Ze života GDPR: Cesta Sněmovnou

25. 06. 2018 Ondřej Profant


O GDPR už slyšel snad každý a každý druhý odpřísáhne, že je to převtělený ďábel. Není to ale až tak úplně pravda. Samotná směrnice žádný horor není, o tom můžeme mluvit až ve spojení s její implementací do české legislativy naší vládou. A protože to byly někdy skutečně psí kusy, Piráti to ve Sněmovně bedlivě sledovali a přešlapy hlídali a napravovali. Jak vypadala cesta GDPR Sněmovnou a kdy a jak Piráti zasahovali? Pojďme se blíže podívat.

Hned na začátku je dobré si uvědomit, že GDPR posiluje práva jednotlivců proti neoprávněnému zpracování osobních údajů. Nejedná se tedy o euronesmysl, nýbrž o posílení moderních práv každého z nás v digitálním prostředí. To je hezky shrnuto v následujícím infovideu od Evropského parlamentu.

Nařízení GDPR má skoro 90 stran a celý dokument hovoří převážně obecně. Jeho transformace do českého legislativního řádu samozřejmě není nic snadného, není to ale nemožné. Primárně se implementuje v zákonu 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů (sněmovní tisk 138), nicméně vedle toho je zde sněmovní tisk 139, který dále novelizuje 36 stávajících zákonů.

Prostor pro přílepky

Nad běžnými zákony se Sněmovna schází třikrát v rámci různých čtení s pevně daným významem. Mezi těmito projednáními jsou zákonem stanovené časové odstupy. Což je ochrana proti unáhleným a neprodiskutovaným změnám legislativy. Osobně to vnímám hlavně jako prostor pro angažování veřejnosti. Není tedy vůbec jednoduché protlačit změnu do některých stávajících zákonů. V momentě, kdy se však zákony “otevřou” kvůli takto významnému zákonu, tak se jedná o 38 lákavých příležitostí pro přílepky. A jak později uvidíme, je jich celá řada.

Obchod se strachem

Implementační zákony vznikaly na Ministerstvu vnitra velmi dlouho a prošly řadou změn - řada ustanovení byla předmětem složitých jednání v rámci státní správy, řadu změn provedla legislativní rada vlády i vláda samotná. Sněmovna dostala navržené znění zákonů až na poslední chvíli 28. 3. 2018. V situaci, kdy už byl plně rozvinut obchod se strachem. Tedy situace, kdy agresivní firmy straší důsledky GDPR a požadují peníze za zázračná řešení. Přitom například samosprávy dostávají jen velmi symbolické pokuty a ÚOOÚ se nechal slyšet, že se pokusí řešit problémy primárně domluvou. Zároveň současný zákon 101 hovoří velmi podobně jako nařízení. Zcela nových věcí je velmi málo. Problém však je, že současný zákon zjevně nebyl dodržován.

Pozměňovací návrhy

Pozměňovacích návrhů se sešla celá řada. Ještě další mohou být představeny během druhého čtení. O jejich úspěšnosti rozhodne až třetí čtení, kdy se všechny představené návrhy ze čtení druhého hlasují a následně se hlasuje zákon jako celek.

Pirátské pozměňovací návrhy

Snížení “internetové plnoletosti” na 13 let: Dostatek informací a možnost svobodné volby vede k rozvoji kritického myšlení. Používání internetu tomu napomáhá, proto navrhujeme nejnižší možnou hranici internetové plnoletosti, tj. od 13 let. Ministerstvo vnitra původně též navrhlo 13 let, ale v poslední chvíli na vládě byla tato hranice zvýšena na 15 let. Piráti toto považuji za zcela nepřiměřené. Domníváme se, že to vede ke zbytečnému omezování mladistvých a administrativní zátěži pro podnikatele. Pozměňovací návrh 579 navrhuje Tomáš Martínek, ale na Výboru pro veřejnou správu a regionální rozvoj byli proti poslanci za ANO, KSČM a návrh neprošel jako návrh výborový. Více se můžete dočíst v článku

Stop změnám v infozákonu: Návrh ministerstva omezuje zákon 106. Piráti obratem navrhli (PN 709) zrušení těchto omezení a ponechání pouze jediné potřebné věty. Pirátský návrh však nemá ve Sněmovně podporu. Proto jsme dále připravili návrh kompromisní (PN 971), který řeší hlavní motivace MVČR k restrikcím v zákoně 106. Avšak tyto restrikce činí výrazně citlivějším způsobem. A to tak, že vylučuje “bezpečnostní opatření” a “výkon zahraniční služby” z poskytovaných informací. Oba dva pojmy jsou již existující a pokrývají šedou zónu mezi vysloveně utajovanými infromacemi a informacemi volně šiřitelnými.

Rozpoznávání obličejů bez rizika: Mezi novelizovanými zákony je i zákon o policii, kde se dává policii přístup k fotkám z dokladů (občanky, řidičáky, pasy, …). To je samozřejmě ohromný zásah do soukromí, který se nám nelíbí. Avšak zas nechceme policii znemožnit plnit její poslání. Naštěstí jsme našli kompromisní technické řešení, které je přesně v duchu článku 25 GDPR “privacy by design”. Chceme, aby úřady policii předávaly jen DB již předpracovaných markantů (signifikatních rysů obličeje z dané fotografie). V této DB pak policie může najít shodu a vyžádat si jen ty fotografie, které opravdu potřebuje. Jedná se PN 967.

Infozákon bez obstrukcí: Jakub Michálek navrhuje větší úpravu infozákona, která by ÚOOÚ svěřila řešení sporů a umožnila vydat “informační příkaz”. Řešily by se tím situace, kdy odvolací místo sice rozhodne, že důvod zamítnutí žádosti je neopodstatněný, ale dotazovaný úřad si vymýšlí stále další neopodstatněné důvody. Tento ping pong může mít i velmi mnoho iterací. Setkali jsme se i s více jak deseti koly odvolání.

Konsensuální pozměňovací návrhy

Samo ministerstvo vnitra, které předpisy připravovalo, ihned přiznalo, že ve spoustě věcí jsou možné a žádoucí změny. Z těchto změn vznikly konsenzuální pozměňovací návrhy, které obvykle předkládají koaliční poslanci. Nicméně na jejich znění se podíleli i další. Například Piráti či zpravodaj Marek Benda (ODS).

Novinářská výjimka: za Piráty vedl diskusi na Volebním výboru Tomáš Martínek, který s dalšími členy výboru vyjednával s novináři a ministerstvem na konečné úpravě. Velmi liberálně a silně zaručuje práva pro novináře. Přijaté usnesení je sněmovní tisk 138/9.

Výjimky pro vědecký a historický výzkum a statistiku: Nařízení samo umožňuje zpracování údajů pro tyto účely. Výjimka tedy pouze obsahuje seznam opatření, jejichž zavedení by vědci měli zvážit v rámci své činnosti, například anonymizace, šifrování, omezení přístupu jen pro určité osoby (nejde však o výčet úplný, ani nejde o opatření povinná). Povinné opatření je jen jedno: Pokud se nakládá s citlivými údaji (zdravotní stav, sexuální orientace apod.) a je-li to vzhledem k povaze výzkumu možné, je nutné data anonymizovat. Výjimka dále omezuje přístup k údajům, právo na opravu či na omezení zpracování, protože plné uplatňování těchto práv není v podmínkách výzkumu možné.

Problematické pozměňovací návrhy

Jak už jsem zmínil v předchozím textu, otevření tolika zákonů najednou svádí k mnoha přílepkům. Vyjmenujeme si jen vybrané.

Samosprávy bez odpovědnosti: nejproblematičtější je návrh poslankyně Jany Vildumetzové (ANO), který de facto likviduje pokuty pro všechny samosprávy a jejich příspěvkové organizace. Pokutu nastavuje na směšných 10 000 Kč. Což samozřejmě pro kraje či hl. M. Prahu není žádný reálný výdaj. Je pravda, že např. V Rakousku pokuty nemají, ale je také nutné dodat, že tam nemají smíšený model veřejné správy, čili je to opravdu nesrovnatelná situace. Návrh najdeme např. v usnesení Výboru pro veřejnou správu a regionální rozvoj ST 138/8.

Velmi aktivní je poslanec Leo Luzar z KSČM. Ten navrhuje rozdělit novináře na dvě skupiny, přesunout ÚOOÚ do Ostravy a nesmyslnou výjimku pro politické strany. Poslanec Jiří Běhounek z ČSSD zase navrhuje zahrnout k GPDR elektronizaci zdravotnictví (ST 139/5). Karel Rais zas navrhuje výjimku pro VŠ, ke kterým máme de facto totožné výhrady jako k návrhu J. Vildumetzové. Dále navrhuje elektronizaci studijního procesu na VŠ, což je opět jasný přílepek, pro jehož prodiskutování nebude dostatek času.

Další pozměňovací návrhy

Poslanec Marek Benda dále bojuje proti změně struktury ÚOOÚ. Piráti s tím nesouhlasí, protože věříme, že úřad bude v nové organizační struktuře lépe fungovat. Současná místa inspektorů byla dokonce zneužívána pro politické trafiky. Známé jsou případy Miroslava Vlčka (ČSSD) či Jiřiny Rippelové. Benda dále přináší několik drobnějších legislativních vylepšení, se kterými lze souhlasit.