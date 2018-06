Mnohými manažery proklínané evropské nařízení GDPR o ochraně osobních údajů se vůbec netýká institucí EU. Unikli mu i v Evropské komise a europarlamentu, mají totiž od začátku plošnou výjimku. Situaci by měla vyřešit až samostatná legislativa, která pravidla sjednotí, ale její schvalování potrvá měsíce. Na první pohled to vypadá jako pokrytectví, ale Brusel se brání. „Sice to pro nás neplatí, ale dodržujeme to,“ vzkazují euroúředníci.

Nařízení GDPR platí od května pro všechny úřady, instituce i firmy v celé Evropské unii a za jeho nedodržování hrozí pokuta až 20 milionů eur (v přepočtu 518 milionů korun). Za opatření, která mají lépe zajistit ochranu osobních údajů běžných lidí, už větší firmy i úřady zaplatily desítky až stovky tisíc korun. Zvláště menší živnostníci nebo malé rodinné firmy s novou legislativou bojují a mají kvůli ní „vrásky“.

Bruselští úředníci ale mohou zůstat v klidu, protože se jich GDPR vůbec netýká. Legislativa, kterou před dvěma lety schválili europoslanci i členské země unie, totiž obsahuje rozsáhlou výjimku pro všechny instituce EU. Ta je obsažena přímo v samotném textu nařízení a jako zdůvodnění je uvedeno, že ochranu osobních údajů v institucích řeší jiná legislativa.

Překvapení i pro některé úředníky

Konkrétně jde o nařízení z roku 2001, které sice obsahuje řadu pravidel známých z GDPR, ale v některých ohledech jsou opatření zastaralá. Ukázala to například rozsáhlá analýza ochrany osobních dat v institucích EU, kterou na žádost Evropské komise vypracovala auditorská společnost Ernst & Young. Zmiňuje třeba nedostatky v oblasti zabezpečení údajů v rámci telekomunikace nebo vymahatelnosti pravidel.

Zcela mimo GDPR dnes stojí přibližně 60 až 70 evropských úřadů a institucí. Někteří úředníci nebo europoslanci podle informací Blesk Zpráv o tom až doposud neměli ani tušení. Otevřeně to ale přizná jen málokdo. Jednou z výjimek je europoslankyně Kateřina Konečná (KSČM). „Abych pravdu řekla, tak jsem vůbec netušila, že se na instituce GDPR nevztahuje, avšak ve své podstatě mi to dává smysl,“ uvedla.

Chystá se „GDPR“ pro Brusel

Evropská komise přiznává, že současná pravidla pro instituce EU jsou méně přísná, a proto připravila novou legislativu, která má věc napravit. „Komise je odhodlaná dodržovat stejné normy ochrany údajů jako jiné orgány veřejné správy. Proto jsme předložili návrh nařízení o ochraně údajů pro orgány EU, který slaďuje stávající pravidla s novějšími a přísnějšími pravidly,“ uvedla Magdalena Frouzová z českého zastoupení Komise. Opět ale půjde o samostatnou normu „mimo“ GDPR.

O tom, že pro instituce by měla platit stejná opatření, jako pro všechny ostatní, je přesvědčen tak Evropský inspektor ochrany osobních údajů. Právě ten dodržování pravidel bruselských institucí kontroluje, je přesvědčen, že pro instituce by měla platit stejná opatření, jako pro všechny ostatní. „Bylo by nepřijatelné, kdyby Evropská komise a jiné instituce EU nebyly vázány rovnocennými pravidly,“ stojí v loňské zprávě úřadu.

V textu zmíněné zprávy stojí, že úřad v současné době vymáhá po institucích pravidla, která „nedosahují právní síly pravidel, na jejichž dodržování dohlíží jeho protějšky na vnitrostátní úrovni“. Doporučil také, aby byla přijata samostatná legislativa, která ochranu osobních údajů sjednotí, a to ideálně do května, kdy začalo platit GDPR. Jenže to se nestalo.

Nekonečné schvalování a hádky o OLAF

Text nové legislativy je sice napsaný, ale instituce, které ho mají schvalovat, se o něm dohadují. „Evropská komise proto předložila příslušný nový text v lednu 2017 s tím, že text měl vstoupit platnost ve stejný den jako GDPR. Bohužel Rada EU nebyla schopna najít včas dohodu s Evropským parlamentem, protože parlament žádal, aby byl rozsah toho nařízení rozšířen také na agentury Eurojust, OLAF či na úřad nového Evropského žalobce,“ popsala situaci pro Blesk Zprávy europoslankyně Konečná.

K určité dohodě došlo až letos v květnu, ale definitivní schvalování nové legislativy bude probíhat nejdříve na podzim. „Stejná pravidla mají platit pro všechny, a je opravdu zvláštní, že to evropské instituce teprve řeší. Měly jít naopak příkladem,“ uvedla Dita Charanzová (ANO). A věří, že nová pravidla budou platit co nejdříve.

Europoslanec Tomáš Zdechovský (KDU-ČSL) pro Blesk Zprávy řekl, že nová legislativa pro instituce bude stejně přísná jako GDPR a momentálně se jen hledá cesta, jak to vhodně zařídit. „Kritizovat můžeme to, že to trvá pomalu stejně dlouho, jako českému ministerstvu vnitra vytvoření aplikačního zákona k GDPR,“ uvedl Zdechovský s tím, že o pokrytectví Bruselu nejde. „Lidé by si měli uvědomit, že pro evropské instituce obecně dávno platí mnohem přísnější pravidla, než vyžaduje GDPR psané předně kvůli různým podnikatelským subjektům, které data zneužívaly za účelem vlastního zisku,“ dodal.

„Už to dodržujeme“

I přestože nemusí, snaží se některé instituce už dnes pravidla dána GDPR dodržovat. „Jako Komise již slaďujeme své současné postupy s obecnými zásadami nařízení o ochraně osobních údajů,“ uvedla Magdalena Frouzová. Částečná opatření zavedl v minulých týdnech i Evropský parlament. V obou případech jde ale o dobrovolné kroky, které institucím zatím legislativa nenařizuje.