Vláda promrhala čas k adaptaci nařízení GDPR. Hrozí sankce v desítkách milionů eur, varuje senátor z ODS

Miloš Vystrčil
Miloš Vystrčil

Statisíce podnikatelů a úřadů se od konce května budou muset řídit novou unijní legislativou o ochraně osobních údajů, která je známá pod zkratkou GDPR. „Byly dva roky na přípravu, ale vláda a ministerstvo vnitra tuto dobu nevyužily až promrhaly. Dnes tak dochází k obchodu se strachem, kdy lidé nevědí, co je přesně čeká a jak bude nařízení aplikováno,“ kritizuje senátor Miloš Vystrčil z ODS.

Ministr vnitra v demisi Lubomír Metnar ale uklidňuje, že GDPR neznamená žádnou revoluční změnu oproti dosud platnému zákonu o ochraně osobních údajů. Pokud ho tedy dodržují, v zásadě zároveň naplňují i povinnosti z nového nařízení.

Vystrčil ovšem varuje, že pokud nebude včas přijat prováděcí zákon, začne platit přímo unijní nařízení, které například zavádí sankce ve výši až 20 milionů eur. Podle Vystrčila by je navíc ukládaly evropské orgány, u nichž není jasné, jak budou rozhodovat.


Nejhorší pro podnikatele a instituce je nejistota. A v té se nyní nacházíme.Miloš Vystrčil

Prováděcí zákon umožňuje upravovat výši sankcí. „Navrhujeme, aby sankce byly pro podnikatele minimální, případně s přechodným obdobím, a u veřejných subjektů nulové,“ uvádí senátor.

Neznamená to ale, že by snad veřejné subjekty nebyly kontrolovány nebo nemusely provádět nápravná opatření, která jsou často velmi nákladná. Jde prý o to, aby stát neplatil pokutu státu.

Nařízení také obsahuje pojmy, které české právo nezná, například veřejný subjekt. V praxi by to mohlo podle Vystrčila znamenat, že malá obecní knihovna bude muset mít tzv. pověřence, tedy osobu odpovědnou za ochranu osobních údajů členů. Po přijetí prováděcího zákona by ale tato povinnost opět odpadla.

Podle ředitele správní sekce Úřadu pro ochranu osobních údajů (ÚOOÚ) Josefa Prokeše nařízení GDPR potřebujeme a na jeho přípravě se Česká republika podílela. „Současná panika napříč společností je nedůvodná,“ zdůrazňuje.


Čelíme negativní kampani pod heslem vystrašit a vyfakturovat.Josef Prokeš

Prokeš odmítá Vystrčilovo tvrzení, že sankce za porušení GDPR budou ukládat evropské orgány, tato kompetence prý zůstává českému Úřadu pro ochranu osobních údajů, a to i pokud by začalo platit obecné nařízení bez prováděcího zákona.

V platnosti prý zůstávají i zásady správního trestání, v prvé řadě tedy nikdy nejde o trest samotný, ale o zajištění nápravy. Rozhodnutí ÚOOÚ navíc podléhá soudnímu přezkumu. „Platí také, že pokuty nemají být likvidační. Nelze tedy říci, že by hrozily velké pokuty srovnatelné se západní Evropou,“ uklidňuje Prokeš.

Podnikatelům doporučuje, aby nepodléhaly reklamě a mediální panice, a pokud mají dotaz k novým pravidlům o ochraně osobních údajů, mají se obrátit na webové stránky ÚOOÚ, případně jednotlivých ministerstev.