S blížící se potřebou přijetí zákona implementujícího konečně do českého právního řádu obecné nařízení o ochraně osobních údajů (GDPR), byl původně několika poslanci vznesen návrh, jehož cílem bylo osvobodit veřejné subjekty od finančních pokut za porušení nařízení GDPR. Tento samostatný návrh předložila skupina poslanců napříč politickým spektrem. Návrhu se nepodařilo sehnat potřebnou podporu pro jeho průchod již v prvním čtení, a došlo tak k jeho zpětvzetí. Důvodem pro stažení ještě před prvním čtením byla mimo jiné skutečnost, že mezitím vznikl vládní návrh jako součást celé prováděcí normy ke GDPR (kterou se trestuhodně nepodařilo zavést před nabytím účinnosti GDPR v květnu loňského roku). Ve sněmovně se nakonec hlasovaly tři verze:
- úplná výjimka pro všechny veřejné subjekty,
- omezené pokuty pro celou veřejnou správu a kraje, obce a jimi zřízené subjekty,
- a pouze omezené sankce pro obce kategorie I. a II., malé obce, a jimi zřízené subjekty.
Sněmovnou nakonec prošla varianta třetí, tedy pro veřejné subjekty nejpřísněji, podle kterého budou pouze zastropované pokuty do výše 5 000 Kč pro obce, která nevykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolným svazkem takových obcí, příspěvkovou organizací takové obce nebo právnickou osobou vykonávající činnost školy nebo školského zařízení zřizovanou obcí nebo dobrovolným svazkem obcí. Ovšem lze předpokládat vrácení zákona senátem zpět, jelikož v senátu sedí zastánců (a představitelů) veřejné správy ještě více než ve sněmovně. Formálně nebylo hlasování ještě ukončeno a případnou revizi ve prospěch veřejných subjektů tak ještě nelze vyloučit.
Cílem původního „opozičního“ návrhu mělo být, jak se dočteme v důvodové zprávě, upuštění od uložení finančního postihu ze strany Úřadu na ochranu osobních údajů v případě, kdy je porušující stranou veřejný subjekt. Aktivovat takovou úlevu nařízení GDPR jednotlivým členským státům umožňuje, když jim dává možnost stanovit si pravidla, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě. Cílem předkladatelů pak bylo nejen ulevit veřejným subjektům od případných pokut, ale zároveň rozšířit pro účely nařízení GDPR samotný pojem „veřejný subjekt“ i o veřejné instituce ve smyslu zákona o svobodném přístupu k informacím. Pojem „veřejná instituce“ je terčem dohad, a jednotlivé veřejné subjekty se domáhají u Ústavního soudu (pdf) výkladu, zdali pod daný pojem spadají. Pro zajímavost – tento pojem byl do zákona vtělen po tzv. „krizi v České televizi“, aby i na Českou televizi dopadla povinnost zveřejňovat informace podle zákona.
Rozhodující pro stanovení, zda je subjekt veřejnou institucí, je pak soubor mnoha faktorů a stanovení převažujícího prvku mezi nimi (způsob založení, míra ovládání státem, jejich účel apod.). Teoreticky pak může být veřejnou institucí i státní podnik, nikoliv však automaticky vždy i obchodní společnost se státní účastí. Dalším rozšířením pojmu „veřejný subjekt“ (vedle rozšíření o veřejné instituce) pak mělo být rozšíření o neziskové subjekty, jejichž statutární cíle jsou ve veřejném zájmu. Veřejný zájem je dalším vágním právním pojmem, jež je vždy třeba vykládat v souvislostech a individuálně. V dnešní době může být za veřejný zájem považováno kupř. provozování veřejného (z veřejných prostředků hrazeného) připojení k síti internet, což je odvětví, na které GDPR dopadá velmi výrazně, a stát, resp. veřejné subjekty, v něm „podnikají“ čím dál častěji.
Samotný mechanismus vynětí povinnosti nově definovaných veřejných subjektů (rozšířených o veřejné instituce a neziskovky) stanoví jasnou povinnost, že Úřad pro ochranu osobních údajů musí zcela upustit od uložení pokuty. Předkladatelé tak využili autonomii k omezení pokut pro veřejné subjekty na maximum, tedy k absolutnímu osvobození. Současná právní úprava již tak umožňuje od udělení pokut upustit v případě, kdy dojde k nápravě protiprávního stavu v souladu s uloženým opatřením nebo bezprostředně poté, kdy bylo zjištěno porušení povinnosti.
Předkladatelé opírají svou snahu o skutečnost, že nařízení GDPR dopadá i na ty nejmenší obce, neziskovky a podnikatele, přitom o osvobození malých podnikatelů od povinnosti hradit pokuty nemůže být řeč, jelikož to nařízení GDPR neumožňuje. Dochází tak k elementární nespravedlnosti. Veřejné subjekty již vydaly na právní analýzy miliardy korun z veřejných prostředků, z čehož lze dovozovat, že si nebyly jisti souladem svého jednání s nařízením GDPR, a hrozba jeho porušování je tedy i podle nich samotný vysoce pravděpodobná. Hrozba pokuty je pak adekvátním nástrojem, jak donutit veřejné subjekty chránit osobní údajů občanů, když už byla tato regulace přijata. Je paradoxní, že subjekty, z nichž některým musí občan předávat své osobní údaje povinně, by požívaly výhod oproti subjektům využívajících osobní údaje získané na základě dobrovolnosti. Dle mého názoru by měli být lidé chránění především před těmi, kteří jim vládnou. A až druhé řadě, pokud vůbec, před podnikateli.
