(15.20 hodin)
(pokračuje Martin Kolovratník)
Ten problém zkusím velmi stručně ilustrovat na jednom příkladu, který se opravdu stal. Úřad pro ochranu osobních údajů posuzoval obchodní případ, nějakou aktivitu společnosti, která sídlí v České republice. Objednala si rozesílku obchodních sdělení v zahraničí u jiné společnosti. Byla to shodou okolností společnost z Ukrajiny. Je to příklad z loňského roku, takže nijak nesouvisí s tím válečným konfliktem. V smlouvě i v komunikaci, kterou pak ta česká společnost, ten objednatel, prokázala, opravdu chtěli zajistit, aby rozesílání bylo prováděno v souladu s českými právními předpisy, ale bohužel i tak došlo při rozesílání, při té aplikaci, realizaci, k aktivitám, které byly v rozporu se zákonem. Byl na to dán podnět a Úřad pro ochranu osobních údajů právě tohle posuzoval. Objednatel si v smlouvě s tím faktickým rozesílatelem sjednal, že rozesílatel ručí za zákonnost posílání obchodních sdělení, že tedy dává tu odpovědnost na něj, a v okamžiku, kdy se dozvěděl, že došlo k pochybení, tak na to i poukazoval, požadoval po tom svém dodavateli, aby to napravil.
Přesto ale, a to je gros toho, co chci povědět, následně podle názoru jak tedy Úřadu pro ochranu osobních údajů, tak i podle správního soudu první instance, to bylo málo - ten, kdo tohle chtěl zařídit a udělat, tak toho podle výkladu soudu zkrátka udělal málo a nekonal tak, jak by měl. Bohužel ani dozorový úřad, ani soud ale nenaznačily, jaká opatření by měl udělat. Neřekly v tom výkladu nebo ve zdůvodnění odsouzení, toho rozsudku, co by měl udělat. Jinými slovy řekly, co nepovažují za dostatečné, ale už neřekly, jaké opatření by měl ten, kdo to objednává, do budoucna přijmout. Je to ta výkladová praxe nebo judikát, aby se třeba podle toho mohli zařídit i ostatní.
A tohle je problém, protože pokud se o tu problematiku trochu zajímáte a dáte si pak otázku, jestli můžete dostat pokutu za rozesílání spamu i za porušení GDPR zároveň, tak se v tuto chvíli zdá, že můžete, že se ty zákony opravdu překrývají. U GDPR připomenu, že úřady, instituce a i soudy pracují se zákonem č. 250/2016 o odpovědnosti za přestupky. A jen pro vaši představu, vy, kteří nejste třeba tak v detailu, tak u zasílání nevyžádaných obchodních sdělení podle současné úpravy, nebo v uvozovkách našeho nebo teď projednávaného zákona, hrozí pokuta až 10 milionů korun, ale pozor, pokud budete posuzováni podle porušení GDPR a nedej bože zároveň, tak tam jsou ty pokuty mnohem vyšší, a to násobně. Ta pokuta může být až do výše 20 milionů eur nebo do výše 4 % ročního obratu skupiny podniku. Ty pokuty jsou opravdu ohromné, velmi velké, velmi vysoké a hrozí podle výkladové praxe, že by mohly být aplikovány.
Sečteno a podtrženo, ať na to upozorním opravdu věcně, děje se to, že vztah regulace toho elektronického zasílání obchodních sdělení a vedle toho pravidel pro zpracování osobních údajů není jednoznačný, není výkladově jednoznačný a nejsou na to dány judikáty. Jak jsem řekl, dozor nad oběma překrývajícími se oblastmi vykonává Úřad pro ochranu osobních údajů, ale organizacím reálně hrozí, že budou postiženy za chyby svého dodavatele, za nějakou firmu, která to pro ně dělá, jak jsem ilustroval na tom jednom anonymním stručném ilustračním příkladu, anebo že by jim při kontrole týkající se zasílání obchodních sdělení v případě zjištění souvisejícího s GDPR mohla být uložena výrazně vyšší pokuta. Je to zkrátka pro firmy a pro podnikatele právní nejistota.
Takže jenom v dobrém chci upozornit na to, že existuje ten problém, ta výkladová nejasnost, a myslím si, že když je ten zákon otevřen, a to je apel na pana předkladatele, na pana ministra nebo zpravodaje, až s tím budete pracovat ve výborech, tak zkusit to uchopit i tady, zkusit se na to podívat formou nějakého pozměňovacího návrhu. Upřímně říkám, že nevím jakého, nejsem až tolik v detailu, ale možná ty z vás, kteří se tím zabýváte více, něco třeba napadne. Děkuji za pozornost.
Předsedkyně PSP Markéta Pekarová Adamová: Také děkuji. Nyní se tedy hlásí pan poslanec Marek Novák. Prosím.
Poslanec Marek Novák: Děkuji za slovo, paní předsedající. Jak jsem již předeslal, tak se vyjádřím k návrhu na projednávání dle § 90 a vlastně proč to veto.
Vzhledem k tomu, že se jedná o implementaci nařízení a Evropská unie ponechává České republice poměrně omezený prostor pro požadované legislativní úpravy, konkrétně se vlastně jedná o určení orgánů dozoru, kde je navrhován Český telekomunikační úřad, a dodržování povinností stanovených nařízením a také řešení postihů jako takových, tak je potřeba si říci, jaké postihy, jak je škálovat. My jsme tady v tomto návrhu slyšeli vlastně jenom jednu škálu - pokuta až 10 milionů korun. To znamená, že Český telekomunikační úřad vlastně nemá žádné škálování a sám na to upozorňuje, že vlastně by následně byl víceméně nucen téměř za každý přestupek udělovat maximální výši pokut.
A třebaže je ten obsah sněmovního tisku poměrně stručný, my bychom ho skutečně neměli jen tak bez povšimnutí přijímat bez toho, abychom nechali proběhnout diskusi. Jak jste slyšeli kolegu Kolovratníka, který vám přednesl další rozměr, který může nastat vzhledem k GDPR, je skutečně potřeba ten zákon doplnit. Neříkám opravit, říkám doplnit a dá se říci zkonkretizovat. Ono by si právě zejména to nastavení hranic pokut za přestupky vůči tomuto nařízení skutečně zasloužilo intenzivní debatu, aby tyto postihy byly účinné a odrazující, ale též, jak řekl v úvodním slově pan ministr, přiměřené. Nicméně přiměřenost v tom návrhu víceméně předpokládána není, je tam označena pouze slovem.
Jak upozorňují některé významné organizace, které se této oblasti věnují, navrhovaná výše pokut poslední podmínku přiměřenosti skutečně nesplňuje. Pro ilustraci, za přestupek dle § 11 odst. 3 bodu q) podnikateli hrozí pokuta 10 milionů, pokud nezpřístupní podnikatelskému uživateli informace o fungování a efektivnosti mediace týkající se jeho činnosti. Absurdita navrhované výše pokuty pak vynikne například ve srovnání se shodnou horní hranicí pokuty pro provozovatele jaderné elektrárny, který při provozu jaderného reaktoru nesplní všechny zákonné povinnosti při výměně jaderného paliva, či v případě porušení povinností v oblasti podnikání na kapitálových trzích o dohledu v oblasti kapitálového trhu. Skutečně ta pokuta je stejná - 10 milionů korun.
Na problematiku vysokého rozpětí bez škálování dle reálné škodlivosti přestupku upozorňoval v rámci připomínkového řízení právě i dotčený Český telekomunikační úřad, který má vykonávat podle návrhu zákona dozor a má následně o těchto přestupcích rozhodovat. Nabízí se tedy přeřazení přestupku v § 11 odst. 5 navrhovaného textu z bodu c) do bodu b) - což už si klidně, pane ministře, můžete psát, protože takhle může vypadat ten pozměňovací návrh - tím dojde ke snížení tohoto širokého rozsahu možné výše pokut. A jak bylo zmíněno, implementační doba uplynula.
Ano, tlačí nás čas. Já jako poslanec, ale i jako zpravodaj si to uvědomuji. Budu velmi rád a intenzivně spolupracovat s ministerstvem na tom, abychom narovnali všechny nechci říkat nedostatky, ale potřebné změny, které ten návrh potřebuje. A tímto vlastně i zdůvodňuji to veto, které zde padlo na ten § 90. Já vám děkuji za pozornost. ***