Zkratka GDPR se v byznysovém světě rychle stává jednou z nejpoužívanějších. Celá řada subjektů si přesto jeho důležitost nechce připustit a přípravné práce odkládá. To je evidentní i z dlouho očekávaného návrhu českého zákona, který na GDPR reaguje a nahradí současnou českou úpravu obsaženou v zákoně o ochraně osobních údajů z roku 2000.
Text návrhu zveřejnilo ministerstvo vnitra na konci srpna, nyní jej čeká meziresortní připomínkové řízení a dlouhá cesta legislativním procesem, která kvůli parlamentním a prezidentským volbám může skončit i daleko po účinnosti GDPR.
Většina ustanovení návrhu ve skutečnosti nereaguje na GDPR, ale vtěluje do českého právního řádu související směrnici o zpracování osobních údajů při vyšetřování trestných činů a reguluje zpracování údajů při zajišťování obrany a bezpečnosti České republiky. Když pomineme úpravu přestupků a úpravu postavení českého Úřadu pro ochranu osobních údajů, zbude maximálně 15 paragrafů, které jsou přímo relevantní z pohledu GDPR.
Pro české podnikatele i veřejnou správu je určitě dobrou zprávou, že návrh zákona režim GDPR dále nezpřísňuje − nestanoví například další případy povinného jmenování pověřence nebo povinných konzultací s úřadem ani nedává neziskovým organizacím právo podávat žaloby na náhradu škody, či dokonce hromadné stížnosti a žaloby.
Návrh se naopak snaží pozici českých správců a zpracovatelů osobních údajů usnadnit, a to zejména v oblastech zpracování osobních údajů veřejnou správou, ve veřejném zájmu, případně na základě zákona. V tomto směru návrh upravuje široké výjimky pro zpracování údajů ke kompatibilním účelům, zavádí široké možnosti omezit práva subjektů údajů a stanoví možnost informovat subjekty údajů zveřejněním informací na internetu. Upravuje i definici veřejného subjektu, který musí vždy jmenovat pověřence.
Trochu kontroverzní úpravou je pak omezení maximální pokuty pro orgány veřejné moci a veřejné subjekty na 10 milionů korun. Na jednu stranu nedává příliš smysl přelévat prostředky z rozpočtu jednoho orgánu veřejné moci do druhého, na straně druhé by ale takovou úpravou veřejná správa přišla o hlavní motivaci pro zajištění souladu s požadavky nařízení. A měřilo by se jí jiným metrem než soukromým subjektům.
Řada ustanovení návrhu bude ještě vyžadovat zpřesnění a dopracování. Nicméně již nyní je jasné, že výhody z těch několika málo navržených úprav bude mít hlavně veřejná správa a že tato úprava v každém případě z režimu GDPR nikoho nevyjímá (ostatně tak činit ani nemůže). Čeští správci a zpracovatelé osobních údajů tak nemají důvod dále vyčkávat − potvrzuje se, že český stát za ně GDPR nevyřeší.