Velkým problémem ovšem je, že v této přípravě zaostal ten, od koho by člověk naopak předpokládal významný náskok – naše vláda. Ta svou domácí úlohu splnila s výrazným zpožděním, a tak jsme v Poslanecké sněmovně teprve před několika týdny měli v prvním čtení návrh nového zákona o ochraně osobních údajů. Důsledek je jednoznačný – velká nejistota, možná až panika – a zbytečné náklady.

 

Cílem nařízení známého pod zkratkou GDPR je zajistit, aby výměna informací měla nějaký řád a poskytovala elementární bezpečí. Aby bylo jasné, kde se data pohybují, kdo za ně nese odpovědnost. Pro velké subjekty a veřejné instituce to znamená povinnost zavést nezávislého zmocněnce, který se podepíše pod stanovisko, že je všechno v pořádku a chráněné informace se nepovalují někde ve volně přístupné skříni u vrátnice. Tento obecný cíl má vláda naplnit konkrétním obsahem a navrhnout zákon určující řadu parametrů, na které ono nařízení pamatuje. Ta minulá se ovšem o nic takového ani nepokusila, současná s už zmíněným velkým zpožděním. Proto není přesně jasné, jaké jsou povinnosti správců dat a jak má vypadat jejich splnění! Dokonce ani není stanoveno, kdo je takzvaným veřejným subjektem. Nemohla proto proběhnout ani žádná odpovídající osvěta, takže je většina organizací a institucí vystavena nejistotě, jestli a jak se jich nařízení týká, a jestli jim hrozí riziko oněch mnohamilionových sankcí.

 

Přitom v řadě členských zemí díky včasnému předložení a projednání prováděcího zákona vlády a parlamenty využily možnost zavést různé výjimky pro veřejnou správu nebo třeba při zpracování osobních údajů pro novinářské, vědecké nebo literární účely. Při projednávání zákona ve výborech se nyní snažíme tyto vládou zanedbané principy do zákona doplnit a negativní dopady celé novinky snížit. Už jsem podal pozměňovací návrh, který by dozorový orgán, tedy Úřad pro ochranu osobních údajů, vedl co nejvíce k tomu, aby vůbec nezahajoval správní řízení pro porušení nařízení o GDPR v případech okrajového porušení nebo v podmínkách, kdy správce dat pochybení odstranil a do budoucna předešel jeho opakování.

 

Jako poslanci tak na poslední chvíli napravujeme, co vláda zanedbala, ale mnoho škod už kvůli jejímu laxnímu přístupu vzniklo. Všemožným nabídkám na školení nebo zavedení vyhovujícího systému nakládání s daty – od poctivých a vážně míněných, až po ty doslova šmejdské – byl v uplynulých měsících vystaven prakticky každý podnikatel, starosta, šéf úřadu nebo firmy. A není divu, že si s nimi naprosto nemohl vědět rady a snadno podlehl panice. Konkrétní případ? Nemocnice se 400 akutními lůžky může podle různých nabídek splnit požadavky nařízení GDPR za 150 tisíc korun, ale také za dva a půl miliónu!

 

Podle čeho se mají odpovědné osoby rozhodnout, zda je těch 150 tisíc správně a 2,5 milionu předraženo, anebo zda je vyšší částka správně a ta nízká je jen zcela nedostatečné pošolíchání, aby se něco udělalo, ale první kontrola přinese mastnou pokutu?

 

A tak spousta lidí, kteří byli tomuto rozhodování vystaveni, raději kývla na tu vyšší nabídku, protože měli pocit, že budou lépe kryti. Jak jinak to lze nazvat, než jako zbytečné utrácení veřejných i soukromých peněz v rozsahu stovek milionů korun? „Šetření“, kterým se tak rád zaklíná Andrej Babiš, si skutečně představuji jinak.