Středa 18. dubna 2018, stenozáznam části projednávání bodu pořadu schůze
(pokračuje Radek Vondráček)
37.
Vládní návrh zákona o zpracování osobních údajů
/sněmovní tisk 138/ - prvé čtení podle § 90 odst. 2
Upozorňuji, že je navrženo, abychom s návrhem zákona vyslovili souhlas již v prvém čtení. Z pověření vlády předložený návrh uvede ministr vnitra Lubomír Metnar. Prosím máte slovo, pane ministře.
Ministr vnitra ČR Lubomír Metnar Dobrý den, děkuji. Vážený pane předsedo, vážené paní poslankyně, vážení páni poslanci, tento návrh je adaptací českého právního řádu na požadavky obecného nařízení o ochraně osobních údajů pod zkratkou GDPR a zároveň implementuje evropskou směrnici o ochraně osobních údajů v trestněprávní oblasti. Návrh byl zpracován Ministerstvem vnitra ve spolupráci s Úřadem pro ochranu osobních údajů. Tímto návrhem dokončujeme úkol převzatý po minulé vládě, protože do přípravy zákona vstoupily volby, takže došlo k určitému zpoždění a přerušení těchto prací. Přípravu předpisu pojala vláda zodpovědně a doplnila jej o úpravy zákonů v gesci dalších rezortů, aby byl právní řád na obecné nařízení o ochraně osobních údajů náležitě připraven. (V sále je opět hlučno.)
Zákon o zpracování osobních údajů ruší stávající zákon o ochraně osobních údajů -
Předseda PSP Radek Vondráček: Já se omlouvám, pane ministře. Já vás opětovně žádám o klid. Prosím, už si sedněte na svá místa. Jestli jste něco nestihli domluvit, prosím do předsálí.
Ministr vnitra ČR Lubomír Metnar Děkuji vám, pane předsedo.
A kromě adaptace obecného nařízení o ochraně osobních údajů GDPR transponuje i trestněprávní směrnici, která upravuje zpracování osobních údajů justičními a policejními orgány. Předkládaný zákon rovněž stanovuje výjimky, které GDPR umožňuje členským státům aplikovat, a to v maximální možné míře tak, aby naplňování GDPR co nejvíce usnadnilo. Návrh tohoto zákona též nově upravuje postavení Úřadu pro ochranu osobních údajů. Vychází se přitom z požadavku praxe i z nových požadavků evropského práva jednak na úplnou nezávislost dozorových úřadů, ale také na intenzivní spolupráci a spolurozhodování dozorových úřadů zejména v přeshraničních případech.
Závěrem bych vás chtěl jménem vlády požádat o schválení postupu podle § 90 odst. 2 zákona o jednacím řádu Poslanecké sněmovny, tedy o vyslovení souhlasu s návrhem zákona v prvním čtení, neboť obecné nařízení o ochraně osobních údajů vstoupí v účinnost již 25. května letošního roku. Současný vstup obou norem v platnost předejde rizikům sporu s Evropskou komisí ohledně řádné adaptace a implementace a také zvýší hlavně právní jistotu správců a zpracovatelů osobních údajů.
Děkuji vám za pozornost.
Předseda PSP Radek Vondráček: Já vám děkuji, pane ministře, že jste to zvládl a přehlušil sněmovnu. Já vás ještě jednou poprosím, je to téma GDPR, jsou toho plné noviny, určitě bude velká diskuze, tak už se tomu prosím vás začněte věnovat a sedněte si na svá místa, přestaňte hlučet. Nerad bych začal jmenovat některé kolegy. Děkuji.
Poprosím, aby se slova ujal zpravodaj, kterým je pro prvé čtení pan poslanec Marek Benda. Prosím.
Poslanec Marek Benda: Vážený pane předsedo, vážený pane ministře, vážení další ministři, dámy a pánové, v první chvíli vystoupím jako místopředseda poslaneckého klubu ODS v okamžiku, kdy tady nemám svého předsedu. Sděluji veto poslaneckých klubů ODS, TOP 09, KDU-ČSL, STAN, Pirátů, sociální demokracie a podle toho, jak odhaduji, tak i všech ostatních, ale s těmi jsem neměl čas promluvit, na devadesátku. Toto se nedá opravdu projednat v režimu § 90. Jenom abychom měli jasno, že budeme dneska v normálním režimu. A pak se ujmu slova jako zpravodaj.
Musím říct, že jsme v mimořádně komplikované situaci. Česká republika i tato Sněmovna. Obecné nařízení o zpracování osobních údajů - už samotná volba toho, že Evropská unie se rozhodla jít cestou nařízení, byla velmi nešťastným aktem, kterému jsme nedokázali zabránit. Bylo velmi nešťastným rozhodnutím, které se pak stává přímo závazným v jednotlivých zemích. Místo aby se šlo cestou směrnice, tak jsme se vydali cestou přímo závazného nařízení, ve kterém pak nejsme schopni v mnoha směrech dělat ty naše výklady, přizpůsobovat našemu právnímu řádu, a vyvolává to neuvěřitelnou paniku ve veřejnosti. Do toho navíc vláda - a já to vlastně teď nekladu za vinu ani této vládě, ani tomuto ministru vnitra, protože chápu, že to bylo dáno spoustou důvodů vněpolitických, ale místo toho, abychom tady ten zákon měli před dvěma lety, vedla se zásadní debata, co v něm můžeme opravit, nebo alespoň před rokem, co v něm můžeme upravit, jakým způsobem ho můžeme upravit, tak se tato debata vedla na víceméně jenom úřednické úrovni. Ještě se tedy devadesát procent z ní soustředilo na souboj uvnitř Úřadu pro ochranu osobních údajů o monokratičnosti nebo demokratičnosti takového úřadu.
A veřejnosti se říkalo "ono se nic neděje". A teď se tedy jako veřejnosti začíná říkat "no ono se děje". Směrnice, resp. nařízení vstupuje 25. května v platnost. Pro všechny je závazné. Je vlastně úplně jedno, jestli my tady něco uděláme, nebo neuděláme, protože prostě nařízení zavazuje. A milí občané, subjekty, podnikatelé, zařiďte se podle svého. Pokládám toto za mimořádně nešťastné, ale říkám, nejsem z toho objektivně schopen vinit stávajícího ministra vnitra, protože ten za to může jenom tak v rozsahu čtyř měsíců, nebo pěti měsíců, ve kterých je ve funkci. A to je první obecná poznámka. Proto si myslím, že máme ten návrh zákona projednat normálně v klidu. Nemáme spěchat s žádnou devadesátkou. Vlastně jediné, co jsme schopni udělat, jsou nějaké případné výjimky a výluky a nad těmi se máme vážně pobavit.
Já bych rád upoutal vaši pozornost v první řadě k onomu nařízení, které vlastně výjimky a výluky pro národní legislativy připouští asi v pěti svých článcích, které v tuto chvíli odcituji, kde máme nějaký prostor konat.
První prostor, který umožňuje evropské nařízení, je obsažen v čl. 23, ve kterém jsou omezení: "Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit" - a nyní je tam výčet a) až j) - národní bezpečnost, obrana, veřejná bezpečnost, prevence, které pokládám za zásadní. A proč chci upoutat pozornost této Sněmovny, jsou písm. i) a j) - ochrana subjektu údajů nebo práv a svobod druhých a vymáhání občanskoprávních nároků.
Bohužel, jak se ten návrh zákona psal v té čistě úřední formě, kde si to tak jenom pinkala ministerstva a nebyl nad tím žádný politický dohled, tak ministerstva si relativně vypinkala výjimky různé oblasti - národní bezpečnosti, obrany, veřejné bezpečnosti. Ale ty jediné věci, kde jsme mohli dát nějakou výluku pro občany a pro další subjekty, je právě ochrana subjektů údajů práv a svobod druhých a vymáhání občanskoprávních nároků, tam žádné výluky neexistují. Pokládám to za chybu, protože se to bude muset dovozovat nějakým výkladem nařízení, případně výklady, které k tomu přijme pak ono souznění Úřadu pro ochranu osobních údajů. To je první výjimka, kterou si myslím, že musíme v rámci diskuse ve výborech se bavit, jestli tam ještě neexistuje prostor pro nějakou výluku.
Další jsou čl. 85 a 89, případně následující, kde čl. 85 činí možnost výluky při zpracování osobních údajů v souvislosti se svobodou projevu a pohybu informací. Zase poměrně zásadní věc. Evropská unie si je vědoma, že tady jdou dvě základní lidská práva proti sobě a že je třeba je nějakým způsobem vyvážit. Nejsem si úplně jist, jestli ona část zákona, která se zabývá právě novinářskou licencí, je dostatečná. Jestli tam těch vah a protivah je dostatečně. Myslím, že je to věc, které se musíme věnovat mezi prvním a druhým čtením.
Další možné výluky jsou v čl. 89, 90 a 91, kde čl. 89 předpokládá záruky a odchylky týkající se zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Budeme muset poměrně pečlivě přezkoumat, jestli opravdu máme všechny tyto výluky dostatečně obsažené, zejména s ohledem na zpracování osobních údajů a otázky týkající se zkoumání např. komunistické minulosti, kde dokonce i připouští směrnice, nařízení si je vědomo toho, že jsou státy, které byly po dlouhá desetiletí totalitními státy, kdy se státní moc chovala vůči svým občanům způsobem, který je nemístný a neslušný vůči občanům, a že je třeba toto zmapovávat a že není možné přistoupit na tezi, že bývalí důstojníci Státní bezpečnosti přijdou do archivu a řeknou: Já mám právo být zapomenut, že jsem byl někdy důstojníkem Státní bezpečnosti, a mám právo být vyškrtnut. Jenom si nejsem úplně stoprocentně jist, jestli je to opravdu v návrhu zcela pohlídáno.
Další výluka jsou povinnosti mlčenlivosti, které se týkají zejména regulovaných profesí, ale k tomu se dostanu pak, až se budeme bavit o jednotlivých článcích. A čl. 91 - zavedená pravidla pro ochranu údajů uplatňovaná církvemi a náboženskými společnostmi. To se týká zejména různých matrik křtů, matrik sňatků a dalších otázek, kde mám také pocit, že tedy se nic nestalo. Možná že to dostačuje, ale důvodová zpráva se s tím úplně nevypořádává a myslím, že se musíme podívat na to, jestli se stalo, nebo nestalo.
Nyní bych přešel k návrhu zákona jako už takovému s některými poznámkami, které bych rád přičinil.
Za prvé, velmi vítám, že jsme se vydali cestou... otázce věku. Zejména souhlasu subjektu osobních údajů se zpracováním jeho osobních údajů, že jsme nešli cestou snížení věku pod věk obvyklý v našem občanském zákoníků 15 let na 13. Vím, že taková úvaha byla. Evropské nařízení předpokládá, že k tomu dojít může. ČR se naštěstí vydává správně cestou patnácti let a do té doby holt musí být rodiče, kteří pustí své děti na různé facebooky a další otázky.
V paragrafu 11 jsou právě ony částečné výluky, které se obávám, že nejsou dostatečné, k čl. 23, tak jak jsem jej citoval. To jest zejména ona ochrana občanskoprávních nároků, která je poměrně zásadní pro řadu subjektů pohybujících se na trhu, kde není možné vycházet jenom z toho, že byl dán souhlas, ale typicky u společností, od kterých si půjčuji, se kterými mám uzavřený nějaký vztah, tak odvolání souhlasu neznamená, že mě musí vymazat z té databáze, pokud s nimi mám ještě nějaký kontrakt. Není možné, aby přišel klient a řekl: Půjčil jsem si od vás sice dvacet milionů, ale teď už nechci, abyste zpracovávali moje osobní údaje. Sice vám ještě osmnáct dlužím, ale vy mě vyškrtněte a už se na mě nikdy neobracejte. No to jsou otázky, které jsou... Občanskoprávní nároky musí být v tomto směru hlídány a myslím, že tady se musíme ještě podívat na to, jestli je to opravdu dostatečně ošetřeno.
O novinářské licenci jsem již mluvil, předpokládám, že o ní budou mluvit i kolegové z jiných výborů, dostaneme se k ní. Týká se jí zejména díl druhý.
Potom bych se rád chvilku zastavil u § 26, kde chci poukázat na jednu podle mého názoru totální absurditu, do které se náš právní řád dostává. My máme na jednu stranu právo na informace a každý má pocit, že má právo být o všem informován a že má právo lézt do kdekteré databáze všeho možného. Současně se snažíme některé informace zcela logicky chránit, např. informace z trestních řízení a dalších otázek. Ale dojdeme do situace, že § 26 odst. 3 mi říká - a prosím, abychom byli pozorní: "Pokud by vyhověním žádosti nebo sdělením o nevyhovění žádosti včetně odůvodnění došlo k ohrožení podle odst. 2, spravující orgán informuje subjekt údajů stejně jako ty žadatele, jejichž osobní údaje nezpracovává." Co se tím říká? Spravující orgán žadateli lže. To mně připadá úplně absurdní. Já chápu ty důvody, které k tomu vedou. Jsem prověřován policií, podám si takzvaně podle infozákona žádost o to, jestli jsem prověřován, a policie mi samozřejmě nechce říct zcela logicky, že jsem prověřován, protože by to narušilo zásadním způsobem její fungování. Ale místo toho, abychom řešili otázku toho "tak prostě v takovém případě policie nebude informovat", tak řekneme "bude informovat způsobem, jako bych prověřován nebyl". Mně to fakt připadá jako absurdní v tomto pojetí, že říkáme, stát se chová v rozporu dvou práv, kde se je snaží naplňovat tak absurdním způsobem, tak se stát chová ke svým občanům tak, že jim sděluje nepravdivé informace nebo informace minimálně zavádějící.
Další problém, který je zakotven už v tomto návrhu zákona, ale myslím, že klíčově se k němu dostaneme v tom prováděcím předpisu, je otázka postavení státního zastupitelství. Včera jsme tady měli návrh zákona, který se pokoušel někam posunout státní zastupitelství. Evropské předpisy říkají: soudy a jiné justiční orgány mají výlučné postavení, kde se na ně nemusí vztahovat kontrola Úřadu pro ochranu osobních údajů. Doposavad v České republice se kontrola Úřadu pro ochranu osobních údajů vztahovala i na státní zastupitelství. Tak jak si vylobbovávají ty jednotlivé úřady pravomoci na Ministerstvu vnitra, tak tady dochází k takovému malinkému ústavnímu posunu, že se začneme tvářit, že státní zastupitelství není v § 80, není součástí výkonné moci, ale je nějakou kvazijustiční složkou, a najednou říkáme, že soudy a státní zastupitelství jsou vyňaty z působnosti. Já myslím, že to je chyba, že určitě nemáme tuto otázku řešit v zákoně o ochraně osobních údajů, že možná se může někdy dojít k tezi, že státní zastupitelství má být posunuto do jiné hlavy Ústavy, že má být jeho postavení nějaké úplně jiné, ale vůbec nechápu, proč je to otevřeno zrovna v ochraně osobních údajů, proč zrovna tady se snažíme dojít k nějakému posunu. Budu pak ve výborech navrhovat, abychom nechali soudy, tam rozumím, ale upřímně řečeno u toho státního zastupitelství je to poměrně velmi nebezpečné. Soudy ještě navíc vedou každý svoji databázi zvlášť, nic moc tam soustřeďováno není. Ale proč by státní zastupitelství mělo být vyňato - samozřejmě ne z toho, že někdo leze do trestních spisů, ale z toho, jakým způsobem mají ochranu, jakým způsobem jsou nastavené parametry ochrany osobních údajů, kdo má vstup, jestli je logován vstup a další věci, má být samozřejmě podle mého názoru pod dohledem Úřadu na ochranu osobních údajů.
Nebudu procházet už všechny dílčí problémky, to si nechám na jednání ve výborech, ale ještě bych přece jenom zmínil několik těch zásadnějších. První je postavení úřadu jako takového, kde zase jako bychom vycházeli z toho, že všechno je popsáno v evropském řízení, a dneska tady vlastně ani neříkáme, že úřad je kontrolním orgánem, neříkáme podle jakých pravidel, jestli to tedy bude podle kontrolního řádu, předpokládám, že ano, podle jakých pravidel postupuje. Navíc si myslím, že jediné, co bychom mohli pro občany této země udělat v tom řekněme umírněném náběhu GDPR - nemůžeme snížit pokuty, ty jsou opravdu stanovené centrálně, ale můžeme vytvořit proces, který povede minimálně zpočátku k tomu, že nejprve bude snaha věci spravovat a napravovat a teprve posléze a po čase a po tom, když daná osoba, která zpracovává osobní údaje, se chová nějakým způsobem dlouhodobě v rozporu s jejich ochranou, tak teprve nastupují sankce. To je jediný prostor, který podle mě nám nařízení dává. Ten tady není vůbec využit a myslím, že se máme zamyslet nad tím, jaké má být postavení úřadu, v jaké chvíli má přistupovat na pokutu a v jaké chvíli má přistupovat v první řadě k nápravě stavu.
Druhá věc, tu už jsem zmiňoval, a to je otázka monokratičnosti úřadu. Já s ní zásadně nesouhlasím, pokládám ji za zásadní, zásadní chybu a omyl. Za situace, kdy úřad je zcela vyňat vlastně ze státní moci, bude rozhodovat téměř úplně všechno v otázce ochrany osobních údajů, ještě se stává oním evropským spolurozhodovatelem, který bude stanovovat i další prováděcí předpisy a výklady, tak říct - a teď úplně odhlížím od osob, já mám dosavadní ředitelku rád a pokládám ji za vysoce kompetentní osobu, úplně odhlížím od osob - ale říct, že půjdeme cestou monokratického úřadu, kde jedna osoba vlastně v oblasti ochrany osobních údajů bude zaujímat úplně centrální místo v zemi, téměř nepřezkoumatelné kromě soudu, to mi prostě připadá jako fatální chyba a měli bychom podle mého názoru mnohem spíš uvažovat o tom, jestli se nemáme blížit modelu Nejvyššího kontrolního úřadu, jestli nemá dojít k nějakému zásadnímu posílení demokratického prvku na tom úřadu, aby tam aspoň uvnitř Úřadu pro ochranu osobních údajů docházelo k nějaké diskusi, docházelo k nějakým sporům, vyříkávání si, a ne že bude jeden člověk na celou Českou republiku, který bude mít výklad ve všech věcech dohromady.
Ještě dvě poznámky, poslední k této části, pak se budu zabývat tou další. Oprávnění úřadu na přístup k informacím, § 56, kde je činěna, a správně, v souladu s evropskou legislativou jistá výluka pro advokacii. Bohužel už se na tuto výluku nemyslí u ostatních chráněných profesí, které jsou vázány mlčenlivostí vůči svým klientům, ať už jsou to daňoví poradci, notáři a další. Myslím si, že i tady bychom ještě měli přemýšlet o tom, jestli ta výluka je dostatečná, pokud se vztahuje jenom na advokáty.
A pak § 57, mlčenlivost zaměstnanců úřadu. Kromě toho, že mě nesmírně pobavilo, že místopředseda a zaměstnanci úřadu jsou vázáni mlčenlivostí, ale z nějakého důvodu není vázán předseda. Tam vůbec nechápu a nenašel jsem ani v důvodové zprávě, proč není mlčenlivostí vázán předseda, nebo jestli to znamená, že předseda může komukoli cokoli sdělovat. Ale předpokládám, že to je jenom nějaká písařská chyba nebo že to vychází z nějakého nařízení, které jsem ještě nestačil důkladně dočíst. Ale, a to pokládám za mnohem zásadnější, v odstavci druhém je, že "povinnosti mlčenlivosti se nelze dovolávat vůči úřadu, orgánu činném v trestním řízení nebo soudu". To je v pořádku, ale "jde-li o osobní údaje, nelze se povinnosti mlčenlivosti dovolávat ani vůči subjektu údajů".
Já tedy opravdu nerozumím, co se tím chce říci. Ale jestli to znamená, že ten, kdo se obrátí na úřad, tak se vůči němu pak úřad pak nemůže dovolávat povinnosti mlčenlivosti, a já se obávám, že ten výklad by byl takový, pak je to samozřejmě fatální prolomení všech těch ostatních mlčenlivostí, protože pak se v tom trestním řízení úplně v klidu obrátím na Úřad pro ochranu osobních údajů, zeptám se, jestli je proti mně něco vedeno, on to zjistí a bude mi to muset na základě tohoto ustanovení sdělit. To bych pokládal jako za velikánský průlom.
Takže končím. Myslím, že návrh zákona musíme v nějaké podobě přijmout. Myslím, že nás s ním čeká ještě mimořádné množství práce. Proto jsem také vetoval ono projednávání podle § 90. Velmi nedoporučuji, abychom vůbec zkracovali lhůtu. Dokonce bych spíš přemýšlel o tom, jestli lhůta pro projednání nemá být prodloužena, a věřím, že kromě ústavněprávního výboru, věřím, budou navrženy i další výbory, aby se tím zabývaly, protože ta věc opravdu není vůbec snadná a jednoduchá a některé věci se tam podle mého názoru dají ještě opravit.
Děkuji za pozornost.
Místopředseda PSP Vojtěch Pikal: Já také děkuji zpravodaji. Než budeme pokračovat, tak tu mám nějaké omluvenky, s kterými bych vás chtěl seznámit. Takže omlouvá se nám pan poslanec Pour z dnešního jednání, a to od 14.30 hodin. Omlouvá se nám paní ministryně Schillerová z pracovních důvodů dnes - celý den podle všeho. Omlouvá se nám pan poslanec Milan Chovanec z dnešního jednacího dne z důvodu zahraniční cesty. Omlouvá se nám paní poslankyně Šafránková z celého jednání ze zdravotních důvodů a omlouvá se nám pan poslanec Václav Klaus od 10.45 hodin do 12.30 hodin z pracovních důvodů.
Než otevřu rozpravu, tak se s přednostním právem hlásil pan poslanec Michálek, nevím, jestli to bylo do rozpravy, nebo před rozpravou. Do rozpravy s přednostním právem. V tom případě tedy otevírám rozpravu a vyzývám pana poslance Michálka s přednostním právem.
Poslanec Jakub Michálek: Děkuji za slovo, pane předsedající. Vážené kolegyně, vážení kolegové, dovolte mi, abych aspoň krátce shrnul některé své postoje k tomuto zásadnímu dokumentu, který navazuje na obecné nařízení o ochraně osobních údajů.
Já myslím, že se tady všichni shodneme v tom, že ochrana osobních údajů je důležitá věc, a v tomto konkrétním případě je problém spíš v té implementaci, kterou připravila vláda. Problém je v tom, že je předkládána pozdě, jak už tady zaznělo, a v podstatě to, že byla předložena pozdě, nás i tlačí do toho, že výsledný zákon nabude účinnosti až několik měsíců poté, co nabude účinnosti samotné nařízení. Myslím, že to je dost problematické, že stavíme řadu lidí a podnikatelů do této situace. Já jsem navrhoval na grémiu, aby to bylo zařazeno už na minulou schůzi. Bohužel tento návrh nezískal podporu. Nicméně musíme se s tím nějak popasovat. A souhlasím s tím názorem, že je potřeba to projednat řádně, protože jde opravdu o velmi rozsáhlé dva předpisy, sněmovní tisk 138 a 139.
Myslím, že všichni jsme zaznamenali obavy mezi veřejností. Bojí se toho novináři, podnikatelé. Dokonce i když jsme byli navštívit nejvyšší soudy, tak i soudci nejvyšších soudů se bojí obecného nařízení. Takže obavy, které tam jsou, a nechci hodnotit, jestli jsou důvodné, nebo nejsou, tak určitě se s nimi musíme vypořádat.
Co vzbuzuje obavy, je i ten poměrně velký katalog různých doplňků, který se připojil k tomu návrhu, který má zjevně za cíl třeba vylepšit zákon o svobodném přístupu k informacím ve sněmovním tisku 139 a který začleňuje výjimky, které vzešly z různých resortů. To znamená, v rámci připomínkového řízení si tam v podstatě každý resort doplnil to, co ho zrovna trápilo, a vznikl tím spíš takový nástroj, kterým by se stošestka vykastrovala, což si myslím, že není úplně dobrá věc.
Myslím, že v některých ohledech ten návrh - a teď se tady budu odlišovat od pana kolegy Bendy - úplně neodpovídá realitě, pokud jde třeba o věkovou hranici, od které je požadován souhlas mladého člověka, který používá internet, s tím, aby se přihlásil do nějaké webové služby, a nemůže se tam přihlásit, aniž by mu dal souhlas jeho zákonný zástupce. Řeknu svůj osobní příklad. Já jsem tzv. na internetu od 9 let a můžu vás ujistit, že mě nikdy žádný takovýto formulář nezastavil mezi 9 a 15 lety, abych se přihlásil do nějaké webové služby - internetového fóra a nějaké podobné služby. Takže pokud stanovíme tu hranici extrémně vysoko na nějakých 15 letech, tak jediné co děláme, je, že vytváříme právní předpis, který bude velmi daleko od reality a nebude obecnou veřejností dodržován, protože bude už na první pohled považován za nesmyslný. Takže tady si myslím, že bychom se měli nad tím zamyslet, jestli tu hranici nesnížit řekněme k té nižší hranici, kterou uvádí obecné nařízení, kolem těch 13 let. Tam se to aspoň dá nějakým způsobem odůvodnit.
Další problém, na který jsme narazili v tom předkladu, který bychom byli rádi, aby se jím zabýval ústavněprávní výbor, je, že v předkládaném návrhu jsou velmi málo diferencovány sankce. A je to věc, kterou už jsem probíral s panem ministrem. Pokud tam dáme sankci 10 milionů, která bude platit na úplně všechny typy přestupků, tak si myslím, že tady zavádíme vlastně takový endemit, něco, co není v žádné jiné správněprávní úpravě. Když se podíváte do jiných zákonů, tak je tam velmi pečlivě upraveno, za jaké přestupky hrozí sankce, do jaké hranice, například z pohledu rozsahu, závažnosti apod. Já samozřejmě vím, že Úřad pro ochranu osobních údajů má metodiku, kterou se řídí, a že ty sankce se snaží ukládat tak, aby nedávaly desetimilionové pokuty za drobné prohřešky. Ale i tak si myslím, že úkolem nás zákonodárců je připravit tu úpravu tak, aby se například obce nemusely bát a nebyly v panice, že dostanou desetimilionovou pokutu za nějaký řekněme bagatelní delikt. Samozřejmě pro případy závažných úniků osobních údajů, ať už jsou to ty v mediálním prostoru zmiňované úniky, které souvisí s Facebookem, velkými sociálními sítěmi, úniky účtů, hesel, úniky v bankách, pokud vzniknou nedbalostí daného subjektu, tak samozřejmě ty vysoké hranice jsou zcela namístě a tady musíme osobní údaje veřejnosti přísně chránit.
Ještě bych se chtěl dotknout otázky kompetence Úřadu pro ochranu osobních údajů, protože předkládaný návrh v § 52 úřad vlastně nově zřizuje a definuje jeho působnost.
Otázka, které se chci věnovat, navazuje už na poměrně delikátní otázku kolize základních práv, o které tady mluvil zpravodaj Marek Benda. Máme tady například základní právo na soukromí, které je vlastně meritem tohoto návrhu, a pak jsou tady další základní práva, která jsou konkurenční vůči tomuto právu, a je třeba velmi bedlivě hledat vyváženost mezi těmito základními právy. Konkrétně třeba tady zazněly příklady práva na informace, které může být v kolizi se základním právem na ochranu osobních údajů, například pokud se poskytují osobní údaje některých osob v některých případech, pokud tak zákon o svobodném přístupu k informacím stanoví.
Já si myslím, že je velmi neblahé, že už přibližně deset let se tady potýkáme s tím, že úprava v oblasti práva na informace je naprosto roztříštěná, protože v podstatě každý úřad si to vykládá po svém, pak se to dostává ke správním soudům, jimiž jsou krajské soudy v prvním stupni, a máme tady prostě celou řadu různých právních názorů a trvá velmi pomalu, než se sjednotí třeba judikatura nebo názory na nějakou oblast, a přetahují se tam potom ochránci osobních údajů a ti, kteří zastávají, že by se měly údaje poskytovat. Měli jsme tady případ, kdy Nejvyšší správní soud rozhodl, nebo vydal nějaký názor na poskytování údajů o platech, následně na to reagoval Úřad pro ochranu osobních údajů, Ministerstvo vnitra, pak zase přišel s dalším názorem Ústavní soud. Já si myslím, že v případě té delikátní otázky, té kolize základních práv by bylo nejjednodušší, kdyby to řešil prostě jeden úřad, který by se tomu věnoval. Ten úřad už tady máme, je to Úřad pro ochranu osobních údajů, tak se pojďme zamyslet na tím, jestli by nebylo vhodnější svěřit mu i tu otázku řekněme metodického vedení, nějakého dohledu v oblasti poskytování informací, tak aby ty kolize byly vyřešeny ideálně už na tomto úřadě a ten úřad propagoval svůj právní názor se stejnou vahou i do celé státní správy.
Takže v tomto ohledu plánuji navrhnout pozměňovací návrh, který bude rozšiřovat § 52, který stanoví kompetenci Úřadu pro ochranu osobních údajů tak, aby tam byla řešena i otázka kolize práva na ochranu osobních údajů a práva na informace, tak abychom zajistili skutečnou vymahatelnost práva na informace, aby se ten úřad držel judikatury správních soudů a vůbec aby ten zákon naplnil svůj účel. Děkuji za pozornost.
Místopředseda PSP Vojtěch Pikal: Také děkuji. V tuto chvíli tady nemám další přednostní práva, takže budeme postupovat normálně podle přihlášek. To znamená, prosím paní poslankyni Věru Kovářovou a připraví se pan poslanec Jiří Valenta. Prosím, paní poslankyně.
Poslankyně Věra Kovářová: Děkuji za slovo. Vážené kolegyně, vážení kolegové, myslím, že po panu zpravodaji Bendovi je těžké vystoupit, protože on řadu problémů, o kterých jsem chtěla hovořit, již zmínil. Proto uvedu pouze dva body, ke kterým se chci vyjádřit k onomu sněmovnímu tisku.
Vláda věděla dva roky, že obecné nařízení začne platit 25. 5. Bohužel návrh zákona o zpracování osobních údajů předkládá do Sněmovny teprve nyní. Z úst pana zpravodaje zaznělo, že určitý díl viny padá na předchozího ministra vnitra. Vzhledem k tomu, jak ona záležitost spěchá, mě překvapilo, že nebyl tento bod zařazen již minulý týden. Jak říkal pan předseda Michálek, že navrhoval jeho zařazení, proto jsme navrhli na grémiu zařazení napevno na dnešek my jako klub Starostů a nezávislých. Jsem ráda, že se k onomu bodu dnes můžeme vyjádřit.
Co způsobilo ono zpoždění zákona o zpracování osobních údajů? Především to vyvolalo paniku mezi obcemi. A především to byla obava z obrovských pokut, které by se valily na obce. Proto je třeba se ptát, čím se liší rakouské úřady od těch českých, že v jejich případě bylo možné využít zmírnění v případě pokut udělovaných obcí, které nařízení GDPR nabízí? To je otázka, na kterou bych ráda znala odpověď. Něco podobného se mohlo podařit i u nás. Sdružení místních samospráv vyjednalo s panem ministrem Metnarem, že pokuty u obcí budou zmírněny. Pokud vím, tak tento návrh směřoval také na vládu, ale bohužel vláda tento návrh nepřijala z důvodů, které mi nejsou úplně zřejmé, a budu ráda, pokud by se pan ministr k tomu vyjádřil.
Ať už budou důvody jakékoliv, osobně jsem přesvědčena o tom, že obce, které osobní údaje většinou zpracovávají za účelem správy věcí veřejných a ne kvůli zisku jako soukromé společnosti, by už z tohoto důvodu měly být vyňaty z obecného režimu. O samosprávách, pro které je typická účast laiků, to platí rozhodně. O tom, jestli pokuty u nich mají být nulové, nebo jen zmírněné, je určitě možné diskutovat. Stejný režim pro nestejné subjekty je podle mě ale jednoznačně špatně. A mysleli si to nejspíš i v Bruselu, když tuto výjimku v nařízení GDPR umožnili. Znamená to tedy, že každý stát si výši pokut pro samosprávy může upravit. Využili toho Rakušané a podle mých informací se o tom podobné úvahy vedou i v Irsku nebo Švédsku. Ptám se tedy, proč v ČR musíme být tak přísní, když to evropská legislativa po nás ani nechce? Je to sice řečnická otázka, ale ráda bych na ni slyšela odpověď. A připojím se s prosbou na pana ministra i na vás, kolegyně a kolegové. Zvažte prosím, zda bychom v případě samospráv neumožnili též výjimku týkající se udělování pokut.
Z tohoto důvodu jsem připravila pozměňovací návrh, který jsem pro vaši informaci vložila již do systému. Jsou tam uvedeny dvě varianty. Jedna varianta se zaobírá tím rakouským modelem, který říká, že samosprávám se pokuty neudělují. Druhá varianta ukládá pokutu, ale mnohem nižší. Budu ráda, když v tomto případě se podíváte na onen pozměňovací návrh, který samozřejmě budeme projednávat v další fázi jednání o tomto tisku.
Děkuji za pozornost.
Místopředseda PSP Vojtěch Pikal: Také děkuji. Než dostane slovo pan poslanec Valenta, tak tady mám omluvenku. Omlouvá se nám pan poslanec Feri mezi 10.30 a 13.00 hodin z pracovních důvodů.
A nyní tedy prosím o slovo pana poslance Jiřího Valentu, jestli tu je... (Rozhlíží se.) Asi tu není...? Jiří Valenta.
Poslanec Jiří Valenta: Omlouvám se, neslyšel jsem. Takže děkuji za slovo, pane předsedající. Mnohé už tady padlo. Budu se snažit toto neopakovat, ale přesto v souvislosti s přijímáním tohoto zákona si musíme odpovědět na několik zásadních otázek.
Za prvé. Přinese GDPR s sebou pro ČR nějaké významnější problémy? Odpověď zní: Zcela jistě přinese. Ano, problémy ponese, a již i dokonce nese, a to značné. A jedním z těchto problémů bude určitě ten, který aktuálně nepřehledný až chaotický stav, dá se říct, v tomto ohledu způsobil, a tím je doposud chybějící národní prováděcí předpis, který se teď snažíme horko těžko horkou jehlou dovytvořit. Ovšem vzhledem k tomu, že unijní směrnice GDPR, a už to tady také padlo, bude platit již od konce května letošního roku, konkrétně tedy od 25. května, lze jen smutně konstatovat, že takovýto zcela nezbytný prováděcí předpis tady měl být zhruba tak již před rokem. Díky nepochopitelně laxnímu přístupu předešlé vládní koalice ČSSD, ANO, KDU-ČSL, a to nejenom v této oblasti, se teď firmy, ale i jednotlivci, na které budou nové povinnosti tvrdě dopadat, nejspíše zblázní.
Směrnice GDPR je někdy označována i jako takzvaná skrytá směrnice. Což znamená, že poskytuje členským státům určitý prostor ke stanovení vlastních pravidel formou zákonů nebo také podzákonných předpisů. A čas na takové národní úpravy a přizpůsobení se asi padesáti bodům - pan kolega Benda tady mluvil o několika těchto bodech, těch bodů je zhruba padesát, které směrnice GDPR bohorovně svěřuje do pravomoci členským státům, v tomto případě například revizi informačních systémů či postup v nakládání s osobními údaji - byl již od dubna roku 2016. Slyšíte dobře. Je to další smutný výsledek práce prý tolik úspěšné Sobotkovy vlády. A znovu podotýkám, že vlády koaliční, tedy že silné slovo tam mělo i hnutí ANO, ovšem priority byly nejspíše jiné.
Jistá výhoda, a to výhoda v uvozovkách, nebo lépe řečeno snad poslední šance, jak se vyrovnat s negativními dopady zatím chybějící legislativy, jejíž tvorbu nelze na druhé straně teď kvapem uspěchávat, je obsažena v samotném nařízení, které používá podmiňující způsob "mělo by se". Podle některých odborníků jde o to, že preambule, a to je rozdíl oproti našim zákonům, obsahuje takzvané recitály, které jsou oporou při výkladu, na což se v našich zemích používá především důvodová zpráva. A protože kondicionál skrývá možné úrovně výkladů, nastupují spekulace, co je skutečně povinností a co je jen doporučením, jehož nedodržení nemusí být sankcionováno, a tudíž lze i odůvodněně předpokládat i jistou benevolenci našich úřadů, alespoň tedy v tomto ohledu doufám.
Otázka druhá, kterou si v této souvislosti kladu. Proč nevarovala či neupozornila na tento český hendikep spočívající ve zpoždění národní legislativy eurokomisařka Jourová? Paní Věra Jourová, která byla dříve, jak jistě víte, ministerskou nominantkou hnutí ANO, již asi zcela podlehla centristickému tlaku bruselských byrokratických struktur, a to zejména těch nevolených. Nejen že tuto až paranoidně všeobjímající směrnici, byť sice s bohulibým základem ochrany digitálních práv, zcela podporuje, ale dokonce ještě veřejně odsuzuje podle ní - a teď cituji - abnormální a hysterické reakce od lidí a firem z České republiky, které vedou k dalšímu zhoršování obrazu Evropské unie v očích české veřejnosti... No tak to je skutečně pročeský postoj! Ještě koncem února také např. vyhlašovala, že GDPR dopadne zejména na firmy s počtem zaměstnanců nad 250, což se dnes ukazuje jako zjevná nepravda, neboť směrnice dopadne skoro na každého, kdo nějakým způsobem manipuluje s osobními údaji, a je lhostejno, zda se jedná o údaje zaměstnanců, zákazníků, pacientů, žáků či např. klientů.
Bylo zkoncipování a uvedení GDPR v život skutečně nutné? Toto je poměrně složitá otázka, přičemž já se osobně domnívám, že v jistém smyslu ano, a to např. v souvislosti s nutným omezením zásahů některých internetových či dalších komunikačních technologií podnikajících subjektů do osobních práv každého z nás, ať se již např. jedná o nelegální kontrolu e-mailové korespondence, podprahově servírovanou a individuálně směrovanou reklamu nebo monitoring míst, kde se nacházíme atd. atd. Zejména na internetu byla často osobní a citlivá data občanů beztrestně zneužívána ve prospěch některých subjektů, ať již ekonomických, tak i politických. Ovšem co se týče samotného rozsahu a záběru GDPR, připadá mně silně předimenzovaný a ve svých důsledcích bude pro kvalitu života člověka v naší zemi až kontraproduktivní. Je přece nesmyslné, aby např. na školních webových stránkách, příp. školní nástěnce bylo nutno mít ke zveřejnění fotky skupiny žáků povolení od rodičů každého z těchto žáků. A takovýchto obludností bychom mohli najít v této směrnici ještě mnohem více.
Poslední povzdech - a poměrně zásadní. A už to tady také trošku padlo, naznačil to kolega Benda. Hlavním regulátorem byl u nás doposud v oblasti ochrany údajů Úřad pro ochranu osobních údajů a ten by se měl takto angažovat v budoucnu i nadále. Na jedné straně se mu sice dostane navýšení pravomocí, na druhé straně bude již částečně podřízen Evropskému sboru pro ochranu osobních údajů, EDPB. To bude v praxi znamenat, že v případě nesouhlasu s rozhodnutím našeho úřadu bude mít konečné slovo právě tento zastřešující orgán. Takže i zde je vidět, jak plíživým, ale o to více soustavným a nekompromisním je proces zbavování suverenity národních států ve prospěch často dysfunkčního evropského molochu pod diktátem ekonomicky nejsilnějších zemí. A na tomto základě by spolupráce v Evropské unii, nebo potažmo v celé Evropě, alespoň podle mého názoru rozhodně fungovat neměla.
Děkuji vám za pozornost. (Potlesk z řad poslanců KSČM.)
Místopředseda PSP Vojtěch Pikal: Já také děkuji a nyní prosím pana poslance Výborného. Máte slovo.
Poslanec Marek Výborný: Vážený pane místopředsedo, vážení členové vlády, milé kolegyně, vážení kolegové, já bych začal spíše obecnou poznámkou k těm obavám, které tady plynou. Ano, skutečně příští týden to budou, pokud se nepletu, dva roky, kdy začalo platit evropské nařízení. Od té doby Ministerstvo vnitra, potažmo vláda nebyly schopny předložit patřičný zákon a dostáváme ho v situaci, kdy naopak za měsíc, nebo měsíc a kus, 25. května, máme povinnost se evropským nařízením řídit. Na druhou stranu pokud se podíváme do jiných států Evropské unie, tak podle těch informací, které mám, třetina zemí je na tom s implementací evropského nařízení ještě podstatně hůře než Česká republika, zhruba třetina zemí je na tom tak jako my, tzn. probíhá tam implementace a přijímání národních legislativ, a pouze zhruba třetina zemí je připravena tak, aby 25. května mohly začít plně fungovat v relaci evropského nařízení. To jenom situace, jaká panuje, že určitě nejsme v tomto smyslu někde na chvostu mezi zeměmi Evropské unie. Jeden kolega navštívil nedávno Francii a ptal se několika starostů ve Francii, jestli vědí něco o GDPR, a koukali na něj naprosto netušíce, o co se jedná.
Na druhou stranu já tím nechci zlehčovat to, že když něco máme plnit, tak že bychom k tomu měli přistupovat lehkovážně. Na druhou stranu za klub KDU-ČSL se připojujeme k tomu, co už tady zaznělo - ten právní předpis je tak zásadní a tak složitý a komplikovaný, že by určitě neměl být projednáván v režimu § 90. Možná je skutečně na zvážení to, zda i ty lhůty neprodloužit, abychom přijali skutečně normu, která bude v souladu i se všemi dalšími Ústavou chráněnými právy a zájmy občanů. Tolik tedy obecná poznámka.
Pokud jde o konkrétní obsah tohoto návrhu, tak zásadní věci tady detailně už říkal pan zpravodaj. Nechci tady prodlužovat čas a věci opakovat. Okomentoval bych jedinou věc a vlastně i ta zazněla tady už od kolegyně Kovářové. Pokud dnes hovoříte se starosty, tak rezonují dvě věci, dva problémy, které je trápí. Je to právě nařízení GDPR a pak případně ještě tady také už probíraný střet zájmů. Sankce, které v tuto chvíli jsou uváděny, těch 10 milionů, v situaci, kdy skutečně - a tady si dovolím odcitovat čl. 83 odst. 7 evropského nařízení - každý členský stát může stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. Je tedy skutečně na zvážení, zda bychom neměli v tomto smyslu diskutovat o buď snížení, či úplném zrušení těchto sankcí pro tyto veřejné subjekty. Jednak nejenom že nám to umožňuje evropské nařízení, ale tento model funguje i v řadě dalších států včetně Rakouska.
A má to ještě jeden důvod, který tady nezazněl a který bych rád zdůraznil. Vznikl tady institut tzv. pověřence. Když pominu to, že to je velmi dobrý byznys pro ty, kteří se tomu věnují, tak právě ten institut pověřence by měl být garantem toho, že evropské nařízení budou veřejné subjekty plnit v souladu se zákony. Ten institut pověřence tam byl evropským zákonodárcem dán právě proto, aby zde mohl vzniknout institut toho snížení či úplného zrušení sankcí směrem k veřejným subjektům. Bylo by tedy vhodné tuto věc skutečně otevřít a diskutovat.
My jako klub KDU-ČSL jsme v tomto smyslu předložili i novelu zákona 101, kterou dneska projednala s negativním stanoviskem vláda. Jenom tedy není pravdou to, co říkal pan ministr Pelikán na tiskové konferenci, že bychom šli proti nařízení. To nařízení, jak jsem tady citoval, to samozřejmě umožňuje. A ten důvod, proč tak činíme, jsem tady již říkal. Samozřejmě v okamžiku, kdy stojednička bude mrtvá, protože bude nahrazena touto novou legislativou, tak se otevírá cesta v rámci pozměňovacích návrhů řešit tuto věc v nové právní úpravě, kterou tady nyní projednáváme.
Další věci, které se týkají konfliktu práv na ochranu soukromí, naopak práv na informace, ty tady byly zmiňovány a my se velmi přikláníme k tomu, aby proběhla opravdu fundovaná debata před druhým čtením v rámci výborů, kde by tyto věci měly být velmi detailně, i možná za účasti odborné veřejnosti, prodiskutovány.
Děkuji za pozornost.
Místopředseda PSP Vojtěch Pikal: Já také děkuji. Než vyzvu dalšího řečníka, tak tady mám omluvenku. Pan poslanec Radim Fiala se nám z pracovních důvodů omlouvá do 14 hodin. A nyní prosím pana poslance Luzara.
Poslanec Leo Luzar: Vážený pane předsedající, dámy a pánové, já si dovolím být možná trošičku delší, protože tady budu v dvojí roli i jako zpravodaj petičního výboru, který tento zákon dostal přidělený. Musím říct, že v prvním případě se určitě připojíme k vetu na devadesátku, protože si myslíme, že tento zákon je bohužel v tom stavu, že nejsme schopni ho dneska přijmout.
Nyní podrobně k věcem, které v tom zákoně jsou, a budu rád, když v průběhu projednávání budou ti, kteří tento zákon tvořili, připraveni na podněty odpovídat, popřípadě si udělají poznámky k připomínkám a budou ochotni nám tyto připomínky v průběhu projednávání na výboru vysvětlit.
V prvé řadě chci říci, že je zajímavé, a doporučuji všem, abyste se seznámili s analýzou, která je součástí tohoto zákona, ten zákon sám o sobě není příliš obsáhlý, ale ta analýza ano, a když si přečtete tu analýzu, tak zjistíte, že vypořádávání připomínek, které k tomu jsou, je dle mého názoru vedeno jedním motivem, to znamená uspokojit skoro všechny a dostat to do stavu přijatelnosti. Tím se dle mého názoru předkladatel do pasti vlastních ústupků a zavedl do toho návrhu věci, které se navzájem vylučují, popřípadě nejsou vůbec objasněny. (V sále je obrovský trvalý hluk.)
Jak už tady zaznělo, začíná to už tím § 6 v návrhu, to jsou ty výjimky z povinnosti posuzování slučitelnosti údajů, kdy tady mám právě poznámku... Třeba to vymáhání soukromoprávních nároků a podobně, které je tady napsáno, by vyžadovalo vysvětlení, čeho všeho se to vlastně bude v tom důsledku týkat, protože pojem "soukromoprávní nároky" vlastně je všeobjímající a činí dle mého názoru problém.
V § 11 jsou omezení některých práv a povinností. Tady chci upozornit vás všechny na jeden problém, který považuji za velice důležitý a který se prolíná celým tím zákonem. Chybí mi tu absolutně pojmenování jednoho fenoménu sběru dat, a to je politické strany a hnutí. Osobně si myslím, a v tom duchu bych na vás apeloval a případně v rámci pozměňovacích návrhů, abychom do tohoto zákona dopracovali, je přístup politických stran a hnutí k ochraně osobních údajů. Když si uvědomíte, a všichni jsme členové politické strany nebo hnutí, co to znamená v praxi, kolik evidencí vedeme, a teď nehovořím o centrální evidenci členů, hovořím o evidenci základních organizací, hovořím o evidenci v různých stupních politických stran a hnutí, tak zjistíme, že to jsou nepřeberná množství dat, a když se podíváte na právo zapomenout, které tady je obsaženo, tak nejsem vůbec přesvědčen, jak jsme toto schopni v rámci politické strany zrealizovat. Když přijde člen, rok bude členem vaší strany a potom řekne "já vystupuji", což se běžně stává, a dodá k tomu "a mám právo být zapomenut". Tady sice v tom zákoně se hovoří o tom, že to můžete provést označením. Teď je otázka, jak označíte třeba volební plakáty, které někde budou. Může být postižen, když se někde objeví plakát, na kterém ten člověk ještě je, protože byl členem, ale má právo zapomenut, a vy můžete dostat obrovskou sankci? Kdo to bude kontrolovat? Nebo jak to bude realizováno v praxi? Proto bych se velice přimlouval za to, aby předkladatel z vlastní iniciativy zapracoval do výjimek právě politické strany a hnutí zvlášť, když mu je to v tom nařízení umožněno, protože tam se může zohlednit ten veřejný zájem. A já si myslím, že slučování v politických stranách a hnutích je právě oním veřejným zájmem, který by měl být chráněn, jinými slovy, politické strany a hnutí by měly být ve výjimkách právě tady z tohoto zákona uvedeny implicitně. (Přetrvávající hluk v sále.)
Další věc, která se týká a která bude vyvolávat asi debatu, je díl dva - zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Tady chci upozornit na to, že si předkladatel ulehčil práci. On věděl, že bude muset zohledňovat, a už to tady také zaznělo, dvě ústavní práva proti sobě, tak to vyřešil tím, že řekl: milý svaze autorský, milí zástupci těchto organizací, je tady směrnice, napište si výjimku. On to v textu přiznává, že díl dvě je vlastně výtvorem právě těch, kterých se měl dotýkat. A výsledkem tady tohoto je, že mají absolutní osvobození od nějaké povinnosti vůči úřadu, který vznikne na kontrolu dodržování ochrany osobních údajů. Nemám až tak nic proti tomu - ochrana dat, zdrojů atd. Ale když se podíváte na ten rozsah oprávnění shromažďovat data, tak jsou to absolutně všechna data, která jsou obzvlášť chráněna zákony od genetické informace, od pohlaví, nevím, od všeho možného, mají výjimku. Dokonce nemusí ani sdělovat úřadu, že něco takového vůbec sbírají a dělají.
Říká se, že to je právě to právo na ochranu údajů, hlavně novináři tady tuto možnost mají. Až tak dalece bych s tím nepolemizoval, pokud bych měl jistotu, a ten zákon na to vůbec nepamatuje, jak je to s tou ochranou vůči zaměstnavateli novináře. S tím on vůbec nepočítá. On říká ano, novinář má právo ke zveřejňování svých článků a sběru informací, tato data sbírat. Nemusí uvádět autora, může chránit zdroje, toto všechno tento zákon opatřuje. Ale on je zaměstnanec. Ten novinář ta data eviduje na nějakém technickém záznamu, to znamená obvykle na notebooku. Ale ten notebook už je vlastnictvím třeba té redakce. Když novinář z redakce odejde, a fluktuace u novinářů je také velká, kde ta data skončí? Zůstanou k dispozici na serverech těch novin? A jak s nimi bude dále nakládat? Tato oblast tady vůbec není vyřešena. A dle mého názoru ta data, která si ten novinář samozřejmě odnese, protože jsou jeho, on si je posbíral, pořídil, zůstávají duplicitně umístěna někde, ale též podléhají té ochraně. Ale tam už by neměla podléhat té ochraně, protože už nesouvisí s přímým výkonem chráněným Ústavou, že novinář má právo si ta data pohlídat. Jinými slovy se dostáváme do toho, že tady budou instituce, mediální domy, když to nazvu v širokém slova smyslu, které budou mít obrovské databáze, historicky posbírané, které jednotliví novináři, kteří pro ně kdy pracovali, posbírají, ale absolutně bez kontroly a budou moci je dále využívat.
Čili tady bych doporučoval, aby se tento zákon v tomto duchu změnil a svoboda zůstala na ty jednotlivce. Ano, jsi novinář, máš tu svobodu, ale už ne tvůj zaměstnavatel, který ta data sbírá, ten by tu povinnost měl mít, když už ten novinář třeba pro něho nepracuje, popřípadě by měl zabezpečit a úřad by měl zkontrolovat, že data, která konkrétní novinář sbíral ke své práci, vymazal. Toto je vůbec neřešená oblast v tomto zákoně a považuji to za docela závažnou věc v rámci výjimek.
O výmazu už jsem hovořil. A v § 27 bodu 3 se hovoří: "Namísto opravy nebo výmazu osobních údajů může spravující orgán omezit zpracování osobních údajů jejich zvláštním označením." To je ta možnost, kterou jsem hovořil k politickým stranám, že byste měli mít možnost označit v nějaké databázi. Ale vy to nejste schopni zabezpečit. Politická strana tím, jak je rozšířená, jak je roztahaná, nejste schopni vy zabezpečit, aby ta data byla aktualizována tak, že v nějakém městě představitel politické strany nebo kdokoli, kdo sbírá tato data, je schopen toto označení provést. Proto bych doporučoval, aby se doplnilo do tohoto bodu "je-li to možno technicky provést", to znamená, aby tam byla výjimka, že ten, který ta data má a má povinnost označit nebo vymazat údaje, to měl povinnost udělat, pokud je technicky schopen toto provést. Když se mu prokáže, že to byl technicky schopen provést, tak samozřejmě spadá pod sankce úřadu, ale on nemusí být v dosažitelných možnostech techniky a vývoje společnosti prostě vůbec schopen toto provést, aby se někde neobjevila nějaká databáze, ve které by ti lidé byli, a na základě toho mohli být sankcionováni. A teď vůbec předesílám to, že takové databáze by mohly být vytvářeny úmyslně, aby později mohly být zneužívány vůči tomu, kdo je vytvářel.
Vůbec se zde nehovoří o problémech, které toto vyvolá mezi spolky, spolkovou činností. A vůbec se zde nehovoří o těch, které to vyvolá ve společenství vlastníků. Je to specifický subjekt, je to specifický subjekt práva, společenství vlastníků bytových jednotek, kteří mají s tímto docela velké problémy. Protože oni jsou sběrateli dat o svých členech, nájemnících, a spadá na ně tento zákon v plné tvrdosti. Ale ty údaje, které sbírají, nejsou schopni ošetřovat, protože v tom společenství jsou si všichni rovni, nejsou vázáni nějakými vnitřními předpisy, které by opravňovaly k úpravám těchto databází a jejich spravování.
V § 34 se hovoří o automatizovaném pořizování záznamů. Tady bych doporučoval, a vůbec se to tady neuvádí, hovoří se o technice, ale vůbec se nehovoří o softwaru, kterým jsou tato data zpracovávána. Tady chci upozornit, že je to jeden z největších problémů skladování dat, že data vytvořená v nějakém softwarovém programovém systému nemusí být za deset let čitelná. Protože ten software přestane existovat, nebude se vyvíjet a vy nejste ten soubor schopni otevřít. A on existuje, fyzicky ta data jsou a jste schopni se k němu nějak dostat, ta data vytěžovat, ale nejste schopni je zpracovávat, protože ten software neexistuje. Čili tady by měla být povinnost zakotvena pro ty, kteří mají tuto povinnost z tohoto zákona, aby i ten software, který k tomu byl potřebný, zachovával, pokud má být vůbec užito to, že ta data mají být k dispozici tak, jak se tady v tomto zákoně hovoří.
Další záležitost v § 39, ohlašování porušení zabezpečení osobních údajů úřadu. Jestli jste si všimli a pokud sledujete pravidelně denní tisk s technickou tematikou, je to jeden z největších problémů současnosti, úniky dat. Tady se hovoří o lhůtě 72 hodin, dokdy je povinen ten, který tato data zpracovává, oznámit narušení té bezpečnosti. Tady bych dával na zvážení tuto lhůtu zkrátit, protože 72 hodin od toho, když zjistíte, že došlo k masivnímu nebo jakémukoliv úniku dat, a nahlásit úřadu, že k takovému úniku došlo, považuji za docela výrazně dlouhou dobu, kdy je možno již zamezovat úniku těchto dat, popř. činit opatření. Když se to ten úřad dozví až po 72 hodinách, nebude vlastně už mít co dělat než vystavit pokutu.
Otázka § 54, to je mezinárodní spolupráce. Jeden z účelů tohoto zákona je, že v Evropské unii vznikne prostor volného pohybu dat. Jinými slovy, on i ten zákon je koncipován k tomu, že by měl mít jednotná data, a neměl by být problém v rámci Evropské unie tato data migrovat. Ono to míří k nadnárodním společnostem fungujícím v evropském prostoru, evropském trhu, které tato data sbírají. A je nám asi jasné, že když se někde zaregistrujete na nějakém českém obchodním webu a on se náhodou rozšíří a bude fungovat i v evropském prostoru, nemusí se ta data měnit, ona budou neustále a budou volně k dispozici v Evropě.
Ono to má ale i druhou rovinu. Tato data mají být dle tohoto zákona přístupná všude v Evropě. Jinými slovy, nejenom bezpečnostním složkám atd., byť to už může být vnímáno jako zásah, jinými slovy, že ztrácíme jako Česká republika mít možnost osobní ochrany dat našich uživatelů. A byli jsme toho svědky v době aktivit teroristických útoků, kdy různé státy požadovaly v rámci boje proti terorismu přístup k datům, a teď se bavím třeba o letecké dopravě, kdo vstupuje na palubu atd., kdy evropský soud plošné sdělování takových informací odmítl třeba mezi Spojenými státy a Evropskou unií, žádal konkrétní přístupy. Tento zákon umožňuje už bez jakékoliv další kontroly volný přístup na požádání a ten úřad je povinen dle tohoto zákona tato data sdělit.
Pokud bychom nechtěli do toho zákona až tak vstupovat, tak minimální, co bychom do něho měli dát, je, že při té mezinárodní spolupráci je nutno vést evidenci. Ta tady vůbec není. Evidenci toho, že někdo požádá o ta data a my jsme je předali. Tato evidence tady vůbec není implicitně zakotvena a považuji za docela důležité, abychom v rámci kontroly věděli, jak dalece naše data cestují po světě. Nejenom v rámci Evropské unie, ale i obecně po světě. Klidně by to mohlo být součástí § 55, výroční zprávy úřadu, kde by se měla povinně objevovat informace o tom, komu všemu tento úřad, který je k tomu pověřen, tyto údaje předal, sdělil. Může to být soupisná tabulka, může to být cokoliv, nečekám, že to bude fascikl zvíci knihy, ale minimálně povinnost evidovat, komu ten úřad tato data sděloval, by se tam měla objevit.
Na zvážení, a teď mířím k ústavněprávnímu výboru, také je, aby zvážil, jestli by takovéto poskytování osobních údajů tímto úřadem na základě tohoto zákona mělo být úplně v benevolenci úřadu, jestli by nemělo být třeba podmíněno soudním příkazem. Jestli by se tam nemělo dostat že ano, my jsme a poskytneme údaje mezinárodní pomoci, tyto údaje, ale jestli by to nemělo být podmíněno soudním příkazem. Protože ten, kdo požaduje, musí nějaké soudní instituci předložit, proč požaduje tato data, abychom mezinárodně sdíleli data našich občanů, a na základě toho by je ten úřad měl vystavit. Ale říkám, tady bych tuto pasáž nebo úvahu nechal spíše na ústavněprávní výbor, který by se k tomu mohl vyjádřit.
Co mně vadí nebo co bych požadoval jako vysvětlení, je, jak jsou ošetřena duplicitní data v rámci Evropské unie. Je zcela logické, že když vedete nějaké databáze a mají mít rozsah po celé Evropské unii, tak budou vznikat duplicitní databáze téhož. Maximálně třeba časově posunuté nebo časově neupravené. Ale tento zákon vůbec neošetřuje takovéto duplicitní databáze, které někde budou v nějakém čase. Jestli se to na ně vztahuje, nebo jak dalece se vztahuje, anebo řeší duplicitní databáze. V tom zákoně a hlavně v důvodové části se odvolává na to, že rozlišuje skupiny, které jsou nebo nejsou v určité povinnosti vůči tomuto zákonu podle rozsahu dat. Jaké kritérium bylo zvoleno jako rozsah dat? Jak velký rozsah dat je už ten, který opravňuje k tomu podléhat pod ten zákon nebo ne? Čili měla by být zpracována aspoň nějaká, nechci říct metodika, ale aspoň výčet toho, co považujeme za výrazný nebo velký rozsah dat, který určitě ano, a o tom zbytku můžeme polemizovat, jak dalece je ta ochrana dle tohoto zákona velká.
Hovoří se tady v důvodové zprávě, že tento zákon postrádá korupčních rizik. Jinými slovy, v zhodnocení tohoto zákona se hovoří o tom, že nemá korupční rizika. Já si naopak myslím, že má obrovská korupční rizika. A teď když už odhlédnu od systému korupce technologických firem, které se samozřejmě už dneska, aniž by ten zákon platil už dneska, cpou na kdejaký obecní úřad a všude nabízejí své služby, a to korupční riziko je tady obrovské, to si řekněme, protože ty zakázky obvykle jsou podlimitní a jdou pod zákon o veřejných zakázkách, čili tady to korupční riziko je obrovské a vyvoláno tímto zákonem, tak budu hovořit o dodavatelích technologických zařízení. Protože v tom zákoně se ukládá povinnost využívat ty nejmodernější dostupné technologie k zajištění. Jinými slovy, jelikož tento obor je obor, který se dynamicky vyvíjí, každý rok přicházejí nové a nové technologie v zabezpečení sítí, zabezpečení komunikací, logicky to znamená, že všichni ti, kteří budou chtít dodržet dikci tohoto zákona, tak jak je napsáno, budou muset co rok, možná v kratších časových intervalech, obnovovat svůj technologický park. Dovedete si představit ty náklady, které tady tímto spadnou na ty, kteří budou pod tímto zákonem, aby byli schopni dodržet nejmodernější technologická řešení tak, jak vyžaduje tento zákon.
Toto jsou připomínky, které k tomuto zákonu v krátkosti uvádím, protože samozřejmě těch připomínek mám konkrétních víc, byť si myslím, že ty, které jsem zde dal, jsou ty nejzákladnější, které považuji jako problematické vůči tomuto zákonu. A přiznám se, nejsem schopen momentálně říct, jestli jsme v řádném termínu projednáváni schopni tento zákon projednat. Tady každopádně proč v té devadesátce (nesrozumitelné) už jsem říkal. Ale doporučuji garančnímu výboru ústavněprávnímu, aby včas, pokud zjistí, že není schopen se tím zabývat v daném termínu, požádal o posunutí, protože si myslím, že ten zákon opravdu bude natolik složitý a tak zasahovat do českého právního řádu a zasahovat hlavně do těch, kterých se týká, to jsme teď skoro všichni, kteří v nějaké formě nějakou databázi někdy vytvořili a nechtějí ji používat pro osobní potřebu, to je taky další definice, že používání pro osobní potřebu a co ještě je a co není osobní potřeba - když už si vytváříte nějakou databázi, tak to asi děláte s nějakým cílem a ten cíl skoro nikdy není osobní, ale k nějakému ulehčení vaší práce - se bude dotýkat vlastně skoro všech občanů České republiky.
Děkuji vám za pozornost, doufám, že jsem vás příliš neunavil a pevně věřím, že se v dalším čtení tohoto zákona budeme podrobně zabývat mými připomínkami. Děkuji.
Místopředseda PSP Vojtěch Pikal: Také děkuji a nyní prosím pana poslance Bláhu. Je to vaše.
Poslanec Jiří Bláha: Vážení kolegové, vážené kolegyně, já pro změnu oproti předřečníkovi budu krátký. Chtěl bych jen vám všem osvětlit, co už tady zaznělo.
Jedna z věcí, proč některé země, Francie, o tom vůbec nic nevědí, ti podnikatelé nebo ti lidé tam, tak některé země EU nemusí GDPR zavádět z jednoho prostého důvodu, že mají buďto tvrdší, nebo stejné národní kontrolní mechanismy, ze kterých právě toto GDPR vychází.
Jen bych ty věci shrnul. Myslím, že tady všechno buďto zaznělo, nebo zazní, a chtěl bych se jen krátce společně dohodnout na doporučujícím usnesení pro jednotlivé výbory, které se tím budou chtít zabývat. Zdědili jsme po předchozí vládě a zaspali hlavně zástupci ČR v EU. Bouřlivá diskuse tady byla napříč výbory, poslanci, občany, podnikatelskou radou třeba např. včera, jednotlivými svazy, asociacemi, spolky.
Vážení kolegové, vážené kolegyně, máme jedinečnou šanci ukázat, že slova a prohlášení slibovaná v předvolební kampani napříč všemi stranami - a to bych chtěl podotknout, protože včera, když jsme tady mluvili o válce, tak jste tady byli pomalu všichni, dneska, když se jedná o našich lidech, tak tady máme prázdno, tak přesně ukazujeme občanům, o co nám jde. Takže prohlášení slibovaná v předvolební kampani napříč stranami chceme změnit ve skutky, a proto navrhuji pro jednotlivé výbory doporučující usnesení.
Doporučující jednotlivých výborů by mělo znít asi takto: Poslanecká sněmovna ukládá všem ministrům, aby dohlédli na uvádění zákona do praxe a doporučili všem resortům, úřadům, institucím, aby se státní správa, potažmo úředník změnil z úředníka striktně vyžadujícího a trestajícího na úředníka, který v první řadě radí, pomáhá, doporučuje a podporuje a až po důkladné analýze všech dopadů a opakovaných pochybeních striktně vyžaduje a koná patřičné kroky.
Určitě napříč všemi výbory nalezneme společně ještě lepší interpretaci usnesení, kterým společně napomůžeme ke zmírnění dopadů GDPR při zavádění do praxe. Takže to bych jenom chtěl, abychom se opravdu dohodli a doporučili všem ministrům, aby se jednotliví úředníci v rámci svých úřadů chovali k nám občanům, institucím, jednotlivým podnikatelům, ale hlavně živnostníkům co nejvíce ohleduplně, aby jim pomohli v tom zavádění do praxe. Děkuji.
Místopředseda PSP Vojtěch Pikal: Já také děkuji. S faktickou poznámkou chce reagovat pan poslanec Benda.
Poslanec Marek Benda: Já velmi oceňuji vaším prostřednictvím návrh pana poslance Bláhy. Jenom upozorňuji, že žádný jiný úřad kromě Úřadu pro ochranu osobních údajů nemá a nebude mít s prováděním GDPR nic společného. To znamená, pokud tato teze zní, já jí rozumím a víceméně s ní souhlasím, tak ale musíme do tohoto návrhu zákona dát příslušná ustanovení týkající se Úřadu pro ochranu osobních údajů, která jim právě předepíšou, že v první řadě jim musí poradit a teprve pak se řídit tím, že mají podle obecného nařízení dávat sankce. Nikdo jiný s tím z celé státní moci nebude mít nic společného. Takže tohle je náš úkol. Ne úkol pro ministry, ne úkol pro ostatní výbory, ale je náš úkol do tohoto návrhu zákona dát takové formulace, pokud se týká výkonu pravomocí Úřadu pro ochranu osobních údajů, aby předcházelo sankce to, že jim nejprve vysvětlí, jak se to dělat má, a že se nejprve pokusí, aby se věc uvedla na správnou míru, a teprve potom budou případně někoho sankcionovat. Ale jinak s vámi věcně souhlasím.
Místopředseda PSP Vojtěch Pikal: Děkuji. Nyní tady mám s faktickou poznámkou pana poslance Bláhu. Prosím. Dvě minuty, pane poslanče.
Poslanec Jiří Bláha: Já jsem s tím úplně OK, myslím, že všichni s tím budeme úplně OK, a proto jsem to říkal, abychom táhli v tomhle případě za jeden provaz, abychom do toho šli všichni s čistou myslí a hlavně srdcem, abychom z toho nevyprodukovali paskvil a hlavně pomohli v tom zavádění. Věřím tomu, že všem nám, kteří jsme tady, jde o to, aby to všechny nás zatížilo co nejméně a zasáhlo co nejméně, a budu hrozně rád, když se všichni sejdeme na jedné platformě a budeme o tom společně diskutovat, abychom napomohli panu ministrovi nebo příslušným úředníkům v tom, abychom to společně posunuli. Děkuji.
Místopředseda PSP Vojtěch Pikal: Já také děkuji a nyní se mi s přednostním právem přihlásil místopředseda Okamura. Prosím, pane místopředsedo.
Místopředseda PSP Tomio Okamura: Vážené dámy a pánové, dovolte mi hned na úvod říct, že s tímto nařízením Evropské unie ohledně zpracování osobních údajů nesouhlasíme, jelikož je to extrémně byrokratické, komplikované a hlavně nejednoznačné, takže v praxi přinese víc škody než užitku.
Samozřejmě ale souhlasím s tím, že ochrana našich dat by v současnosti měla být prioritou. To vidíme také na současné kauze kolem Facebooku, když výslech Marka Zuckerberga před americkými senátory potvrdil, že firma Facebook sleduje uživatele napříč zařízeními, a to i když je uživatel z Facebooku odhlášen, což si většina uživatelů vůbec neuvědomuje. Podle Zuckerberga Facebook sleduje pohyb uživatelů na webových stránkách jak z důvodu v uvozovkách bezpečnosti, tak i pro reklamní účely. Zvýšená kontrola těch, kteří mají v rukou naše data, je proto zásadní.
Co se týče návrhu Evropské unie, který tady dnes projednáváme, tak podle právních analýz - cituji: hrozí, že výklad GDPR bude viset ve vzduchoprázdnu ještě po jeho účinnosti a interpretovat jej budou především právníci a soukromí poradci, pro které se příchodem tzv. GDPR vytvořil velice lukrativní trh. Instrukce evropských nebo národních orgánů v podobě jasných pokynů, jak mají být problematická ustanovení GDPR vykládána, v mnoha případech stále chybí. Konec citace právních analýz.
GDPR ukládá správcům povinnost vypracovávat tzv. záznamy o činnostech zpracování. Ovšem nejasná je výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Podle výkladu českého Úřadu pro ochranu osobních údajů absolutní většina případů zpracování osobních údajů není příležitostná. Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky? Naopak když se podíváme do západní Evropy, tak podle vyjádření belgického úřadu na ochranu soukromí je to přesně naopak, tedy že běžné zpracování údajů zákazníků, zaměstnanců, dodavatelů atp. je považováno za příležitostné zpracování. Tento rozpor výkladu v praxi znamená, že hrozí nejen soudní spory, ale možná i mezinárodní arbitráže, tím spíše, když za neplnění tohoto nařízení ukládá gigantické peněžní tresty.
Na ukázku mi dovolte další nesmysly. Ve vztahu k užívání informačních technologií dětmi GDPR zavádí povinnost, podle které bude souhlas se zpracováním u nezletilých dětí, převážně mladších 16 let, muset být poskytován se souhlasem jejich rodičů nebo zákonných zástupců. A jak se pozná, že při on-line vyjádření souhlasu se zpracováním osobních údajů za počítačem sedělo nezletilé dítě a souhlas se zpracováním osobních údajů opravdu dalo se souhlasem svých rodičů?
Samozřejmě nejvíc diskutovaným problémem jsou sankce. Vzhledem k chaotičnosti a nejasnosti zákona hrozí pokuty opravdu téměř každému i za byrokratické formality, které nikoho neohrožují. Bylo by dobré alespoň obcím a firmám garantovat, že sankce nebudou drakonické, a pro obce by měly být zrušeny nebo minimalizovány na maximum. Všichni víme, jak je těžké získat kvalitní starosty na kandidátky. Tento zákon je další důvod pro slušné lidi, aby se o veřejné věci raději nestarali.
Děkuji za pozornost. (Potlesk poslanců SPD.)
Místopředseda PSP Vojtěch Pikal: Já také děkuji. Nyní prosím paní poslankyni Pekarovou.
Poslankyně Markéta Pekarová Adamová: Dobrý den, dámy a pánové, dovolte mi, abych řekla jenom několik stručných informací o našem postoji k tomuto návrhu zákona.
Obecně, když začnu tím, což už tedy tady také mnohokrát zaznělo, tak se domnívám, že opravdu je velmi tristní, že až dva roky poté, co víme, jak to nařízení zní, a víme, jak tedy dopadá i na české občany, se teprve projednává zákon ve Sněmovně. Já jsem ostatně na toto téma interpelovala jak pana premiéra Babiše, tak pana ministra Metnara už v lednu tohoto roku. Tehdy mi pan Babiš slíbil, nebo odpověděl, že do poloviny února bude zákon ve vládě. Stalo se tak ve skutečnosti až 21. března, takže byť ten slib byl dán, tak řekněme nebyl minimálně dodržen. A my tedy až teď v dubnu 2018 stojíme před tím, že nám od května, nebo od konce května, začíná platit evropské nařízení, ale do naší legislativy teprve teď projednáváme, jak dopadne. A samozřejmě že ten zákon tím, že naštěstí nebude projednáván v devadesátce, což si myslím, že je velmi rozumné i vzhledem k tomu, jak slyšíme jednotlivé výtky z mnoha stran, tak bude platit až později než samotné nařízení, a obávám se, že to bude jenom matoucí a přinášet celou řadu problémů.
Co také jsem už tehdy v té interpelaci vyčítala oběma interpelovaným, byla nedostatečná informovanost, resp. to, že byť chápu, že mezi minulým volebním obdobím a současným se vyměnili lidé na postech ministrů, tak už v loňském roce, už v minulém volebním období měla určitě probíhat informační kampaň, měla vůči firmám, neziskovým organizacím, školám, ale i dalším institucím a organizacím probíhat celá řada řekněme osvětových kampaní, protože když si vzpomenete na to, jak probíhala kampaň třeba k takovému zavádění elektronické evidence tržeb, a že to nebyla určitě malá a levná záležitost tehdy a dopadala na mnohem menší výsek společnosti, tak tentokrát se opravdu dá hovořit o zanedbání.
Už tady byla i zpravodajem zmíněna celá řada konkrétních výtek. Já tedy nechci úplně všechno opakovat, s celou řadou z toho souhlasím a rozhodně souhlasím ale i s tím, že musíme chránit svá data, že data našich občanů jsou jedním z velmi dnes ceněných i obchodních artiklů, že je to záležitost, která se týká opravdu každého, a že se v této věci musí sledovat veškeré trendy a musíme být schopni data chránit. Vidíme to i v konkrétních kauzách, které jsou teď ve veřejném prostoru velmi diskutované. K tomu bych jenom chtěla podotknout, že ostatně když už se tady zmínila několikrát kauza s daty Cambridge Analytica a Facebook atd., tak že sám Mark Zuckerberg uváděl právě opatření nařízení GDPR jako určitý vzor i pro Spojené státy americké. Takže nemusíme se v tomto případě asi stydět za to, co EU přináší, protože pokud je to vzorem i pro ostatní země, tak zase tak závažné to bude. Horší je, jak to dopadne do našeho právního řádu a jak jsme schopni se popasovat s některými věcmi, ve kterých máme volnou ruku, kde můžeme udělovat výjimky, kde můžeme využít těch výjimek my.
Obávám se, že vždycky největší problémy jakákoliv změna přináší těm drobným, ať už jsou to drobné, menší firmy, anebo třeba spolky, neziskové organizace. A myslím si, že bychom se právě v další diskuzi měli zaměřit na ty, kteří v této oblasti jsou málo znalí a pro které tato pravidla jsou složitější, tak aby nečelili velkým sankcím, ale aby byli schopni dostát těm pravidlům a zároveň se pro ně třeba právě pokuty nestávaly likvidačními.
Je určitě velký rozdíl nejenom ve velikosti firem, ale i v tom, v čem se pohybují, v jaké oblasti podnikají, takže rozdíl určitě je i nejenom dle velikosti, ale naopak možná i v této oblasti bychom ho měli spíše vidět na jiné dělicí linii, a totiž jak moc s daty právě pracují, do jaké míry je musí zpracovávat. Když se podívám třeba na začátky Facebooku, tak to určitě také nebyla velká firma a byl to jenom malý start-up, a přesto s celou řadou dat svých uživatelů operuje, resp. už tehdy mohl operovat. A to samé se určitě nedá říci o jakémkoliv jiném v uvozovkách start-upu, když si někdo založí nebo zřídí třeba na menším městě cukrárnu, tak se určitě nedá hovořit úplně o tomtéž případu. Takže bychom se v tomto směru měli snažit asi tu dělicí linii i třeba právě pro sankce hledat ne tam, kde se bavíme o velikosti firem, ale o množství dat, která zpracovávají. To je jedna poznámka.
Další poznámka se týká toho, co tady už také bylo předřečníky zmíněno, a to je § 7, který se týká tedy způsobilosti dítěte pro souhlas se zpracováním osobních údajů. Tady v té věci jsme, si myslím, zbytečně, nebo vláda v tomto případě zbytečně stanovila hranici na 15 let, byť může využít nižší, a to vzhledem k tomu, že opravdu je velmi složité si u některých ze souhlasů ověřit, zda skutečně byl k němu dán i rodičem dítěte. Tady vůbec nezpochybňuji, že se jedná o rizika velká, zvláště u této skupiny uživatelů, u nejmladších, ale důležitá je podle mého názoru zejména prevence, abychom se věnovali vůbec prevenci toho, jak děti a mladí lidé s daty nakládají, jakým způsobem přistupují právě ke sdílení informací sami o sobě, a nikoliv abychom tedy spoléhali pouze na to, že stanovíme-li nějakou hranici, tak je to všespásné.
Co se týče předřečníka pana kolegy Bláhy a jeho požadavku ohledně ministerstev, tak já bych to pojala trošičku jinak než pan kolega, ale v určité základní věci s ním lze souhlasit, protože tato opatření dopadají na celou řadu nejenom často zmiňovaných firem a obcí a spolků, ale třeba na školy, tak určitě by bylo záhodno vědět, jak ministerstvo je nápomocno, a nejen v souvislosti s teď projednávanou normou, ale právě v souvislosti s tím, že nařízení bude platit tak nebo tak už od května, tak jak bylo nápomocno, jak bylo schopno vlastně pomoci třeba právě školám nebo ředitelům škol s tím, aby se s touto záležitostí popasovali, protože slýchám zejména od menších, které nemají možnost třeba si zaplatit někoho, nějakou specializovanou pomoc, tak že je to pro ně velmi složitá situace. Takže opravdu třeba v této věci si myslím, že by bylo záhodno, aby se vyjádřili i ministři. A tady dávám za příklad zrovna Ministerstvo školství, ale ministrů, kteří by se k tomu měli vyjadřovat z hlediska jejich agendy, kterou spravují, a z hlediska organizací, které pod ně pak spadají, by bylo určitě mnohem víc. Takže to bych považovala za určitě vhodné ani tak ne v souvislosti s tím zákonem, který teď projednáváme, jako spíš s tím, že stejně nařízení už tedy od května na ně dopadne, a my bychom asi měli vědět, co se v této oblasti pak bude dít, abychom si od 26. května nečetli v titulcích novin, že se nám někde stává větší problém, než jaký mohl nastat, resp. čemu se dalo předejít.
Tak tolik pár poznámek k té projednávané normě. Jsem ráda, že se tady tomu věnujeme velmi věcně a že se tady nestává to, že je napadána skrze to nařízení GDPR Evropská unie jako původce všeho zla. To si myslím, že mě to až příjemně překvapilo. Takže děkuji za to. Děkuji za pozornost.
Místopředseda PSP Vojtěch Pikal: Já také děkuji. Nyní tady mám s faktickou poznámkou pana poslance Bláhu. Dvě minuty, pane poslanče.
Poslanec Jiří Bláha: Děkuji. Vážení kolegové, kolegyně, já bych chtěl k tomu jenom podotknout, já to, že bychom se měli zabývat školami a jednotlivými obcemi, vesnicemi a úřady, slyším stále dokola. Ale neslyším jednu důležitou věc. V republice máme 1 200 firem, z toho zhruba 900 000 malých a středních firem, které to dělají na živnost. Ti zaměstnávají větší část naší populace, to znamená, že zhruba 60 až 70 % lidí, a máme tady 3 500 živnostenských listů. A všichni přicházejí do styku s daty. A tihle lidé kolikrát nemají to vzdělání, které mají ti učitelé nebo ředitelé škol, a oni jsou na tom nejhůř, protože oni se v tom nevyznají vůbec. Jestliže včera na Podnikatelské radě se v tom nebyla schopna shodnout jednotlivá ministerstva, tak jak se mají chovat ti jednotliví živnostníci? To je potřeba říct. A my jim musíme pomoct. Protože ti nám zaručují to, že se budou rozvíjet ty vesnice, ta jednotlivá malá města. Oni tam dělají tu zaměstnanost, dělají tam kolikrát i tu kulturu a dělají tam ten život. Děkuji.
Místopředseda PSP Vojtěch Pikal: Tak já také děkuji. A nyní prosím s řádnou přihláškou pan poslanec Jiránek.
Poslanec Martin Jiránek: Vážené kolegyně, vážení kolegové, nejdřív bych chtěl jenom doupravit vaším prostřednictvím pana kolegu Bláhu. Nešlo o tisíce živnostníků, ale o miliony. Tak to jenom pro podporu, protože tam byla drobná chybka.
Já chci mluvit o trošičku něčem jiném. U každého zákona je stejně důležitá jeho úprava, promyšlenost a funkčnost jako to, jak ho společnost vnímá. A to, že i předřečníky zde bylo řečeno, a já s tím souhlasím, že GDPR je užitečná a smysluplná věc, tak bohužel drtivá většina lidí, kteří s tím přicházejí do styku, je spíš vystrašená, znechucená a otrávená. A to je z mého pohledu špatně.
GDPR je užitečné, i když mohu říct, že třeba co se týká těch malých firem, malých obcí, je možná až trochu moc přísné. Ale je určitě užitečné z pohledu toho, jak by mělo ovlivňovat nakládání s daty především u těch velkých. Je to vidět teď na Cambridge Analytica, na přiznání té firmy, která dokonce, myslím že na Channel 4, i přiznala, že ovlivňovala volby i u nás, nebo že se přes ni ovlivňovaly volby i u nás. Tam ten smysl je. Já uznávám, že pro nás, pro Čechy, je přechod na GDPR a na všechny ty povinnosti spojené s ochranou dat daleko náročnější než třeba pro Němce, kteří v tom pracují dlouho. My jsme v tomhle takoví flegmatičtější, až tak to neřešíme, a tato změna pro nás bude samozřejmě daleko zásadnější, protože startujeme na nižší pozici. A přitom víme, že ta velká data, ti velcí hráči na trhu, ti mají vlastně na těch datech založený byznys.
Takže posunuto dál, v základu je GDPR správné a cíl je smysluplný. Jenže bohužel si to u nás nikdo nemyslí. Nebo takřka nikdo si to u nás nemyslí. Už vlastně tři roky víme, že GDPR přijde, že bychom se na to měli připravovat. Ale bohužel mohu oprávněně kritizovat třeba Ministerstvo průmyslu a obchodu, že opravdu pro ty malé podnikatele, jak zde říkal pan Bláha, se toho mnoho nedělá. Až vlastně nyní v únoru jsme na hospodářském výboru vyzvali MPO, aby začalo pracovat na případových studiích, které vysvětlí právě těm malým, kteří mají těžší přístup k informacím, na jednoduchých a jasných příkladech, jak se jich GDPR dotkne a na co by se měli zaměřit v přípravě na ně.
Mohu pochválit Úřad pro ochranu osobních údajů, který, i když je samozřejmě daleko menší a má daleko menší kapacity, tak aspoň z toho, jak ho sledujeme, tak dělá, co může. I to vnitro, které dostalo tak nějak jako spíš za trest tuhle agendu a tak se s tím popasovává když už ne na výbornou, tak minimálně odhodlaně a ta práce za ním vidět je. Tak tady nebudu rozebírat, kdo za co může a kdo co neudělal, speciálně když pan ministr, jak už tady bylo řečeno, je tady pár měsíců.
Jediné, co si vlastně z celé přípravy na najetí na to GDPR berou podnikatelé, bere běžný obyvatel, je právě ten strach. Strach z velkých pokut, strach z toho, že když něco nesplní, přijde nějaký úředník, který mu samozřejmě napálí nějakou likvidační pokutu. Bavím se se stovkami podnikatelů za poslední půlrok, protože s podnikateli dělám vlastně celou svoji praxi, a jejich dojem je takový. My si tady můžeme samozřejmě říkat, že víme, že budeme nějakým způsobem tlačit na ÚOOZ, nebo to dokonce dáme to toho zákona, že ty sankce nebudou na začátku likvidační a že budeme spíš doporučovat. Ale to tady víme my, to možná vědí úředníci, ale celkově občan to samozřejmě neví a vůbec to nemá ani kde zjistit. Zde, a právě díky tomu strachu, se samozřejmě daří velmi dobře těm často předraženým poradenským firmám, které právě ten strach a tu hrůzu nejen že vyvolávají, ale i využívají k tomu svému byznysu.
Myslím si podle různých propočtů, že minimálně stovky milionů korun byly utraceny malými, středními i velkými firmami za různá školení a audity. A to samozřejmě nepočítám ty tisíce a tisíce člověkohodin, kdy firmy na to dávají své zaměstnance, aby se tomu věnovali. a tak dále. Čili téměř všichni lidé ve státě, kterých se to GDPR nějakým způsobem týká a vnímají to, že se blíží, mají strach, mají nechuť, mají frustraci jak z vyplýtvaných peněz, tak i strach z těch potenciálních budoucích pokut.
My politici, a říkám to tak, že když jsme tu my jako Piráti noví, my jsme vlastně mohli to GDPR poslední dva roky představovat pozitivně. My jsme mohli ukazovat ty výhody, přínosy, které to GDPR bude mít. My jsme mohli dělat osvětu jak ve firmách, tak v organizacích. Mohli jsme všem občanům daleko víc ukazovat ty přínosy a hlavně dělat tu osvětu, proč je potřeba se o ty osobní údaje starat. A primárně proto, aby občané nebyli manipulováni nebo nebyla zneužívána jejich data. Ale tuto možnost jsme jednoduše proplýtvali. Teď je mezi lidmi jednoznačným dojmem strach a nechuť k tomu GDPR. A přitom je to pozitivní věc, kterou jsme mohli dlouhodobě propagovat, podporovat, prezentovat. Takže to, že teď budeme upravovat ten zákon tak, aby nebyl tak drsný, doufám, že to dopadne, že se nám to podaří domluvit, to je bohužel už ta druhá věc. My jsme měli primárně dělat tu první věc a to je pozitivní prezentace toho zákona. To, když to řeknu úplně zjednodušeně, aby ty firmy se vlastně... ne úplně těšily, ale pozitivně se připravovaly na to, že přijde nějaké nové nastavení, ony si ho jednou nastaví a pak se podle toho pojede a bude klid a má to svoje přínosy. To se bohužel neděje.
Takže já stejně jako kolegyně přede mnou apeluji na vládu, aby nějakým způsobem výrazně zapracovala, a nejen na vládu, ale i na kolegy poslance a další politiky, aby vláda výrazně zapracovala na té prezentaci. Chystá se kampaň na účtenkovku, byla kampaň na EET. A já to nekritizuji, chápu, že probíhala a že to bude probíhat. Má to nějakou myšlenku. Chci tím primárně říct, že to GDPR je daleko, daleko důležitější než účtenkovka, do které, teď jsem někde zaznamenal, že se má zainvestovat pět šest milionů do propagace. Tak vezměme desetkrát víc peněz a udělejme vysvětlovací obhajovací kampaň toho GDPR.
Plus samozřejmě i my všichni se bavme o tom, že to jsou ty přínosy, jaké to má přínosy, a ne jenom to, že jsou tam ta negativa a kdo za to může. Díky moc. (Slabý potlesk zprava.)
Místopředseda PSP Vojtěch Pikal: Já také děkuji a nyní mám opět s faktickou poznámkou pana poslance Bláhu. Dvě minuty, pane poslanče.
Poslanec Jiří Bláha: Já už slibuji, že nebudu chodit. Já jenom jsem se chtěl omluvit, že jsem asi zprznil čísla, i když jsou mou silnou stránkou. Ale bohužel tady v hlavě nebo tady u těch mikrofonů, přestože před nimi stojím od patnácti let vždycky při hudebních vystoupeních, tak se mi to vykouří všechno z hlavy a nejsem tak skvělý rétor. Takže upřesním ta čísla.
K 31. 12. 2016 bylo evidováno 3 mil. 645 tis. 647 živnostenských oprávnění. V tom roce 2016 bylo evidováno celkem 1 mil. 146 tis. 274 firem, z toho 1 mil. 144 417 právnických a fyzických osob s počtem 0 až 249 zaměstnanců. A z toho 881 tis. bylo pouze na živnostenský list. Takže těch 881 tis. firem z toho milionu zaměstnává lidi na živnostenský list. A tito lidé, jak jsem říkal, dost často nemají to vzdělání, aby těmto zákonům rozuměli, tak jak by měli. A samozřejmě pro ně to bude obrovský problém, jak zavádět. Proto říkám, pojďme jim pomoci. Děkuji.
Místopředseda PSP Vojtěch Pikal: Tak já také děkuji. A nyní prosím do rozpravy pana poslance Profanta.
Poslanec Ondřej Profant: Dobré dopoledne. Debata o implementaci GDPR je složitá. I zde zazněly jisté nepravdy a nepřesnosti. Myslím si, že někteří mají problém rozlišovat mezi samotným nařízením, které je přímo aplikovatelné, jak jistě všichni víte, a směrnicí, která se implementuje v českém právním řádu.
Nicméně je jasné, že tyto zmatky vznikly opravdu ostudným selháním minulé, ale i současné vlády, protože i samotní úředníci z Ministerstva vnitra mi potvrdili, že ty implementační zákony byly připraveny před rokem, ale prostě nebyla politická vůle je předložit, což je opravdu otřesné. To je ten problém, který postihuje naše občany a samosprávy. Proč se toho bojí? No protože to nebyl ten konkrétní zákon, který by jim jasně řekl co ano, co ne. Popřípadě ten Úřad pro ochranu osobních údajů nemohl činit závazná stanoviska atd., protože samozřejmě on je podřízen zákonu. A tohle je opravdu hrozný problém. A je mi velmi líto, že neprošel ani přes grémium návrh kolegy Michálka, abychom už tyto zákony probírali aspoň na minulé schůzi, aby byla aspoň teoretická šance do platnosti nařízení nebo účinnosti nařízení mít v platnosti něco, i když já si myslím, že to ještě stejně bude delší kvůli Senátu atd., a složité rozpravě na výborech.
Myslím, že názor pirátské strany už tu několikrát zazněl, ale také si ho dovolím shrnout. My vítáme celoevropský rámec ochrany osobních údajů, protože ochrana osobních údajů, to není opravdu nějaký byrokratický výmysl. Prokazatelně se údaje přeprodávají, a to včetně tak citlivých údajů, jako je zdravotní stav apod., a to teď nemyslím, že by zpřístupňovali tyto údaje lékaři, ale prostě analytické nástroje jsou dneska mnohdy schopnější než naše zdravotnictví. A to samozřejmě musíme reflektovat. Tohleto je prostě problém. A máme v Listině základních práv a svobod právo na soukromí. Čili určitě je potřeba tyto zákony pustit do prvního čtení a v druhém čtení budeme mít nějaké pozměňovací návrhy.
Ještě bych se chtěl zastavit u praxe. My se jí samozřejmě také bojíme, jelikož nejsou zákony, nejsou závazné výklady. A jelikož nejsou závazné výklady, tak nevíme. Ale osobně si myslím, že tento strach je relativně neopodstatněný. Sám jsem uspořádal seminář pro samosprávy, kde jsme si jasně řekli, že oni vlastně všechno dělají ze zákonného pověření, takže nemusí shánět žádné další souhlasy, nemusí moc řešit tu agendu. Oni většinou takovou agendu nemají. A pokud ji mají, tak by se měli zamyslet, jestli ji opravdu chtějí mít. Anebo jsou to případy těch největších samospráv apod.
A ještě vlastně se zcela jasně ukázalo, že tu máme zákon platný již od roku 2000, zákon 101 o ochraně osobních údajů, který je viditelně našimi úřady víceméně ignorován, protože jinak by se nemohly pozastavovat nad GDPR, protože to jim příliš nových věcí nepřináší, což je samozřejmě problém vymahatelnosti práva. A je mi líto, že naše veřejná správa tento zákon takto ostudně ignorovala. Pak je potřeba říci, že velká část té praxe, toho, jaké reálně budou pokuty atd., spadá samozřejmě na ta rozhodnutí Úřadu pro ochranu osobních údajů, případně soudů. Ale že všechny samozřejmě incidenty se hodnotí na principu proporcionality, na principu toho, jestli opravdu to bylo závažné, nebo ne. Opravdu si myslím, že někdo, kdo provozuje šachový kroužek a vede si e-maily členů, se nemusí bát, pokud vysloveně ty e-maily bez souhlasu nezveřejňuje. To nařízení je zcela jasně koncipováno tak, aby byla možnost zasáhnout ty velké hráče, kteří opravdu tvrdě přeprodávají velká data, aktivně je získávají. U těch malých nastaví jistá pravidla té praxe, toho, že opravdu když mám osobní údaje, tak s nimi zacházím s náležitou péčí, že hesla v databázích hešuju, že nenechávám papíry s rodnými čísly někde se povalovat na stole a podobné. To jsou opravdu věci, které bychom se měli naučit, že jsou běžné. A jsem rád, že tu mohou...
Dále je třeba říct, že ten tolik obávaný písemný souhlas, kde jsem slyšel, jak se obce bojí, kde vezmou písemný souhlas svých občanů apod., tak podle výkladu pracovní skupiny i samotného nařízení je písemný souhlas až poslední možnost. Je to ten moment, kdy vy sbíráte nějaká data, která z jiného právního titulu nepotřebujete. Nicméně pro spoustu užití jsou tu ty jiné právní tituly. U veřejné správy zcela jasně ty zákonné. Prostě je jasné, že když vydáváte občanky, tak máme jména svých občanů. To není žádná diskuse a nemusíte kvůli tomu shánět písemný souhlas vedle samotného formuláře, což si opravdu... jsem se setkal na obcích, že si mysleli. Takže asi největší problém je zamyslet se, jestli ta osobní data opravdu potřebuji, v jakém rozsahu je potřebuji atd.
Ještě bych rád zmínil, s čím konkrétně nesouhlasíme a co budeme navrhovat změnit ve druhém čtení. Je to primárně celá změna zákona 106, kterou považujeme za zcela neopodstatněnou v souvislosti s GDPR, a dále nesouhlasíme s hranicí tzv. internetové plnoletosti, protože patnáct let je podle nás absolutně zbytečné. Třináct let asi není náš ideál, ale jsme ochotni se s touto hranicí smířit a ani nám nic jiného nezbývá, to nám jasně říká legislativa Evropské unie. Ale těch patnáct let, to už je opravdu problém jak pro uživatele internetu, tak pro jejich rodiče, tak pro podnikatele, kteří to musí administrovat. Je to zbytečné a budeme tedy navrhovat snížení této věkové hranice.
A ještě ke konkrétní implementaci. Rád bych poděkoval Ministerstvu vnitra, že se tam dostala ta pasáž, že konkrétní incidenty se posuzují proporcionálně a že lze neuložit pokutu. Opět tolik k strachu. Úřad pro ochranu osobních údajů opravdu může mít tu mentorující roli, a pokud nedojde k závažnému úmyslnému poškození, tak prostě dané drobné firmě, živnostníkovi, obci vysvětlí, kde pochybil, a nemusí mu žádnou pokutu ukládat. Víme i z praxe, že pokuty ani dnes neukládá na maximální hranici, takže opravdu si myslím, že obavy, které se tady šíří, jsou mnohdy velmi nepodložené.
Místopředseda PSP Vojtěch Filip: Dobré poledne, vážené paní poslankyně, vážení páni poslanci. Děkuji panu poslanci Profantovi. Pokračovat budeme vystoupením paní poslankyně Věry Adámkové, připraví se paní poslankyně Kateřina Valachová. Prosím, paní poslankyně, máte slovo.
Poslankyně Věra Adámková: Děkuji za slovo, pane předsedající. Dámy a pánové, díky tomu, že už jsme vyslechli několik příspěvků, bude můj příspěvek výrazně kratší, protože nebudu opakovat všechny ty problémy, které zde už byly řečeny, ale zaměřím se na jeden problém, který je mi vlastní, a to je problém ve zdravotnictví.
Musíme vzít v potaz, že sdílení informací je sine qua non pro zdravotnickou péči. Nemůžeme pacienta neustále nechat vyšetřovat znovu a znovu, protože tolik krve on ani nemá, co bychom si mohli vymyslet. Na druhou stranu máme ve většině případů, co zde sedíme, velké zkušenosti s mezinárodními multicentrickými studiemi, kde o ochraně dat je to ve velmi důležité míře, a je třeba si uvědomit, že u těchto studií se uchovává papírová forma třeba po dobu 30 i 50 let a je to běžné u těch mezinárodních smluv, protože se nespoléhají pouze tedy na digitální podobu záznamu, což, pravda, může být někdy vulnerabilní složkou. Kdybychom neudělali pořádně to, co se nám zde tedy ukládá, to je projednat velmi řádně celou tu problematiku GDPR, uvědomte si, že by mohly být ohroženy mezinárodní výzkumné projekty, které nejenom že šetří velké peníze naší republice, to pomíjím, o tom jistě bude další příspěvek, ale to, co je v hlavní řadě, že naši pacienti a my se dostáváme opravdu k top léčbě ve světě. Jsou to léky, které třeba ještě sedm deset let nebude možné předepsat, a my už s nimi máme zkušenosti a umíme s nimi pracovat. A o těch informacích a ochraně osobních dat, to tam opět je. Takže je to problematika, která je trošku specifická, ale nemůžeme ji pominout.
Další věcí je sdílení dat u psychiatrické péče, které je velmi specifické. Budeme o tom ještě jednat. V současné době i pacient, který bude tři čtvrtě roku hospitalizován na uzavřeném oddělení, vám přinese pouze zprávu, že tam byl, není o tom nic jiného. Takže byť se to zdá okrajové, tak i ten problém kompletních informací musí být řádně prodiskutován.
Další věcí, ke které se dostáváme u mezinárodních vědeckých studií, je to, že zadavatelem té studie je nadnárodní firma, není to česká firma ve velké většině případů, takže my se musíme dostat do souladu i s tím právem mezinárodním, tak jak to tyto smlouvy přikazují. Takže velmi prosím potom, věnujme tomu velkou pozornost, abychom náhodou neudělali vylití dítěte, s vaničkou i to dítě, anebo naopak na něco zapomněli. My to v každém případě budeme samozřejmě dále sledovat a budeme k tomu mít připomínky.
Čili terén zatím v tomto směru ve zdravotnictví nemá samozřejmě informace, je znejistěn, protože by mohlo dojít k tomu, že bude poměrně velký problém v poskytování nejenom běžné péče, ale i té výzkumné péče, na které my si opravdu velmi zakládáme, a jsme rádi, že můžeme být součástí těchto výzkumných týmů. V případě, že skutečně k tomu dojde, tak potom výbor pro zdravotnictví se hlásí k tomu, aby byl dalším výborem k projednání těchto sněmovních tisků. Děkuji.
Místopředseda PSP Vojtěch Filip: Děkuji paní poslankyni Věře Adámkové. Nyní vystoupí paní poslankyně Kateřina Valachová, připraví se pan poslanec Rostislav Vyzula. Prosím, paní poslankyně, máte slovo.
Poslankyně Kateřina Valachová: Vážený pane předsedající, vážené kolegyně, vážení kolegové, chtěla bych jenom tlumočit stručné stanovisko klubu sociální demokracie. Podpoříme průchod tohoto návrhu zákona do druhého čtení, nicméně máme za to, že i s ohledem na rozpravu, která probíhá, bude namístě dodržet minimálně dobu pro jednání 60 dnů. A chtěli bychom také případně navrhnout, aby vznikl detailní harmonogram toho, jakým způsobem budou jednotlivé náměty k úpravě návrhu zákona projednávány, s tím, že budeme mít zájem o prosazení vícero změn směrem k výjimkám. Děkuji.
Místopředseda PSP Vojtěch Filip: Děkuji paní poslankyni Kateřině Valachové. Nyní pan poslanec Rostislav Vyzula, připraví se pan poslanec Válek. Prosím, pane poslanče, máte slovo.
Poslanec Rostislav Vyzula: Děkuji, dobré dopoledne, pane předsedající, dámy a pánové. Než jsem se dostal ke slovu, tak už v podstatě ten problém tady byl naznačen a týká se to zdravotnictví. Pokud bychom totiž... Ani bych nevystupoval, kdyby tady nedošlo k toho zamítnutí projednávání v prvním čtení, poněvadž pak bych se obrátil na Senát, kde bychom to mohli ještě napravit, a to problematiku klinického výzkumu ve zdravotnictví. Opravdu je to závažná věc. Já bych rád potom spolupracoval jak s Ministerstvem vnitra, tak s Ministerstvem zdravotnictví, kde bychom udělali pozměňovací návrh v tom stylu, kdy klinické studie budou také umožněny pro naše pacienty. Je to např. v oblasti práva na přístup k osobním údajům, práva na opravu osobních údajů, práva na omezení zpracování osobních údajů, práva vznést námitku. Je to několik záležitostí, které se zdají být jakoby banální, ale nejsou, poněvadž to zdravotnictví by jinak přišlo o obrovské prostředky.
Uvědomme si jednu věc, že Německo má takovéto úpravy provedené, že je to Rakousko, Švédsko, Finsko a další země. A pokud vznikne takzvaná multicentrická randomizovaná studie, kterou dneska podávají do republiky jenom velké farmaceutické konglomeráty, tak tím dělají vlastně pro zdravotnictví dvě věci. Jedna je, ta je myslím nejdůležitější, že naši pacienti mají k dispozici novou léčbu, ke které by se jinak nedostali. A druhá věc je, že celý ten výzkum financují, což stojí obrovské peníze. Uvedu jeden příklad. Na našem onkologickém ústavu v Brně to ročně činí 200 mil. korun, které vlastně šetříme zdravotním pojišťovnám. Pacienti jsou plně kryti z toho klientského výzkumu. Když si uvědomíme, kolik ale zdravotnických zařízení máme, špičkových zařízení, kde jsou tyto klinické studie dnes k dispozici, tak si musíme uvědomit, že pokud nebudeme mít nějakou pojistku na ochranu dat našich pacientů pro klinické studie, tak nebudeme muset ty studie dostávat a v rámci celé republiky to mohou být miliardy. Já nevím, kolik to přesně je, ale mohou to být miliardy, které šetříme zdravotním pojišťovnám. Ale není to opravdu otázka jenom financí, je to i otázka přístupu k pacientům a k tomu, že oni vlastně budou mít možnost se setkat s tou nejmodernější léčbou, která v současné době existuje.
Takže to je jenom taková připomínka toho, rád bych na tom potom spolupracoval, mám to už v podstatě připraveno, ale měli bychom to ve druhém čtení nebo ve výboru pak uvést, schválit si nebo si to prodiskutovat. To je všechno. Děkuji za pozornost.
Místopředseda PSP Vojtěch Filip: Děkuji panu poslanci Rostislavu Vyzulovi. Diskutovat bude pan poslanec Vlastimil Válek, připraví se pan poslanec Munzar. Pane poslanče, máte slovo.
Poslanec Vlastimil Válek: Vážený pane předsedající, dámy a pánové, já budu pokračovat v tom, co říkali mí předřečníci, že už všechno bylo řečeno, že bych měl být krátký. Já jsem zvažoval, že naopak řeknu, že budu mluvit dlouho, abych vás trošku zarazil. Nicméně se pokusím nemluvit dlouho.
Chtěl bych říct tři věci. Ta první, co mě naprosto fascinuje, že existuje nějaká směrnice, evropská směrnice, která má jasně danou část, která z mého pohledu by se měla jenom přeložit do češtiny a zveřejnit, a pak část, která je variabilní a o které bychom měli intenzivně diskutovat. Já jsem se fakt poctivě snažil originál té směrnice přečíst, originál GDPR na webových stránkách EU nastudovat, byť je to stránek neskutečně mnoho. A fascinuje mě, jak se to liší od toho materiálu, který bychom měli schvalovat. A jak je tam spousta věcí navíc, v tom našem materiálu. Úplně nevím proč a z jakých důvodů.
Druhá věc, která tady také zazněla, a já bych ji jaksi zdůraznil na příkladě. My všichni víme, že po dálnici se jezdí maximální rychlostí 130 km, a všichni víme, že kdo to zkusí, je sebevrah. Protože ta auta, která tam jezdí daleko rychleji, ho zlikvidují, zničí a převálcují. A teď najednou zjišťujeme, že se fakt, opravdu na férovku, bude muset těch 130 jezdit. A takto já vnímám GDPR.
Chtěl bych říct konkrétní příklad, proč si myslím, že opravdu je potřeba tu směrnici implementovat v rozumné míře, v té, která je nutná, o všem co je navíc, diskutovat velmi intenzivně ve výborech, a byl bych velmi rád, aby diskuse ve výborech byla tak dlouhá, jak nejdéle to bude možné. Podporuji to, co navrhla paní profesorka Zemánková - Adámková, pardon, paní profesorko -, abychom to probírali ve zdravotnickém výboru. A řeknu vám důvod.
Toto je můj mobil. (Ukazuje.) Já na tom mobilu mám program na prohlížení snímků, protože jsem radiolog. Kdybych si kohokoliv z vás tady v této místnosti vybral a zjistil jeho jméno, příjmení a datum narození, tak si obvolám velmi jednoduše deset nemocnic v republice a v podstatě až na pár výjimek zjistím jeho data. Pošlou mi je do toho mobilu. Já se představím, nikdo neví, že jsem to já, a ta data budu mít v mobilu, prohlédnu si vaše snímky, prohlédnu si v podstatě cokoliv. Je pár nemocnic v republice - a to se nesmí, to podle současné legislativy nejde - je pár nemocnic, kam když zavolám, tak řeknou: nezlobte se, pane profesore, my vám ty snímky nepošleme, protože pokud chcete poslat snímky, tak buď si tam musíte jako pacient zajít sám a požádat, nebo váš ošetřující doktor musí poslat žádost. Ale drtivá většina nemocnit to takhle neřeší. Drtivá většina nemocnic - v drtivé většině nemocnic toto zajišťuje řadový TH pracovník, zdravotní sestra, laborant, inženýr na centru informatiky, vůbec neřeší, kdo ty snímky chce, vůbec neřeší, na co je chce. Pouze je pošle z nemocnice A do nemocnice B. Takto jsou propojeny dvěma systémy všechny nemocnice v České a Slovenské republice.
Pokud mám přístup do nějakého informačního systému kterékoliv z nemocnic, dostanu se k obrazové dokumentaci a k řadě dat jakéhokoliv pacienta v České republice, aniž by to ten pacient věděl. Byť to podle současné legislativy není možné. A GDPR je jedna z cest, jak tyto věci dát do pořádku, jak věci, které se opravdu vždycky měly dodržovat, například to, že zprávy bych měl posílat pacientovi a ne jen tak náhodně komukoliv kamkoliv, že bych měl informace o osobních datech nemocného posílat opravdu tomu nemocnému, jeho ošetřujícímu doktorovi nebo tomu, komu je ten pacient souhlasí vydat, tak to by konečně mohlo být dodržováno, v řadě věcí by se mohl udělat pořádek. Mě nesmírně mrzí, že my místo abychom toto, nebo naši předchůdci v parlamentu dva tři roky řešili, diskutovali o tom, vymysleli, jak to co nejužitečněji využít pro občany naší republiky, jak co nejužitečněji upravit legislativu, tak teď, ne za pět minut dvanáct, ne pět minut po dvanácté, ale dva roky po dvanácté, teprve zahajujeme diskusi o tom, co je obsahem GDPR, jak to nejlépe implementovat do legislativy, a teprve začneme debatovat ve výborech, co s tím a jak dál. To si myslím, že je smutné a nesvědčí to o řekněme dobré známce pro ty, co tento materiál měli implementovat a připravit.
Děkuji za pozornost.
Místopředseda PSP Vojtěch Filip: Děkuji panu poslanci Válkovi. Nyní pan poslanec Vojtěch Munzar, připraví se pan poslanec Patrik Nacher. Prosím, pane poslanče, máte slovo.
Poslanec Vojtěch Munzar: Děkuji, pane předsedající. Dámy a pánové, vážené kolegyně, vážení kolegové, dovolte mi, abych na chvilku soustředil vaši pozornost ke skutečnosti, že problematiku GDPR již projednával na svém jednání hospodářský výbor, který k tomu kromě jiného přijal následující usnesení, a to už v únoru tohoto roku, že hospodářský výbor Poslanecké sněmovny Parlamentu České republiky vyjadřuje znepokojení nad implementací GDPR v České republice a považuje stav přípravy implementace GDPR za nedostatečný. My se totiž můžeme oprávněně ptát, jaká byla role předchozí politické reprezentace, předchozí vlády, kdo vůbec o tom jednal, a jednal vůbec někdo, řekněme, na ministerské úrovni v Bruselu kromě úředníků o tom, že by to nemuselo být nařízení, že by to mohla být směrnice. Protože samozřejmě nařízení vstupuje do našeho práva s jinými termíny, s jinými definicemi, tak jak o tom mluvil pan zpravodaj Benda.
Mě fascinuje, že nemáme u tohoto nařízení vyhodnocení dopadů této regulace do podnikatelského prostředí, veřejného sektoru apod. Přijímáme něco pokorně z Bruselu a ani si neuděláme vyhodnocení ekonomických a dalších dopadů. Já jsem přesvědčen o tom, že i když je to nařízení přijaté na bruselské úrovni, tak český stát má i v těchto oprávněných případech znát dopředu dopady podobných regulací na našem území a pro naše občany.
Já bych chtěl navázat na pana poslance Bláhu, který zde mluvil o Podnikatelské radě, která včera při Ministerstvu průmyslu a obchodu projednávala GDPR. Mě zaujalo, že je měsíc do implementace, respektive do platnosti nařízení na našem území, a teď ocituji připomínky a problémy z prezentace Hospodářské komory, mě překvapuje, že podnikatelé ještě dnes říkají, že by uvítali metodické pokyny pro zavedení GDPR. Máme měsíc do platnosti nařízení a stále nemají podnikatelé metodické pokyny!
Druhý bod. Podnikatelé stále nevědí, jaké opatření zavést v souvislosti s GDPR. Informovanost je skutečně mizivá, i když stav se mnohdy zlepšuje, přesto se začalo pozdě. Někteří podnikatelé se stále mylně domnívají, že se na ně GDPR nevztahuje. A podnikatelé si zejména stěžují na drahou administrativu spojenou s GDPR. Podle informací z průzkumu Asociace malých a středních podnikatelů a živnostníků vyplývá, že dvě třetiny malých a středních firem pracují s cizími daty. To znamená, že toto nařízení a aplikační zákony, které tady budeme schvalovat, se budou týkat mimořádného množství podnikatelů. Všichni asi chápeme, že původní ideou nařízení je snaha zabránit, aby se obchodovalo s našimi osobními daty, ale podle mého názoru byla zvolena zase metoda typu kombajnu, která postihuje všechny, i drobné živnostníky, a zvyšuje jim administrativu. (Neustálý hluk v sále.)
Obávám se, abychom při praktické aplikaci nebyli tady v Čechách a na Moravě opět papežštější než papež. Místo toho, abychom v Evropě používali osvětu zejména mezi mladými lidmi o tom, že osobní data jsou cenná a měli bychom k nim takto přistupovat a přirozeně je chránit, místo toho, abychom vedli společnost přirozeně k úctě k osobním informacím toho druhého -
Místopředseda PSP Vojtěch Filip: Pane poslanče, já vás na chvilku přeruším a požádám sněmovnu o klid, abyste mohl v pořádku přednést svůj příspěvek, protože hladina hluku je tady velmi vysoká. Děkuji. Pokračujte, pane poslanče.
Poslanec Vojtěch Munzar: Děkuji, pane předsedající. Tak místo toho, abychom vedli společnost přirozeně k úctě k osobním datům, tak je to nahrazováno, tato osvěta je nahrazována technickými opatřeními, která, obávám se, ve finále mezi lidmi povedou k pejorativnímu přístup k ochraně osobních dat, protože to bude obtěžovat zejména ty malé a drobné podnikatele. Takže se obávám, aby se to neminulo účinkem.
Co s tím? Je to nařízení, které začne brzo platit. Já souhlasím s tezí pana zpravodaje Bendy, že Úřad pro ochranu osobních údajů by měl být primárně ten, který radí podnikatelům, jak naplnit požadavky GDPR, a nikoli ten, který primárně sankcionuje. Z toho druhého přístupu já osobně sdílím obavy, které má také soukromý sektor. Měli bychom hledat všechny možnosti, jak tyto dopady pro další činnost zmírnit.
Ale protože GDPR se týká podnikatelského prostředí, chci navrhnout v podrobné rozpravě, aby návrh zákona byl přikázán k projednání i hospodářskému výboru. Děkuji za pozornost.
Místopředseda PSP Vojtěch Filip: Děkuji panu poslanci Vojtěchu Munzarovi. Nyní se ujme slova pan poslanec Patrik Nacher, připraví se k vystoupení ještě jednou paní poslankyně Kateřina Valachová. Prosím, pane poslanče, máte slovo.
Poslanec Patrik Nacher: Dámy a pánové, vážený pane předsedající, pěkné odpoledne už. Jako eurorealista bych se asi proměnil v euroskeptika. Myslím si, že na začátku byl dobrý záměr. Teď se bavíme o spamech, o tom, jakým způsobem jsme atakováni z různých stran. Na straně druhé se to v důsledku může proměnit ve velké problémy, omezení či ohrožení, dokonce si myslím fungování některých institucí a spolků. Tady můj kolega předřečník mluvil o variantě, nebo o principu kombajn. Já bych použil něco jiného.
Na tom systému samotném mi vadí to nerozlišování mezi institucemi, které mají postavenu svoji činnost na sběru osobních dat od těch ostatních. To jsou právě všichni ti drobní podnikatelé, spolky, prostě všichni, co pracují, sportovní kluby a podobně. Na straně druhé tady v ČR jako vždy vznikají určité mýty, nafukuje se to a toho využívají různí podnikavci, kteří za dvacet třicet tisíc nabízejí svoje školení, a ti ostatní ve strachu si samozřejmě tohleto objednávají. To mně přijde jako klasická kombinace, to znamená, něco se vymyslí v EU, musí se to implementovat. Otázka je, říkám, na začátku byl dobrý záměr, ale ten detail už může poškodit na straně druhé. Často my tím, že chceme být papežštější než sám papež, vystrašíme potom celou společnost.
Já bych se rád věnoval zejména části, která se týká novinářské, umělecké a vědecké činnosti, to jsou paragrafy 16 a 21. Podle mého názoru ten návrh zákona dostatečně nepřináší výjimky z GDPR právě pro novinářskou a zejména akademickou činnost. Vychází z konceptu kazuistických výjimek, to si myslím, že je podstatné, a bohužel nepracuje s testem proporcionality, s čímž české právo pracuje.
Jsem rád, naštěstí tedy GDPR předpokládá právě pro účely pro novinářskou a uměleckou a vědeckou činnost, že každý stát bude mít nějaké výjimky, a to z toho důvodu, že každý členský stát má specifické národní formy, jak se popisuje svoboda projevu a právo na šíření informací. V momentě, kdyby to bylo přijato tak, jak je to teď - a já jenom připomínám, že tu kazuistickou formu implementovalo takto jenom Slovensko - v momentě, kdyby se to přijalo tak, jak je to teď, tak předvídám různá omezení, která by v důsledku mohla například omezit natáčení na veřejných místech, při sportovních zápasech, omezení zpravodajství při různých manifestacích, demonstracích, protože by vlastně každý účastník, který by tam byl zabrán, měl právo, byla by povinnost se ho zeptat na jeho souhlas. Ale myslím si, že to jde ještě dál, že osobní údaje z tohoto úhlu pohledu je i řekněme jaksi přístupnost k nějakému náboženství, takže by mohly být omezeny reportáže či dokumenty mapující život národnostních menšin či náboženských obcí. Já potom ve druhém čtení tady uvedu pár vizuálních příkladů, když se mi to podaří.
Proto si dovoluji v této rozpravě navrhnout, aby tento zákon byl přikázán i do volebního výboru, abychom tam všechny tyhle věci mohli probrat. Děkuji vám za pozornost.
Místopředseda PSP Vojtěch Filip: Děkuji panu poslanci Patriku Nacherovi. Nyní vystoupení paní kolegyně Kateřiny Valachové. Ta je zatím poslední přihlášená do rozpravy. Prosím, paní poslankyně, máte slovo.
Poslankyně Kateřina Valachová: Vážený pane předsedající, vážené kolegyně, vážení kolegové, já bych vás jenom chtěla seznámit se stanoviskem, doporučením stálé komise pro Ústavu ČR k podnětu předsedy Ústavního soudu Pavla Rychetského. Činím tak v tento okamžik jenom proto, že se domnívám, že to je důvod, nebo jeden z dalších důvodů pro to, aby tento návrh zákona nebyl projednáván v takzvaném zkráceném režimu, v takzvané devadesátce.
Stálá komise se seznámila s výhradami Ústavního soudu k této novele a podpořila toto usnesení: Stálá komise nedoporučuje Poslanecké sněmovně schválit změnu zákona o Ústavním soudu v souvislosti s takzvaným provedením směrnice GDPR. Pokládá ji za nepřípustný zásah do kompetencí Ústavního soudu v oblasti kontroly ústavnosti právních norem.
Podotýkám, že stálá komise nemá ambici tento návrh zákona projednávat, nicméně pokládala za nutné se vyjádřit ke stanovisku Ústavního soudu a ohradit se směrem k zásahům do Ústavního soudu tak, jak se usnesla. Děkuji vám za pozornost.
Místopředseda PSP Vojtěch Filip: Děkuji paní poslankyni Kateřině Valachové. Ta byla poslední přihlášená do rozpravy. A já se ptám, kdo se hlásí do rozpravy z místa. Nikoho nevidím, rozpravu končím. Budeme se tedy zabývat závěrečnými slovy. Jestli pan ministr má zájem o závěrečné slovo? Ano? Pan zpravodaj? Nestihne. Tak jestli nemáte zájem zásadně nebo jenom krátce, tak jistě stihneme do půl. Pan zpravodaj.
Poslanec Marek Benda: Já se omlouvám, já se přihlásím. Pan ministr má zájem o závěrečné slovo, těch věcí tady zaznělo hodně a chtěl na ně nějakým způsobem reagovat. Návrhů bude vícero a stejně máme ještě ten doprovodný zákon. Podle mého názoru v tuto chvíli máme jedinou možnost, a to rozhodnout se hned, jestli pokračujeme odpoledne. Proto jsem šel za předkladatelem dalšího návrhu zákona panem Václavem Klausem mladším, který se teď domlouvá s ministrem školství, jestli by byla ochota, že bychom přerušili tento bod do začátku po poledni, a tím pádem bychom posunuli školský zákon řekněme o půl hodiny a dodělali bychom to. Jestli tady pan ministr může být odpoledne, anebo to uděláme po školském zákoně.
Místopředseda PSP Vojtěch Filip: Dobře, já rozumím tomu. Já rozumím tomu, že za tři minuty asi pravděpodobně by se pan ministr nevypořádal s připomínkami z diskuse, byla široká.
Máme tady procedurální návrh, který ovšem z pohledu jednacího řádu musíme nechat hlasovat, protože na 14.30 hodin je školský zákon. To znamená, je varianta, že bychom tímto přerušeným bodem pokračovali po 14.30 a po skončení tohoto bodu a po bodu 38 bychom pokračovali školským zákonem. Jestli nic nenamítáte, musíme dát hlasovat dvakrát. Za prvé, že je tady situace, kdy je možné v období mimo 9.00 až 9.30 hodin hlasovat o změně pořadu schůze. A když s tím budete souhlasit jako Poslanecká sněmovna, tak tento návrh nechám odhlasovat.
Pokud nikdo nic nenamítá proti postupu předsedajícího, nechám nejdříve hlasovat, že nastaly podmínky, kdy je možné změnit pořad schůze i mimo dohodnutý čas podle jednacího řádu.
Rozhodneme v hlasování číslo 87, které jsem zahájil, a ptám se, kdo je pro to, abychom se vyslovili pro takovou podmínku. Kdo je proti? Děkuji vám.
Hlasování pořadové číslo 87, z přítomných 170 pro 153, proti nikdo. Poslanecká sněmovna souhlasí s tím, že nastala podmínka, kdy je možné změnit pořad schůze s hlasováním v průběhu projednávání.
Procedurálně tedy navrhuji na základě návrhu zpravodaje k tomuto tisku budeme hlasovat o tom, že tento bod přerušíme a budeme pokračovat ve 14.30 a ten pevně zařazený bod, školský zákon, bude po bodech 37 a 38.
Rozhodneme v hlasování číslo 88, které jsem zahájil, a ptám se, kdo je pro tento procedurální postup. Kdo je proti? Děkuji vám.
Hlasování pořadové číslo 88, z přítomných 173 pro 158, proti nikdo. Změnili jsme tedy pořad schůze tak, že přerušujeme bod 37 a bod 37 a 38 dokončíme ve 14.30, a poté tedy budeme dál postupovat podle schváleného pořadu schůze školským zákonem. Přerušuji bod číslo 37.
Je 12.30 a budeme se tedy zabývat podle schváleného pořadu schůze volebními body. Pan předseda volební komise je přítomen, takže ho mohu pozvat k pultu, abychom začali jednotlivé volební body. Předseda volební komise Martin Kolovratník. Máte slovo, pane předsedo.
Poslanec Martin Kolovratník: Děkuji za slovo. Přeji dobré odpoledne, vážení členové vlády, kolegyně a kolegové. Jsou připraveny v tomto bloku volebních bodů celkem čtyři body a tentokrát ani jeden z nich nebude aklamací, všechny budeme rozhodovat tajnou volbou ve Státních aktech.
První bod je
Následující část projednávání bodu pořadu schůze
Aktualizováno 1. 9. 2020 v 16:47.