ČEZ a neziskovky bez sankcí za porušení GDPR?
Skupina poslanců v čele s Marianem Jurečkou nedávno předložila návrh novely zákona o ochraně osobních údajů. Poslanci se postavili do role ochránců veřejných institucí a neziskových organizací před odstrašujícími sankcemi, které zavádí GDPR (obecné nařízení o ochraně osobních údajů). Cílem předložené novely je vyloučení uvedených subjektů ze sankční pravomoci Úřadu pro ochranu osobních údajů.
Autoři novely tímto návrhem chtějí využít možnost stanovit pravidla pro ukládání správních pokut orgánům veřejné moci, kterou členským státům GDPR dává. GDPR tímto reaguje na právní prostředí některých členských států, jejichž ústavní právo přímo zakazuje sankcionovat orgány veřejné moci. Využití této možnosti v českém prostředí je však v rozporu s úmyslem evropských zákonodárců. Navíc navrhovaná novela rozšiřuje pojem veřejný subjekt na neziskové organizace, čímž se dopouští extenzivního výkladu evropských norem. Interpretace těchto norem přitom přísluší pouze Soudnímu dvoru Evropské unie, aby byla zajištěna jednotná aplikace v rámci všech členských států.
Předložená novela navíc k adaptaci GDPR přistupuje velmi nekoncepčně, protože se omezuje na vynětí některých institucí ze sankční působnosti GDPR. V Poslanecké sněmovně se přitom právě projednávají komplexní adaptační zákony, které mimo jiné mají zrušit stávající zákon o ochraně osobních údajů, jehož novelu poslanci předkládají. Proto se zdá být celý návrh nadbytečný.
Ačkoliv navrhovatelé zdůrazňují, že vynětí ulehčí malým obcím a neziskovým organizacím, textace je tak široká, že se sankcí nemusí obávat ani ministerstva a státní instituce, které ve svých informačních systémech zpracovávají velké množství osobních údajů. Dále návrh ze sankčního mechanismu vyjímá veřejné instituce, kterými jsou dle stanoviska vlády například i městské dopravní podniky či podnikatelské subjekty typu ČEZ. Takto široce pojatá exempce se zjevně příčí zásadě rovnosti před zákonem a staví některé subjekty do neopodstatněně výhodnější pozice. Navrhovatelé zjevně zamýšleli, alespoň v případě „neziskovek“, ulevit subjektům, pro které by případné vysoké sankce byly příliš zatěžující. Zvolená forma provedení výjimky je ale s ohledem na výše uvedené důvody přinejmenším nevhodná.
Neziskový sektor ani jiné subjekty se však nepřiměřeně vysokých sankcí nemusejí bát ani bez této novely. Žádná pokuta nesmí být pro konkrétní subjekt, v souladu s principy správního trestání, likvidační a měla by vždy zohledňovat závažnost porušení povinností uložených GDPR.
Navrhovaná novela je nekoncepční a zřejmě též v rozporu s ústavním principem rovnosti před zákonem. Nadto používá neurčité a zavádějící právní pojmy. Obdobné stanovisko k uvedené novele zaujala současná vláda bez důvěry, která vyjádřila svůj nesouhlas s jejím přijetím. Doporučujeme tedy primárně sledovat vývoj vládního návrhu adaptačních zákonů. Ty budou v průběhu května projednávány ve výborech Poslanecké sněmovny a následně zařazeny na jednání pléna. V případě jejich přijetí se uvedená novela stane bezpředmětnou, neboť zákon o ochraně osobních údajů má být uvedenými adaptačními zákony zrušen.