Přesně za 87 dní začne platit nařízení EU o ochraně osobních údajů, takzvané GDPR. V účinnost vstoupí 25. května. Už nyní je ale jasné, že český parlament nestihne přijmout legislativu k GDPR, upozorňuje opozice. Zákon by přitom měl některé povinnosti plynoucí z GDPR upřesnit. Přesto bude nařízení pro firmy i státní správu platné. „Občas se objevuje falešná představa, že dokud není lokální zákon, GDPR se nás netýká. Jenže to není pravda,“ řekl Echo24 partner advokátní kanceláře Havel&Partners Robert Nešpůrek.

Ministerstvo vnitra předložilo návrh zákona o zpracování osobních údajů ke konci ledna vládě. Evropské nařízení GDPR totiž některé jeho aspekty ponechává na úpravě vnitrostátnímu právu členských státu. „V současnosti prochází Legislativní radou vlády,“ uvedl pro Echo24 mluvčí resortu Ondřej Krátoška. Až poté by ho měla projednávat vláda a pak sněmovna.

Že se potřebná legislativa nestihne přijmout, upozornili Piráti i ODS. „Už nyní je zcela jasné, že ČR nestihne schválit potřebnou národní legislativu,“ napsali Piráti v tiskové zprávě. „V tuto chvíli je dle mě už jasné, že nestihneme národní legislativu,“ potvrdil deníku Echo24 poslanec a předseda sněmovního Ústavně právního výboru Marek Benda (ODS).

Tím, že Evropská unie řeší povinnost chránit osobní údaje formou nařízení, je toto platné bez ohledu na vnitřní legislativu členských států. Pokud by například nějaký členský stát přijal národní legislativu, jež by byla v rozporu s evropským nařízením o GDPR, mělo by nařízení přednost.

Nařízení EU je závazné

„Skutečnost, že se nestihne související předpis přijmout, nebude mít na GDPR vliv. Jedná se o nařízení EU, které bude přímo závazné. Nedostatečná související národní úprava může vést pouze k drobným nejasnostem, popřípadě k rozporu mezi různými právními předpisy. Z nich však bude mít nařízení GDPR vždy větší právní sílu,“ uvedl pro Echo24 místopředseda představenstva Asociace malých a středních podniků a živnostníků ČR (AMSP ČR ) Zdeněk Tomíček.

Když zákonodárci nestihnou zákon přijmout, nese to s sebou řadu nejasností pro ty, kterým přibudou povinnosti, i pro dohledové instituce. Potíže to může znamenat pro Úřad pro ochranu osobních údajů (ÚOOÚ), jenž bude mít na starosti kontroly plnění povinností GDPR. „Místní implementační zákon k GDPR bude zřejmě důležitý pro vymáhání jednotného evropského nařízení. Je možné, že Úřad pro ochranu osobních údajů bude dost omezen v tom, že nebude moci ukládat sankce podle GDPR, dokud zákon nenabude účinnosti. To ale neznamená, že za porušení GDPR v tomto mezidobí nemůže být uložena sankce později,“ uvedl Nešpůrek.

Podle manažera pro legislativu AMSP ČR Věroslava Sobotky by měl národní zákon především usnadnit orientaci v celé problematice, protože je přehlednější než rozsáhlé nařízení GDPR. Nepřijetí zákona včas dle Sobotky může paradoxně „přispět“ správcům osobních údajů, tedy podnikatelům, státním institucím či obcím, „protože zákon měl mimo jiné stanovit kompetence kontrolních orgánů, v našem případě ÚOOÚ,“ uvedl Sobotka.

„Úřad sám se ale rozhodně nestaví do pozice, že by jeho cílem bylo od počátku nějak nadměrně trestat porušení požadavků ochrany osobních údajů v rámci GDPR a vyjádřil se opakovaně v tom smyslu, že bude v prvních měsících činnosti GDPR upřednostňovat doporučení k nápravě zjištěných nedostatků před vyměřováním pokut,“ dodal Sobotka.

Lépe jsou připraveny velké firmy, zjistila Hospodářská komora

Na trhu je stále téměř pětina firem, která GDPR vůbec neřeší, říká právní expertka Hospodářské komory Lucie Plachá. Vyplývá to z Komorového barometru, tedy ankety mezi podnikateli. Ta zjišťuje, jakým problémům budou letos čelit. „Z Komorového barometru 2018 vyplynulo, že o tuto problematiku se zajímá 81 procent dotázaných podnikatelů, nicméně na trhu je stále 19 procent firem, kteří GDPR vůbec neřeší. Co se týká připravenosti českých firem na GDPR, tak ta moc vysoká není, protože 32 procent firem zatím neví, jak má GDPR zavést,“ řekla deníku Echo24 Plachá.

Nejčastějším opatřením, které firmy realizují v souvislosti s GDPR, je úprava vlastních interních procesů zpracování osobních údajů či upravují vnitřní směrnice, dodala Plachá. „Z Komorového barometru dále vyplynulo, že daleko lépe jsou připravené na GDPR velké firmy oproti malým a mikro firmám. Což je dáno dostatkem finančních a personálních prostředků, které mohou velké firmy vyčlenit na implementaci GDPR,“ řekla Plachá.

Evropské nařízení o GDPR, jež bude platit ve všech členských státech EU, nahradí od 25. května v tuzemském právním řádu zákon o ochraně osobních údajů.