certifikát. Navíc je otázkou, proč má poplatník o autentizační údaje žádat. Proč mu nejsou přiděleny automaticky? To vše by měl řešit věcný záměr. Naopak je problematické, že je osnova přetížená podrobností v tom, že se žádost posílá na adresu určenou pro evidenci tržeb. Za jak dlouho budou přiděleny údaje? A tak podobně.
Je nezbytné upozornit i na to, že předkladatel má zcela nesprávné pojetí identifikace a autentizace. Zatímco identifikace je ztotožnění, tj. určení, o který konkrétní subjekt se jedná, autentizace je ověření třídy oprávnění, tj. zda konkrétní subjekt smí něco dělat, aniž by nutně musel být identifikován.