Paragrafiq Asistent spouštíme už brzy. Děkujeme všem, kdo nám s vývojem a testováním pomohli.

Důvodová zpráva k Vl.n.z. o správě dat a o řízeném přístupu k datům - EU - RJ

Zdroj dokumentu

Sněmovní tisk
č. 54 (10. volební období)

A. OBECNÁ ČÁST

Úvod

Na úvod lze stručně uvést, že hlavními důvody pro předložení návrhu zákona jsou přetrvávající nevhodná praxe orgánů veřejné správy při nakládání s daty a zároveň absence právem předvídaných způsobů, jak k těmto datům získat přístup a využívat jejich informační potenciál. Přístup k datům, která nejsou dostupná podle stávající právní úpravy, je navíc téměř nemožný nejen pro zainteresované vnější subjekty, jakými jsou vědci, výzkumníci či novináři, ale i pro ostatní subjekty veřejného sektoru, kterým by přístup k datům umožnil lépe vykonávat veřejnou moc.⁠​‌​‌​​‌​​‌‌​‌​​​⁠

Chybějící právní úprava způsobuje stav, kdy subjekty veřejného sektoru postrádají výslovnou regulaci a právní podklad k tomu, aby efektivně nakládaly se svými daty. Praxe ukazuje, že stávající právní úprava je příliš zaměřena na informační systémy veřejné správy (dále „ISVS“) a data jsou chápána pouze jako jejich součást. To vede ve většině případů k situacím, kdy jsou pomíjeny konkrétní aspekty správy dat jako takových.4

Data, uchovávaná v jednotlivých ISVS, nejsou popisována a správce ISVS tak mnohdy přesně neví, s jakými daty vůbec disponuje. Situaci dále neprospívá fakt, že mnoho subjektů veřejného sektoru nemá k datům ve svých ISVS ani reálný přístup, jelikož data má reálně v držení dodavatel informačního systému. Nezřídka jsou navíc smlouvy s dodavatelem špatně nastaveny a dodavatel si za přístup k datům může účtovat další náklady na provoz systému.

To následně vede k nedostatečné transparentnosti, protože znalost a přehled o datech postrádají další agendová místa, která by daná data mohla využít v rámci plnění svých agend. Postrádá je i (odborná) veřejnost, která by data mohla přetvořit v nové nástroje a služby. Tento problém obecně vede k nemožnosti efektivních toků dat uvnitř veřejného sektoru, protože jednotlivá agendová místa nemohou bez znalosti existence specifických dat žádat o přístup k nim a jejich využití a tím pádem nemohou efektivně tvořit služby pro občany a obecně digitalizovat. Důsledkem je stav, kdy jsou nehospodárně pořizována duplicitní data různými subjekty veřejného sektoru pro výkon jejich činností a agend, a kdy není naplněn potenciál efektivních datových toků mezi subjekty veřejného sektoru.

Důkladná znalost toho, s jakými daty stát nakládá, je pak především nezbytným krokem k dosažení cíle, aby mezi úřady obíhala data, nikoli občan. Vyřešení tohoto problému představuje první část z navrhované právní úpravy.

Druhým okruhem problematiky navrhované právní úpravy je současná absence možnosti tzv. řízeného přístupu k datům, a to zejména pro účely vědy a výzkumu, vývoje nových služeb a aplikací, zkvalitňování služeb státu a rozšíření datové základny pro evidence-based přístup ve veřejných politikách. Možnost přístupu k datům je přitom v prvé řadě podmíněna právě kvalitní správou dat a jejich přehlednou katalogizací.

Aktuální právní úprava poskytování informací veřejného sektoru přitom trpí několika zásadními problémy. Stěžejním z nich je nemožnost efektivního a zároveň dostatečně technicky a organizačně zabezpečeného přístupu k datům, jejichž poskytnutí je vyloučeno aktuální právní úpravou poskytování informací. Jedná se zejména o data obsahující některé osobní údaje, data chráněná obchodním tajemstvím či data chráněná právy duševního vlastnictví třetích osob. Kvůli nemožnosti přístupu není možné následné použití těchto dat nebo jejich odvozenin za společensky prospěšnými účely (například vědecký výzkum, společné analýzy orgánů veřejné správy atd.).

Řízený přístup k těmto datům, tj. jejich poskytnutí ve formě, která zároveň naplní cíle žadatele a působením právních a organizačních záruk zajistí, že riziko jejich zneužití bude minimální, v současné právní úpravě, až na výjimky,5 chybí. Nemožnost žádat typově stejné informace od většího množství správců dat najednou, nemožnost propojování jednotlivých datových sad a nemožnost efektivního vyřešení takové žádosti významně komplikuje využití skutečné hodnoty dat. Důsledkem je nízká efektivita a navyšování nákladů na straně státu i žadatele (klienta služeb státu). Druhým pilířem navrhované úpravy je proto řízený přístup k datům.

Tento druhý pilíř navrhované právní úpravy a jeho konstrukce vyplývá z nařízení Evropského parlamentu a Rady (EU) ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) (akt o správě dat) (dále „DGA“). DGA v kapitole II předpokládá existenci možnosti řízeného přístupu k datům v právních řádech členských států, ovšem nezakládá ji, ani ji nenařizuje. Základním regulatorním principem předmětné kapitoly II DGA je zajištění základní úrovně, kterou členské státy mají povinnost splnit, pokud se k poskytování takových dat rozhodnou. Návrh zákona tak bude nosičem adaptační úpravy promítající požadavky a cíle DGA.

Obecným procesním předpisem pro řízení o žádosti o zajištění řízeného přístupu k datům je zákon č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů, návrh zákona obsahuje pouze úpravu nezbytných zvláštních ustanovení pro řízení o žádosti.

Seznam zkratek opakovaně užívaných v textu:

DGA – Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (Akt o správě dat)

Data Act – Nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 (nařízení o datech)

GDPR – Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

Směrnice o OD - Směrnice Evropského parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru

LZPS – Listina základních práv a svobod

ZoISVS – Zákon č. 365/2000 Sb., o informačních systémech veřejné správy

InfZ – Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

DIA – Digitální a informační agentura

ÚOOÚ – Úřad pro ochranu osobních údajů

DPIA – Data Protection Impact Assessment, neboli posouzení vlivu na ochranu osobních údajů

ISVS – informační systém veřejné správy dle ZoISVS

Úmluva – Úmluva o ochraně lidských práv vyhlášená jako č. 209/1992 Sb., Sdělení federálního ministerstva zahraničních věcí o sjednání Úmluvy o ochraně lidských práv a základních svobod a Protokolů na tuto Úmluvu navazujících

ESLP – Evropský soud pro lidská práva

NKD – Národní katalog dat

NKOD – Národní katalog otevřených dat

ČNB – Česká národní banka

OFN – otevřená formální norma

AIS RPP Působnostní – Agendový informační systém registru práv a povinností Působností

1. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Právní úprava, která se na různých úrovních dotýká dat veřejného sektoru,6 je v současné podobě velice roztříštěná, a to jak na evropské, tak národní úrovni. Neexistuje nyní žádný jednotný rámec, který by tuto problematiku upravoval komplexně.

Právní předpisy EU

Právní úprava dat veřejného sektoru na úrovni politik Evropské komise je obecně rámována Evropskou datovou strategií, která byla formulována na začátku roku 2020.7 Ta zahrnuje již existující právní předpisy, jako je Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále „GDPR“), Nařízení Evropského parlamentu a Rady (EU) 2018/1807 ze dne 14. listopadu 2018 o rámci pro volný tok neosobních údajů v Evropské unii, Směrnice Evropského parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru (dále „směrnice o OD“), nebo specifickou ochranu databází prostřednictvím tzv. databázové směrnice (směrnice Evropského parlamentu a Rady 96/9/ES ze dne 11. března 1996 o právní ochraně databází).

V roce 2022 bylo přijato nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (Akt o správě dat), které ve svém čl. 38 jako datum použitelnosti stanoví 24. září 2023 a které je součástí souboru opatření oznámených v Evropské datové strategii .8 Ve strategii popsala Evropská komise mimo jiné vizi společného evropského datového prostoru, jednotného trhu s daty, na němž lze data používat bez ohledu na místo jejich fyzického uložení v EU v souladu s platnými právními předpisy.

Cílem DGA je proto usnadnit, resp. zvýšit sdílení osobních i neosobních dat v rámci EU. Toho má být dosaženo prostřednictvím:

  • zpřístupnění více údajů veřejného sektoru pro jejich opětovné použití,

  • vytvoření rámce pro zprostředkovatele dat,

  • vytvoření rámce pro dobrovolné poskytnutí osobních dat pro altruistické účely a

  • zajištění koordinace a interoperability prostřednictvím Evropského sboru pro datové inovace.

Zpřístupnění více údajů veřejného sektoru pro jejich opětovné použití je upraveno v kapitole II DGA. DGA zavádí rámec pro opakované použití dat, která jsou chráněna z důvodu obchodního tajemství, statistické důvěrnosti, ochrany práv duševního vlastnictví třetích stran nebo ochrany osobních údajů. V tomto navazuje na již existující unijní úpravu vyplývající v obecné rovině ze směrnice o OD.

Dalším přijatým předpisem Evropské datové strategie je nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 (nařízení o datech) (dále „Data Act“). Ten se zaměřuje na problematiku předávání dat mezi soukromými organizacemi a státními orgány (který však v kontextu navrhovaného zákona v zásadě není relevantní). Krom uvedeného existuje řada specifických právních režimů, které se zaměřují na konkrétní oblasti úpravy a působí tak jako lex specialis. Jde např. o směrnici INSPIRE (směrnice č. 2007/2/ES), a zvláštní úpravu zveřejňování dat o dopravě (směrnice č. 2010/40/EU), případně o nařízení o evropské statistice (nařízení č. 223/2009), které reguluje nakládání se statistickými údaji.

Právní předpisy ČR

V českém právním řádu, stejně jako na evropské úrovni, neexistuje jeden zastřešující zákonný rámec, který by komplexně upravoval problematiku dat. Existuje řada dílčích právních úprav, které se buď věnují specifické oblasti dat a nakládání s nimi (např. zákon č. 111/2009 Sb., o základních registrech nebo zákon č. 89/1995 Sb., o státní statistické službě), nebo se dat dotýkají nepřímo, ať už skrze regulaci informačních systémů dle zákona č. 365/2000 Sb., o informačních systémech veřejné správy (dále „ZoISVS“), v nichž se data nacházejí, nebo protože upravují určité kontexty nakládání s nimi. To je příklad právní úpravy ochrany osobních údajů, ochrany obchodního tajemství, nebo zákona č. 121/2000 Sb., autorský zákon. Dalším příkladem je zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, a jeho prováděcí vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby a Národní standard pro elektronické systémy spisové služby. Specifickou roli zastávají dva zákony zajišťující právo přístupu veřejnosti k informacím v podobě obecného zákona č. 106/1999 Sb., o svobodném přístupu k informacím (dále „InfZ“) a zvláštního zákona č. 123/1998 Sb. Na podzákonné úrovni je jako zastřešující rámec pro nakládání s daty veřejného sektoru možné zmínit Národní architektonický plán.9

Právní úprava správy dat

V současnosti neexistuje zákonná úprava, která by se specificky zaměřovala na principy efektivního a korektního nakládání s daty, které shromažďuje v rámci své činnosti veřejná správa. Na obecné úrovni musí tato činnost vycházet z principů dobré správy dle správního řádu (zákon č. 500/2004 Sb.). To však, jak praxe ukazuje, není dostatečnou úpravou, neboť orgány veřejné správy nejsou samy o sobě motivovány k tomu, aby si udržovaly o svých datech přehled a pořádek v nich, neboť není jiný obecný právní předpis, který by jim tuto povinnost ukládal, a správcům systémů často chybí i potřebná znalost, jak tento proces správně provádět. Nejblíže se současné právní úpravy správy dat týká ZoISVS, který zavádí pojem informační systém veřejné správy (ISVS) a stanovuje práva a povinnosti, které souvisejí s jejich vytvářením, správou, provozem, užíváním a rozvojem. ISVS je chápán jako funkční celek zabezpečující informační činnosti. Informační činnosti jsou spojeny s informacemi důležitými pro výkon veřejné správy a zaměřují se na reprezentaci informací daty a na řízení dat prostřednictvím funkcionalit ISVS. Nicméně zákon nestanovuje konkrétní povinnosti spojené s daty, ale pouze povinnosti spojené s ISVS jako celkem.

Správce ISVS10 má na základě ZoISVS jen obecné povinnosti týkající se dat, které jej nutí zabývat se daným ISVS pouze jako celkem. Správce nemá určeny povinnosti týkající se správy dat jako takových. Správa dat se tak pouze implicitně předpokládá v rámci povinností spojených se správou ISVS jako celku. Existující dokumenty, jako je Informační koncepce ČR, pak tyto principy neobsahují dostatečně, a navíc jsou jen velice obtížně efektivně vymahatelné.

Právní úprava přístupu k datům veřejné správy

Obecným předpisem pro poskytování informací veřejného sektoru, a to včetně zajištění jejich opětovného užití, je zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Pojem „informace” je v zákoně vymezen v § 3 odst. 3 jako „jakýkoliv obsah nebo jeho část v jakékoliv podobě, zaznamenaný na jakémkoliv nosiči”. Tato široká definice zahrnuje i data.

Jádro InfZ leží v zajištění základního politického práva na informace ve smyslu čl. 17 odst. 5 Listiny základních práv a svobod (dále „LZPS“). Zákon rovněž obsahuje implementaci PSI směrnice (směrnice 2003/98/ES) a byla přijata rovněž novela, která provedla implementaci směrnice o OD. Jedná se tedy o klíčový předpis upravující opětovné užití informací (a dat) veřejného sektoru. InfZ povinným subjektům ukládá poskytovat informace žadatelům z řad široké veřejnosti, a to vyjma takových informací, jejichž poskytnutí je InfZ vyloučeno. InfZ dále uděluje povinným subjektům diskreční oprávnění zveřejňovat jakékoli informace, opět s výhradou výjimek uvedených v InfZ.

Předpokladem pro poskytování informací podle InfZ je tzv. princip publicity veřejné správy, dle kterého se informace zásadně poskytují. Žadatel také není nucen prokazovat právní důvod pro jejich poskytnutí, a naopak povinný subjekt musí prokázat v případě odmítnutí žádosti existenci relevantní výjimky, na základě, které nejsou informace poskytnuty. Dalším principem InfZ je princip neformálnosti. V základu nejsou kladeny žádné formální podmínky na žadatele, resp. na žádost o poskytnutí informace. Ideálním případem je taková situace, kdy žadatel a povinný subjekt spolu vstoupí do konverzace a v případě, že jsou žádány informace, které není možné poskytnout z důvodu existující výjimky, povinný subjekt nabídne žadateli alternativu. To se však děje spíše zřídka (více viz nález Ústavního soudu ze dne 1. 7. 2021 sp. zn. III. ÚS 3339/20).

InfZ neupravuje řízený přístup k datům. Základní parametry fungování tohoto předpisu nedávají povinným subjektům na výběr. Pokud informaci poskytnout mohou (tedy pokud neexistuje právní překážka, která by poskytnutí bránila), pak ji poskytnout musí, a to s minimem překážek v souladu s požadavky evropské legislativy (směrnice 2003/98/ES), která byla provedena v § 4a a § 4b zákona. Pokud je informace předmětem některé z výjimek uvedených v InfZ, tak ji povinný subjekt poskytnout nemůže ani přes případné dodatečné zajištění záruk ze strany žadatele. Určitou možnost k poskytnutí představuje anonymizace, kdy výkladová praxe InfZ předpokládá možnost jejího provedení. Dochází tak k naplnění požadavku § 8a odst. 1 InfZ, dle kterého se informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje poskytují jen v souladu s právními předpisy, upravujícími jejich ochranu (zejména s GDPR, a zákonem č. 110/2019 Sb., o zpracování osobních údajů). Dle výše zmíněného nálezu Ústavního soudu sp. zn. III. ÚS 3339/20 by povinné subjekty měly postupovat tak, aby poskytly požadovanou informaci v její nejširší možné podobě. To se týká rovněž využití procesu anonymizace. Na druhou stranu praxe ukazuje, že obecně povinné subjekty k anonymizaci přistupují toliko mechanicky v podobě odstranění přímých identifikátorů (např. jméno, příjmení, bydliště, identifikační čísla atd.). Anonymizační proces však není mechanická činnost, která by byla v každém případě totožná. Existuje velké množství anonymizačních technik a vhodnost jejich nasazení se může lišit podle specifických potřeb. Technikám anonymizace se blíže věnuje Stanovisko č. 5/2014 k technikám anonymizace pracovní skupiny pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů.11

Efektivní využití dat zejména pro vědecké ale i pro další legitimní účely, které zároveň bude v maximální možné míře chránit práva a zájmy dotčených osob, vyžaduje, aby žadatel mohl ovlivnit, jakým způsobem bude anonymizace provedena. Byť teoreticky je možné tento způsob zahrnout pod režim poskytování informací podle InfZ, není ze strany povinných subjektů využíván vzhledem k velmi přísným lhůtám, které InfZ stanoví, a s odkazem na to, že by šlo o vytváření nové informace dle § 2 odst. 4 InfZ.

Obdobná situace vzhledem k umožnění řízeného přístupu k datům pak panuje i v případě zvláštních právních předpisů, které upravují přístup a následné užití specifických informací, např. zákon č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon) a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.

I nadále je vhodné, aby InfZ zůstal základním předpisem pro naplňování základního politického práva na informace a obecným předpisem pro poskytování informací a široké zajištění jejich dalšího užití. Z hlediska zajištění řízeného přístupu k datům však jeho současná podoba není dostatečná. Cílem navrhované právní úpravy není ani z části nahradit InfZ, ale zajistit řízený přístup k datům, který InfZ neumožňuje.

Níže uvedený seznam obsahuje vybrané zásadní evropské a české právní předpisy, které obsahují regulaci dat, nakládání s nimi a přístup k nim. Tento výčet vytváří širší kontext, do kterého návrh zákona směřuje, byť se naprosté většiny z nich přímo nedotýká. Návrh zákona má za cíl doplnit tuto mozaiku v mezích doposud neupravené oblasti.

1.1 Legislativa EU

1.1.1 Obecné předpisy

  • Směrnice Evropského parlamentu a Rady 96/9/ES ze dne 11. března 1996 o právní ochraně databází

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

  • Směrnice Evropského parlamentu a Rady (EU) 2019/790 ze dne 17. dubna 2019 o autorském právu a právech s ním souvisejících na jednotném digitálním trhu a o změně směrnic 96/9/ES a 2001/29/ES

  • Nařízení Evropského parlamentu a Rady (EU) 2018/1807 ze dne 14. listopadu 2018 o rámci pro volný tok neosobních údajů v Evropské unii

  • Směrnice Evropského parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru

  • Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat)

  • Nařízení Evropského parlamentu a Rady (EU) 2023/2854 ze dne 13. prosince 2023 o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání a o změně nařízení (EU) 2017/2394 a směrnice (EU) 2020/1828 (nařízení o datech)

1.1.2 Zvláštní předpisy

  • Směrnice Evropského parlamentu a Rady 2007/2/ES ze dne 14. března 2007 o zřízení Infrastruktury pro prostorové informace v Evropském společenství (INSPIRE)

  • Nařízení Evropského parlamentu a Rady (ES) č. 223/2009 ze dne 11. března 2009 o evropské statistice a zrušení nařízení (ES, Euratom) č. 1101/2008 o předávání údajů, na které se vztahuje statistická důvěrnost, Statistickému úřadu Evropských společenství, nařízení Rady (ES) č. 322/97 o statistice Společenství a rozhodnutí Rady 89/382/EHS, Euratom, kterým se zřizuje Výbor pro statistické programy Evropských společenství, v platném znění

  • Směrnice Evropského parlamentu a Rady 2010/40/EU ze dne 7. července 2010 o rámci pro zavedení inteligentních dopravních systémů v oblasti silniční dopravy a pro rozhraní s jinými druhy dopravy

  • Nařízení 2017/1926 ze dne 31. května 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o poskytování multimodálních informačních služeb o cestování v celé Unii

  • Nařízení Komise (EU) č. 557/2013 ze dne 17. června 2013, kterým se provádí nařízení Evropského parlamentu a Rady (ES) č. 223/2009 o evropské statistice, pokud jde o přístup k důvěrným údajům pro vědecké účely, a kterým se zrušuje nařízení (ES) č. 831/2002

  • Nařízení Komise v přenesené pravomoci (EU) č. 886/2013 ze dne 15. května 2013, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o údaje a postupy pro poskytování minimálních univerzálních informací o dopravním provozu souvisejících s bezpečností silničního provozu uživatelům

  • Nařízení 1315/2013, o hlavních směrech Unie pro rozvoj transevropské dopravní sítě a o zrušení rozhodnutí č. 661/2010/EU

  • Nařízení Komise 2015/962, kterým se doplňuje směrnice Evropského parlamentu a Rady 2010/40/EU, pokud jde o poskytování informačních služeb o dopravním provozu v reálném čase v celé EU

  • Nařízení Evropského parlamentu a Rady o evropském prostoru pro zdravotní údaje a o změně směrnice 2011/24/EU a nařízení (EU) 2024/2847

1.2 Legislativa ČR

1.2.1 Obecné předpisy

  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

  • Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon)

  • Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů

  • Zákon č. 111/2009 Sb., o základních registrech

  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

  • Zákon č. 110/2019 Sb., o zpracování osobních údajů

  • Zákon č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů

1.2.2 Zvláštní předpisy

  • Zákon č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon)

  • Zákon č. 200/1994 Sb., o zeměměřictví a o změně a doplnění některých zákonů souvisejících s jeho zavedením

  • Zákon č. 89/1995 Sb., o státní statistické službě

  • Zákon č. 123/1998 Sb., o právu na informace o životním prostředí

  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů

  • Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování

  • Zákon č. 256/2013 Sb., o katastru nemovitostí (katastrální zákon)

Zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Současný právní stav v oblasti správy dat a přístupu k datům nijak neporušuje zákaz diskriminace a nemá vliv na rovnost žen a mužů.

  • 2. Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

V posledním desetiletí digitální technologie přeměnily ekonomiku a společnost. Dnes se dotýkají prakticky všech oblastí lidské činnosti a každodenního života. Podstatou technologií jsou přitom data, ekonomický a společenský potenciál dat je tím pádem nesmírný. Data v současnosti umožňují vznik nových produktů a služeb založených na moderních technologiích a pomáhají zefektivnit chod států. Rovněž poskytují nástroje, jak bojovat s novými společenskými výzvami, jakými jsou například zátěž zdravotnického systému a stárnutí evropské populace, vznik nových forem práce a úbytek pracovních míst v tradičních průmyslových odvětvích, či přístup občanů k službám státu a jejich interakce s veřejnou správou.

Data jsou proto dnes naprosto klíčovou surovinou pokroku, ať už hovoříme o digitalizaci, automatizaci nebo užití umělé inteligence. Jejich vnímání, využívání a dostupnost ve veřejné správě České republiky tomu ale zatím až na výjimky neodpovídá. Návrh zákona je proto předkládán právě s akcentem na zlepšení připravenosti státu na budoucnost a umožnění využití potenciálu dat širokým okruhem zainteresovaných žadatelů, zejména pro vývoj nových služeb, aplikací a znalostí. Tento cíl vyžaduje vybudování právních mantinelů pro práci s daty ve veřejné správě.

Z analýz současného stavu subjektů veřejného sektoru v oblasti dat a vývoje okolního prostředí je zřejmé, že bez právní úpravy správy dat a rozšíření cest, jak k nim přistupovat a pracovat s nimi nebude schopna Česká republika efektivně dostát rostoucím nárokům a povinnostem.12

Kupříkladu v oblasti zdravotnictví mohou data, shromažďovaná zdravotnickým systémem v průběhu života člověka, významně napomoci poskytnutí lepší a cílenější zdravotní péče jedince.13 Data představují také významný pohon velkého množství inovací a vzniku nových pracovních míst, což zdůrazňuje i Evropská komise v Evropské datové strategii. Data jsou zásadním zdrojem pro fungování start-upů, malých a středních podniků, stejně jako nadnárodních koncernů. Rozvoj datových politik a opětovného využití dat je proto jedním z hlavních regulatorních cílů Evropské unie jako celku.14

Evropská datová strategie uvádí, že přístup k datům a schopnost je využívat mají zásadní význam pro inovace a růst. Inovace založené na datech mohou přinést významné a konkrétní výhody, například:

  • personalizovanou medicínu,

  • lepší mobilitu,

  • zlepšení procesu tvorby politik,

  • modernizaci veřejných služeb.15

Jak již bylo řečeno, potenciál dat shromažďovaných veřejným sektorem však není v současné době v České republice adekvátně využit. Instituce veřejné správy přitom mají v držení obrovské množství dat z širokého spektra agend, které instituce spravují. Sdílení a opětovné využití těchto dat však stále zůstává oblastí plnou překážek, restrikcí a často není možné vůbec. Data by měla ideálně “téct” bez větších obtíží jak mezi jednotlivými resorty, tak i mezi veřejným sektorem, akademickou sférou a soukromým sektorem, aby byl jejich potenciál skutečně zužitkován. Kvůli nízké vzájemné důvěře na poli sdílení dat, omezeným možnostem opětovného využití a v neposlední řadě příliš komplikovanou či nedostatečnou technickou infrastrukturou se tok dat neuskutečňuje tak, jak by měl.

Navrhovaný zákon proto spadá do oblasti veřejnoprávní regulace a má za cíl postihnout dvě oblasti, jejichž absence úpravy se dlouhodobě ukazuje jako problematická. Jsou jimi principy správy dat veřejného sektoru a úprava regulace řízeného přístupu k datům veřejného sektoru a jejich opětovné užití. První jmenovaná oblast je pak nutným předpokladem pro reálné fungování druhé. Zároveň umožní efektivnější výkon již existujících povinností vyplývajících ze InfZ, zákona č. 123/1998 Sb., ZoISVS, zákona č. 499/2004 Sb. a mnoha dalších.

Návrh zákona ovšem nemá za cíl být komplexním kodexem, který by vyřešil problém roztříštěnosti právní úpravy nakládání s daty a informacemi ve veřejném sektoru. Zpracování, přijetí a implementace takového všeobjímajícího předpisu bohužel není právně ani technicky možná. Naopak, cílem předkládaného materiálu je vyplnit dílčí doposud neupravené oblasti, tj. vakuum, které vzniká na poli využití dat veřejného sektoru, která podléhají určitému stupni ochrany a nelze k nim nyní podle existujících předpisů získat přístup.

Stručně řečeno, pokud má být potenciál dat veřejného sektoru jako jedné z nejdůležitějších „surovin” současnosti skutečně využit a zhodnocen, data musí být, při dodržení zákonných podmínek, zpřístupněna, musí být důvěryhodná, snadno technicky využitelná a zároveň přehledně katalogizovaná.

K onkrétní požadavky vyplývající z DGA:

V květnu 2022 bylo přijato DGA, které navazuje na předchozí datové legislativní iniciativy, jako je např. GDPR, nebo směrnice o OD. DGA se věcně zaměřuje na data, která podléhají různým režimům ochrany (zejména ochrana osobních údajů) nebo na data v držení soukromého sektoru. Cílem DGA je stanovit obecný základ a umožnit vytvoření bezpečného prostředí pro efektivní předávání dat mezi veřejnou správou a soukromým sektorem a v rámci soukromého sektoru. Kapitola II DGA přímo navazuje na směrnici o OD, a upravuje podmínky pro opětovné užití informací veřejného sektoru, které jsou z aplikace Směrnice o OD vyloučeny z důvodů obchodního tajemství, statistické důvěrnosti, ochrany práv duševního vlastnictví třetích stran a ochrany osobních údajů. Z hlediska rozsahu aplikace se jedná o oblast, které se dotýká navrhovaná úprava řízeného přístupu k datům. Kapitola II DGA nezakládá povinnost poskytování dat, pouze stanoví minimální standard pro případy, kdy je poskytování předmětných dat a jejich opětovné užití umožněno národním právem. Je třeba připomenout, že vzhledem k tomu, že DGA je nařízením, aplikuje se v plném rozsahu již nyní na existující režimy poskytování dat spadajících do jeho působnosti.

Z DGA vyplývají následující okruhy úpravy, které musí být brány v potaz z hlediska jeho adaptace do právního řádu ČR v rámci předkládaného návrhu zákona.

  • 1. Při poskytování a opětovném užití dat je nezbytné zajistit, aby se tak dělo v souladu s právními předpisy, které zajišťují jejich ochranu. Jedná se zejména o oblast ochrany osobních údajů (zejm. GDPR) a další předpisy zajišťující ochranu informačních práv.

  • 2. Poskytovatel dat má zakázáno uzavírat exkluzivní dohody s příjemcem dat, které by znemožnily poskytnutí dat dalším žadatelům.

  • 3. Poskytovatel dat může stanovovat podmínky pro poskytování dat tak, aby zajistil, že nedojde k jejich zneužití. Podmínky opakovaného použití musí být nediskriminační, přiměřené a objektivně odůvodněné s ohledem na kategorie dat, účely opakovaného použití a na povahu dat, pro které je opakované použití povoleno. Tyto podmínky nesmějí být použity k omezení hospodářské soutěže. Základní zárukou, která má zajistit zabezpečení předávaných údajů a to, že nedojde k jejich zneužití, je trojstupňový systém:

  • 3.1. poskytnutí agregovaných nebo anonymizovaných údajů, přičemž proces anonymizace probíhá ve spolupráci s žadatelem tak, aby bylo dosaženo výsledků, které potřebuje a zároveň byla chráněna kolidující práva a zájmy,

  • 3.2. poskytnutí dat prostřednictvím vzdáleného zabezpečeného připojení,

  • 3.3. poskytnutí dat případně jejich agregovaných nebo anonymizovaných výsledků na místě, přímo v prostorách poskytovatele dat tak, aby bylo minimalizováno riziko úniku.

  • 4. Poskytovatel může po příjemci dat požadovat právní záruky, jako je doložka mlčenlivosti, nebo uložení povinnosti neztotožňovat zpětně konkrétní subjekty údajů, aby limitoval možnost zneužití poskytnutých dat ze strany příjemce dat.

  • 5. Za poskytnutí dat může poskytovatel požadovat poplatky, které by však v případě opětovného užití za vědeckými účely nebo zpracování dat prováděného SMEs (malými a středními podniky) měly být minimální.

  • 6. Členské státy mají stanovit seznam institucí, tzv. příslušné orgány, které budou sloužit jako podpora poskytovatelů dat. Tyto instituce mohou být sektorově definované a podpora může být jak technického, tak právního charakteru.

  • 7. Členské státy mají stanovit jednotné informační místo, na které se mohou zájemci obracet s žádostmi o poskytnutí dat, a které tyto žádosti pomůže zprostředkovat, včetně např. vyřízení žádostí směřovaných k většímu množství poskytovatelů dat.

  • 8. Členské státy mají stanovit sankce za porušení povinností týkajících se předávání neosobních údajů do třetích zemí podle čl. 5 odst. 14 DGA. Tento odstavec uvádí, že příjemce dat může tato data předávat pouze do takových třetích zemí, které splní podmínky uvedené v DGA.

K onkrétní ustanovení DGA, které navrhovaný předpis adaptuje, jsou:

  • - Čl. 5 odst. 1–14: Identifikace správců dat umožňujících řízený přístup k datům a základních pravidel s nimi souvisejících;

  • - Čl. 6 odst. 1–2 a 6: Otázka poplatků;

  • - Čl. 7 odst. 1–2: Identifikace příslušných orgánů;

  • - Čl. 8 odst. 1: Identifikace jednotného informačního místa;

  • - Čl. 34: Sankce.

Dopady navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Navrhované řešení nijak nezasahuje do zákazu diskriminace ani nepřináší žádné dopady na rovnost mužů a žen.

3. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku

Fungování a prosperita společnosti i jednotlivého člověka jsou v dnešní době stále více závislé na množství, rychlosti a kvalitě informací, které má k dispozici a využívá. Beze zbytku to platí také pro stát, který disponuje obrovským množstvím informací, a proto má velkou odpovědnost vůči občanům za to, jak o data ve své správě pečuje a jak je dokáže využívat. Hlavním z důvodů předložení návrhu je právě neustále rostoucí a dosud málo akcentovaná nutnost zacházet s daty napříč veřejnou správou tak, aby byla zajištěna jejich důvěryhodnost a zároveň maximálně podpořeno využívání jejich hodnoty.

Přijetím navržené právní úpravy veřejná správa podstatně zvýší šance České republiky adekvátně reagovat na výzvy a příležitosti pramenící z rychlých proměn globálního prostředí, ekonomických podmínek a společenských změn. Řada z nich totiž bude do budoucna stát na schopnosti dobře pracovat s daty.

Je nutné, aby stát, respektive veřejná správa začala spravovat data jako jedno ze svých nejcennějších aktiv. Mezi hlavní důvody patří: 

  • implementace povinností dle zákona 12/2020 Sb., o právu na digitální služby: vyžaduje napříč veřejnou správou dohledatelná a spolehlivá data, která mezi sebou subjekty veřejného sektoru dokáží (a mohou) sdílet, aby bylo naplněno právo občana na využívání dat již poskytnutých státu (v opačném případě hrozí úřadům soudní vymáhání tohoto práva ze strany občanů) 

  • schopnost veřejné správy rychle reagovat na nové datové potřeby v případě ohrožení či krize: efektivita rozhodování státu v krizových situacích (např. během pandemie, ekonomické či energetické krize) a schopnost přijatá rozhodnutí podložit relevantními daty vyžaduje dostupnost vlastních kvalitních dat, ale i zákonné podmínky pro jejich analytické zpracování 

  • implementace právních předpisů Evropské unie (EU) a Evropské datové strategie: právní základ správy dat a zajištění jejich přístupnosti jednotlivým úřadům i veřejné správě ČR jako celku významně ulehčí efektivní naplnění povinností (např. DGA, European Health Data Space) a v řadě případů bude dokonce nutným předpokladem 

  • zajištění nezávislosti na dodavatelích a kontinuity fungování úřadů při vysoké fluktuaci pracovníků: právní ukotvení a standardizace oblasti správy dat umožní mimo jiné efektivněji řešit přechody mezi dodavateli informačních systémů či služeb a minimalizovat problémy související s odchodem klíčových pracovníků.

Dosavadní právní úprava přitom není dostatečná k dosažení cílů efektivního a hospodárného eGovernmentu. Správci ISVS v kontextu správy dat a jejich zpřístupňování nepostupují s péčí řádného hospodáře. Je nezbytné přijmout právní úpravu, která přímo upravuje správu dat veřejné správy a zajišťuje přístup k nim. Zvláštní úprava musí vyřešit stávající nevhodnou praxi a tím zamezit negativním důsledkům, mezi které patří:

  • neexistující popis dat,

  • nemožnost přístupu k primárním datům jejich správcem,

  • nejednotný způsob zpřístupňování dat jejich potenciálním uživatelům,

  • netransparentní způsob zpřístupňování dat jejich potenciálním uživatelům,

  • dobrovolnost zajištění možnosti zpřístupňování dat jejich potenciálním uživatelům.

Výzkumy z evropských zemí ukazují výhody, které dobře nastavená správa dat ve veřejné správě jednotlivým institucím přinesla. Více než tři čtvrtiny organizací veřejného sektoru v Británii zdůraznily lepší schopnost rozhodování jako klíčový přínos sdílení dat napříč veřejným sektorem (evidence-based). Mezi další benefity, které sdílení dat přináší, patří: 

•větší spokojenost občanů se službami, 

•vyšší míra dodržování předpisů, 

•zlepšení provozní efektivity a výkonnosti organizace. 

Data a jejich sdílení přináší jasný benefit pro:

•občany – digitální služby ušetří lidem čas, ale bez dat to nejde; 

•společnost – vyšší míra transparentnosti a důvěry ve stát a politickou reprezentaci – data mají velmi demokratizující efekt na společnost; 

•stát a business – větší efektivita při rozhodování a úspory nákladů; 

•vývoj technologii – pro nové technologie (např. AI) jsou kvalitní data naprosto zásadním atributem, bez kterého nemůžeme zdokonalovat nové systémy.

Další zahraniční příklady a vysvětlení benefitů navrhované úpravy viz zpráva RIA.

Návrh zákona je rovněž komplementární k již vládou schválené Strategii řízeného přístupu k datům pro zajištění podmínek pro kvalitní správu datového fondu veřejné správy České republiky.16 Tato Strategie podrobně identifikuje problematická místa současné správy dat ve veřejné správě a předestírá nezbytné kroky, které je nutné učinit k tomu, aby stát nakládal s daty hospodárně, data zbytečně neduplikoval, a aby jednotlivé orgány veřejné správy dokázaly identifikovat, jaká data obsahují jejich ISVS a získaly přehled i o datech ostatních státních orgánů. Zmíněná Strategie přitom vychází z navržených ustanovení zákona a bez alespoň základního zákonného zakotvení nebude možné povinnosti týkající se správy dat dostatečně a jednotně vymáhat.

Co se týče řízeného přístupu k datům, v závěrečné zprávě RIA je podrobně rozebrána současná situace, kdy není možné využívat obrovské množství dat, jež stát z veřejných prostředků shromažďuje, a jež by mohly při opakovaném použití přinést řadu dalších benefitů v podobě zacílenější tvorby veřejných politik nebo vědeckých výzkumů cílených na prostředí a populaci ČR (nikoliv pro predikce lokálního vývoje používat data jiných evropských států).

Ačkoliv přínosy navrhované úpravy nelze naprosto přesně kvantifikovat na konkrétní částky úspor nebo procenta zlepšení veřejných služeb, je třeba dodat, že k co nejširšímu opakovaného použití a sdílení dat směřuje i postupně přijímaná legislativa EU (Data Governance Act, European Health Data Space, Data Act) a tento trend bude i nadále pokračovat s postupnou implementací všech složek Evropské datové strategie17 ve všech členských státech. ČR musí na tento vývoj v národní legislativě reagovat.

Vysvětlení nezbytnosti zřízení geoportálu České republiky

Vzhledem k tomu, že existují desítky geoportálů s národní působností, ale vždy specificky pro danou oblast (Geoportál INSPIRE, geoportál ČÚZK pro základní data, geoportál zdravotnických dat, nově vznikající geoportál územního plánování apod.), geoportály samospráv (geoportál má každý kraj, stovky měst a obcí také provozují své geoportály někdy taky nazývané jako mapové portály), avšak tato data není možné nikde na centrální úrovni vyhledat, zřizuje se Geoportál České republiky jako jednotné centrální přístupové místo k národní infrastruktuře pro prostorová data

Zákon o správě dat a o řízeném přístupu k datům dává jedinečnou možnost vybudovat centrální místo pro data prostřednictvím Národního katalogu dat a analogicky centrální místo pro prostorová data s využitím geoportálu České republiky. Protože poskytovatelé prostorových dat jsou na povinnost zpřístupňovat metadat zvyklí již 15 let, i když jejich ochota a aktivita po kontrolách EU v roce 2014 polevila, nebude zpřístupňování metadat na geoportál České republiky novou nákladnou a neproveditelnou povinností. Bude úkolem Ministerstva životního prostředí geoportál České republiky propagovat a znovu komunitu poskytovatelů vybudovat. Klíčovým faktem je, že geoportál České republiky nebudou řídit přísné evropské technické požadavky. Zpřístupňovat data pro národní účely bude hlavním cílem. Povinnosti pro evropskou infrastrukturu INSPIRE bude nový geoportál České republiky zajišťovat jako jeden z dílčích úkolů.

Vysvětlení vztahu předkládaného návrhu zákona k Věcnému záměru zákona o národní infrastruktuře pro prostorové informace

Dne 19. července 2021 byl usnesením vlády č. 636 schválen Věcný záměr zákona o národní infrastruktuře pro prostorové informace (VZZ NIPI), jehož cílem bylo vyřešení problémů týkajících se dostupnosti, kvality, uspořádání, zpřístupnění a sdílení prostorových dat, která jsou společná pro celou řadu oblastí v gesci veřejné správy a vznikají na různých úrovních orgánů veřejné správy. VZZ NIPI navrhnul přijetí nezbytných opatření pro zajištění efektivního pořizování, výměny, sdílení, přístupu a používání interoperabilních prostorových dat a služeb nad prostorovými daty.

Vzhledem k obsahu návrhu zákona o správě dat a o řízeném přístupu k datům bylo Ministerstvem vnitra dne 17. března 2023 rozhodnuto o zahrnutí opatření obsažených ve VZZ NIPI do této právní úpravy.

VZZ NIPI navrhoval níže uvedená opatření. Každé opatření je zhodnoceno ve světle navrhovaného zákona a je vyhodnoceno, zda návrh případně jiné právní předpisy, které byly od doby vzniku VZZ NIPI přijaty opatření navrhovaná ve VZZ NIPI provádí. Stav je výsledkem předchozích konzultací s navrhovateli VZZ NIPI a meziresortního připomínkového řízení.

1. Věcné vymezení národní infrastruktury pro prostorové informace

Vymezení národní infrastruktury pro prostorové informace je vloženo do § 10 odst. 2. Vzhledem k tomu, že prostorové údaje jsou součástí množiny údajů, jejichž výměna a sdílení probíhá prostřednictvím referenčního rozhraní veřejné správy (jak ukotvuje i VZZ NIPI), je tato skutečnost legislativně upravena v zákoně č. 111/2009 Sb., o základních registrech.

Mezinárodní závazky, jimiž je Česká republika vázána v oblasti prostorových informací a služeb, budou nadále naplňovány prostřednictvím Národního geoportálu pro INSPIRE, který se stane integrální součástí geoportálu České republiky, který je upraven § 10 odst. 1 předkládaného zákona.

2. Ustanovení koordinačního subjektu národní infrastruktury pro prostorové informace

Koordinační roli pro prostorové informace plní Digitální a informační agentura, která podle § 2a odst. 3 zákona č. 12/2020, o právu na digitální služby, plní koordinační úlohu v oblasti evidence a sdílení dat. Ta je dle organizačního řádu DIA vykonávaná Oddělením evidence a sdílení dat a Oddělením geoinformatiky.

3. Stanovení účastníků národní infrastruktury pro prostorové informace

Množina povinných subjektů v návrhu zákona o správě dat se liší od původně předpokládané množiny subjektů ve VZZ NIPI. Toto rozhodnutí je výsledkem rozvahy při přípravě návrhu zákona. Zároveň v návaznosti na meziresortní připomínkové řízení návrh zákona umožňuje dobrovolné plnění povinností správy dat subjekty, které jsou z jeho aplikace jinak vyloučeny (jedná se o samosprávy, které tak mohou činit v rámci své diskrece). Těmto subjektům bude taktéž poskytovaná podpora na bázi dobrovolnosti, a to včetně prostorových informací. Předkladatelé zákona nevylučují budoucí novelizaci zákona, která množinu povinných subjektů rozšíří.

4. Definování informačního systému národní infrastruktury pro prostorové informace

Původně plánované funkcionality IS NIPI budou vykonávané prostřednictvím jiných již existujících procesů, Národního katalogu dat dle § 9 zákona a geoportálu České republiky, který je zřízen dle § 10 zákona.

Především se dle návrhu zákona na prostorová data vztahují obecné povinnosti správy dat, popisování dat a datových rozhraní metadaty dle standardů vydávaných Digitální a informační agenturou ve spolupráci se správci dat a evidence těchto metadat v lokálních katalozích dat, jejichž obsah je centralizován v Národním katalogu dat.

Vzhledem k důrazu na doménová specifika prostorových dat návrh zákona dále v § 10 zřizuje geoportál České republiky, který umožní zpřístupňování a zobrazování prostorových dat, poskytování služeb nad prostorovými daty, sdílení těchto dat a služeb a sledování jejich dostupnosti a využívání.

Aby nedocházelo k duplikaci povinností pro správce dat, kteří spravují taktéž prostorová data, budou tato data evidovaná v lokálním katalogu dat a následně sbírána (harvestována) ze strany Národního katalogu dat a geoportálu České republiky ve stanoveném detailu metadat.

Koordinace a sledování projektů je součástí procesu žádosti o stanovisko dle zákona č. 365/2000 Sb. v souvislosti s předložením dokumentace programů, investičních záměrů, projektů informačních systému a spuštění služby určeného informačního systému. Tento proces je koordinován Odborem hlavního architekta eGovernmentu (DIA), jehož jsou Oddělení geoinformatiky a Oddělení evidence a sdílení dat součástí a budou se dle výsledků předchozích jednání podílet na spoluhodnocení těchto projektů.

Nástroj pro sběr požadavků může být dle předchozích jednání dotčených subjektů jednou z funkcionalit geoportálu České republiky bez nutnosti jejího legislativního ukotvení.

5. Zařazení prostorových informací do datového fondu veřejné správy

Prostorová data jsou v souladu se zákonem č. 111/2009 Sb. součástí datového fondu veřejné správy. Jejich přesnost, aktuálnost a interoperabilita budou zajištěné dodržování principů správy dat uvedených v Hlavě II zákona.

6. Stanovení ostatních součástí národní infrastruktury pro prostorové informace a jejich správců

Geoportál České republiky je zřízen v § 10 zákona. Další platformy jsou součástí referenčního rozhraní upraveného zákonem č. 111/2009, případně jinými resortními legislativními úpravami. Návrh zákona o správě dat neznemožňuje jejich ustavení.

7. Podpora vzdělávání a zvyšování kompetencí v oblasti prostorových informací

8. Stanovení pravidel užívání národní infrastruktury pro prostorové informace.

Ad 7 a 8 - dle zákona č. 12/2020 o právu na digitální služby Digitální a informační agentura (§ 2a odst. 3) plní koordinační úlohu v oblasti evidence a sdílení dat a zajišťuje odborný rozvoj, školení, sdílení znalostí, osvětu a vzdělávání v oblasti své působnosti. Není tak nutné tato opatření duplikovat v dalším předpisu.

Vysvětlení potřebnosti řízeného přístupu k datům ve vztahu k implementaci DGA

Navrhovaná právní úprava představuje pouze implementaci části II DGA a je jen jednou částí z celkového souboru právních úprav, kterými Česká republika přizpůsobuje svůj právní řád DGA (další předpisy jsou v legislativním procesu18).

Řízený přístup k datům je vedle otevřených dat, veřejného datového fondu a propojeného datového fondu čtvrtým, doposud obecně právně neupraveným (až na specifické případy upravené v zákoně č. 372/2011 Sb., o zdravotních službách, a zákoně č. 89/1995 Sb., o státní statistické službě) způsobem předávání dat veřejné správy. Poskytování informací (dat) veřejnou správou v podobě otevřených dat je obecně upraveno v InfZ. Veřejný a propojený datový fond je pak zakotven v zákoně č. 111/2009 Sb., o základních registrech, a upravuje způsoby předávání dat mezi agendovými místy za účelem výkonu jejich agend.

Řízený přístup k datům upravuje datové toky počínající u subjektů veřejného sektoru a směřující k veřejnosti. Dle současné právní úpravy je obecně možné sdílení dat uchovávaných v ISVS a dalších registrech za jiným účelem, než pro které byly vytvořeny a pro které jsou v ISVS nebo dalších registrech uchovávány, pouze u dat veřejných podle InfZ. Také data, která však nemohou být poskytnuta podle InfZ, mají hodnotu spočívající v možnosti jejich sdílení a dalšího užití pro další účely, jako je například vědecký výzkum, datová žurnalistika nebo efektivní výkon veřejné správy. Všechna tato využití pak směřují k prospěchu společnosti jako celku a synergicky doplňují již nyní existující předpisy a principy eGovernmentu a digitalizace veřejné správy.

Základním principem řízeného přístupu k datům je umožnění přístupu k datům, u kterých je regulováno nakládání s nimi, tedy která jsou ze své povahy chráněná zákonem (např. protože jde o osobní údaje, jsou předmětem obchodního tajemství, představují obsah chráněný právy duševního vlastnictví třetích stran atd.). Cílem řízeného přístupu k datům je umožnit přístup k nim nebo jejich odvozeninám a jejich opětovné užití za vybranými zákonem předvídanými účely, které jsou v obecném slova smyslu ve veřejném zájmu, a zároveň zajištění, aby nedošlo k nepřiměřenému zásahu do chráněných práv. Příkladem řízeného přístupu může být zajištění anonymizovaných nebo transformovaných19 dat z dané datové sady, umožnění přístupu pouze přes zabezpečené počítačové rozhraní nebo jen ve fyzických prostorách správce dat, případně vytvoření právních záruk, které ochranu před zneužitím poskytnutých dat zajistí. Praktické dopady řízeného přístupu se projevují zejména v oblastech vědeckého výzkumu, vývoje a inovací, získávání statistiky o různých oblastech lidské činnosti pro účely rozšiřování znalostí a výkon svobody projevu v širším slova smyslu, vzdělávání a vhodného nastavování veřejných politik. Klíčovou součástí řízeného přístupu je rovněž možnost získat data od většího množství subjektů veřejného sektoru najednou a propojování dat a díky tomu pracovat s komplexnějším a celistvějším obrazem.

Řízený přístup k datům se vyskytuje v právní úpravě ve vybraných zahraničních jurisdikcích, jako jsou Spojené státy americké, ale i v právních řádech členských států EU. Příkladem může být Spolková republika Německo. V případě Německa neexistuje centrální orgán, který by řízený přístup k datům zajišťoval, a data pro vědecké účely jsou k dispozici prostřednictvím různých výzkumných datových center.

Ukázkovým příkladem dobré praxe fungujícího řízeného přístupu v určité oblasti je pak specifická právní úprava ve Finsku, která umožňuje přístup a opětovné užití osobních údajů z oblasti zdravotnictví a sociálních služeb.

V ČR se principy řízeného přístupu k datům objevují v zákoně č. 89/1995 Sb., o státní statistické službě, a v zákoně č. 272/2011 Sb., o zdravotních službách a podmínkách jejich poskytování. Zákon č. 89/1995 Sb. v § 17 odst. 1 písm. f) umožňuje v souladu s evropskými předpisy předání důvěrných statistických údajů na základě smlouvy za účelem vědeckého výzkumu.20 Dále zákon č. 89/1995 Sb. uvádí v § 18 odst. 1 písm. c), že Český statistický úřad může vypracovat a poskytnout statistické informace na základě smlouvy za cenu stanovenou dohodou. Zákon č. 272/2011 Sb. v § 73 upravuje omezené poskytování dat ze zdravotnických registrů za zákonem stanovených podmínek. Oba zákony neupravují řízený přístup k datům dostatečně. Druhý uvedený navíc vylučuje přístup široké veřejnosti, a to i pro obecně společensky prospěšné účely. Příkladem komplexní úpravy poskytování informací, která zahrnuje jak volný přístup formou veřejného datového fondu, tak prvky řízeného přístupu, je úprava katastru nemovitostí podle zákona č. 256/2013 Sb., o katastru nemovitostí.

Vzhledem k uvedenému a zároveň požadavkům vyplývajícím z výše popsané unijní úpravy správy dat je nutné v druhé části předkládaného zákona upravit řízený přístup k datům.

Základní členění navrhovaného zákona

Navrhovanou úpravu lze rozčlenit do hlavních okruhů:

a. Vymezení působnosti zákona

b. Správa dat

Obecné povinnosti a datová suverenita

Zapisování metadat

Katalogizace a tvorba datových slovníků

Národní katalog dat

Geoportál České republiky

c. Řízený přístup

Obecné podmínky a omezení

Proces vyřízení žádosti o povolení řízeného přístupu

Způsob zajištění a povinnosti žadatelů

d. Působnost Agentury a úloha příslušných subjektů

e. Kontrola

f. Sankce

4. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem ČR

Z hlediska ústavního pořádku se navrhovaný zákon dotýká následujících článků LZPS: čl. 2 odst. 2 a odst. 3, čl. 4 odst. 1, čl. 7, čl. 10, čl. 11, čl. 17 a čl. 34. Navrhovaný zákon je v souladu s ústavním pořádkem.

První část navrhovaného zákona věnující se správě dat má spíše technický charakter a nepředstavuje zvláštní dopady na ústavní pořádek ČR. V případě části upravující řízený přístup k datům je z vyjmenovaných základních práv a svobod nejrelevantnějším právo na ochranu soukromí. Na úrovni ústavního pořádku je toto právo upraveno především čl. 7 odst. 1, čl. 10 odst. 2 a 3 a čl. 13 LZPS. Klíčovou roli pak hraje čl. 10 odst. 3 LZPS, který výslovně zakládá právo „na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.“

Rozhodovací praxe Ústavního soudu následuje judikaturu Evropského soudu pro lidská práva (dále „ESLP“) a přistupuje ke konceptu soukromého a rodinného života se stejně rozšiřující tendencí.21 Důležitý limit možnosti omezit právo na ochranu soukromého a rodinného života tvoří čl. 4 odst. 4 LZPS, který uvádí, že „[p]ři používání ustanovení o mezích základních práv a svobod musí být šetřeno jejich podstaty a smyslu.“ Toto ustanovení, ve spojení s čl. 7 odst. 1 a čl. 10 LZPS, formulují jádro práva na ochranu soukromého a rodinného života. Toto jádro nemůže být omezeno a bude působit jako tvrdý limit pro právní úpravu a její aplikaci. K povaze materiálního obsahu práva na soukromí Ústavní soud uvedl: „Zachování materiálního obsahu práva na soukromí vyžaduje, aby v každém jednotlivém případě docházelo jen k takovému omezení základního práva, které je nutné a spravedlivě požadovatelné v demokratickém právním státě k tomu, aby byl ještě naplněn účel omezení. Jinými slovy, po identifikaci účelu, pro který má být základní právo omezováno, je třeba zkoumat, zda jde o omezení vhodné a potřebné (nutné) k tomu, aby byl dosažen aprobovaný cíl. Omezující zásah je vhodný, vykazuje-li takovou věcnou souvislost s účelem, že dosažení účelu přinejmenším podporuje. Potřebnost zásahu předpokládá, že k dispozici není žádný jiný, k právům dotčené osoby šetrnější, tj. menší újmu způsobující, a přitom stejně vhodný prostředek. Omezení základního práva na ochranu osobních údajů se nesmí vymykat z proporcionálního poměru k významu jím sledovaného cíle, …, tedy nesmí jít nad rámec toho, co je pro dosažení tohoto cíle nezbytné. Při splnění těchto předpokladů je omezení základního práva fyzické osoby jako individua vázaného na společenství a vztahujícího se k němu ospravedlnitelné.“22

Závěry z uvedeného spočívají v tom, že jakékoli opatření, které by způsobovalo omezení práva na ochranu soukromí (resp. soukromého a rodinného života) musí být v první řadě dostatečně konkrétní, přiměřené a nezbytné a bezprostředně směřující k požadovanému cíli. Z nedávné rozhodovací praxe, která je vzhledem k navrhované úpravě relevantní je pak možné zmínit nález Ústavního soudu, sp. zn. I.ÚS 740/15 ze dne 27. 6. 2017, a nález Ústavního soudu sp. zn. Pl. ÚS 25/21 ze dne 17. 1. 2023, ve kterém se Ústavní soud zabýval poskytováním údajů z Národního zdravotnického informačního systému.

Je důležité zmínit, že navrhovaná právní úprava nezakládá jakýkoli sběr nových osobních údajů ze strany státu. Předmětem navrhované úpravy z hlediska dopadů na ochranu soukromí je umožnění přístupu k jinak neveřejným osobním údajům a jejich případné další užití. Možnost tohoto přístupu však není neomezená, ale je jasně konkrétně stanovená. Ústavní konformnost je dodržena taxativním vymezením legitimních účelů, za kterými je možné přístup získat: (a) vědecký výzkum; (b) zajištění kontroly veřejné správy, nebo (c) výuka a vzdělávání. Všechny tyto legitimní účely jsou zařaditelné též pod výjimky uvedené čl. 8 odst. 2 Úmluvy. Limitace zneužití je pak nastavena i tím, že budou poskytnuty jen takové údaje, které jsou v daném případě vzhledem k žádosti nezbytné a příjemce je bude moci uchovávat jen po nezbytnou dobu. Zároveň, pokud by povaha žádosti byla taková, že by jakékoli vyhovění znamenalo nepřiměřený zásah do chráněných práv a zájmů subjektů údajů, správce dat poskytnutí dat odmítne. Při takovémto legislativním nastavení jsou obecně splněny podmínky vyplývající z Úmluvy, LZPS i rozhodovací praxe Ústavního soudu. Navrhovaná úprava není plošná a je jasně limitovaná účelem aplikace. Při formální aplikaci testu proporcionality dojdeme k závěru, že navrhovaná úprava jím může projít. Kritérium vhodnosti je naplněno, protože poskytnutí předmětných osobních údajů prostřednictvím řízeného přístupu umožňuje dosáhnout cíle, kterým je odemknutí jejich potenciálu a možnosti jejich využití za zákonem předvídanými společensky prospěšnými účely. Kritérium potřebnosti je také naplněno, protože neexistuje méně invazivní způsob, jak dosáhnout daného cíle. Třetí krok testu proporcionality pak bude nutné vykonat v případě každé žádosti, protože jej není možné v kontextu navrhované úpravy učinit abstraktně. Na druhou stranu, navrhovaná úprava s tímto počítá, kdy konkrétní kontrola přiměřenosti a řešení kolize práv je zajištěna v průběhu procesu poskytování dat. Vzhledem k tomu je navrhovaná právní úprava ústavně konformní, resp. bude možné ji interpretovat a aplikovat ústavně konformním způsobem.

5. Zhodnocení slučitelnosti s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie, popřípadě i s legislativními záměry a s návrhy předpisů Evropské unie

Navrhovaný právní předpis má za účel především zajistit implementaci dosud neimplementovaného sekundárního právního předpisu Evropské unie, tj. nařízení o správě dat.

V kontextu práva EU je navrhovaný zákon adaptačním předpisem konkrétně kapitoly II DGA. První část navrhovaného předpisu upravuje spíše technické sjednocení a standard pro správu dat řešenou na vnitrostátní úrovni bez jakéhokoli přesahu do práva EU. Druhá část navrhovaného předpisu je adaptačním předpisem ke kapitole II DGA, ale zároveň zakládá novou možnost řízeného přístupu k chráněným datům a jejich opětovné užití v bezpečném kontextu. V tomto směru právo EU tvoří limity pro legální další užití předmětných dat a informací.

Tyto limity jsou tvořeny jednak články Listiny základních práv Evropské unie (zejm. čl. 7 - Respektování soukromého a rodinného života, čl. 8 - Ochrana osobních údajů, čl. 11 - Svoboda projevu a informací, čl. 13 - Svoboda umění a věd a čl. 16 - Svoboda podnikání) a dále sekundární legislativou EU (zejména výše uvedené předpisy evropské datové strategie a GDPR). Důležitou roli pro stanovení hranic možné národní úpravy pak hraje rovněž rozhodovací praxe Soudního dvora Evropské unie, kde je nezbytné uvést zejména rozhodnutí C-439/19 ze dne 22. 6. 2021 (Latvijas Republikas Saeima), nebo rozhodnutí C-92/09 ze dne 9. 11. 2010 (Volker und Markus Schecke and Eifert). Navrhovaný zákon je komplementární k existující a rozvíjející se evropské datové legislativě tvořené zejména GDPR, a dalšími výše uvedenými předpisy. Navrhovaný zákon je s limity stanovenými uvedenou právní úpravou v souladu.

Právo na ochranu osobních údajů se do značné míry prolíná s právem na ochranu soukromého a rodinného života, jak bylo uvedeno výše. Zároveň jde ale o samostatné právo s vlastními základními účely a metodami. V aplikační rovině jde o právo, které má své kořeny silně zakotvené v právu EU. Článek 8 Listiny základních práv EU dává právní základ samostatné úpravě práva na ochranu osobních údajů. Zmínit je vhodné rovněž čl. 16 Smlouvy o fungování EU (bývalý článek 286 Smlouvy o ES), který výslovně zakotvuje, že každý má právo na ochranu osobních údajů, které se jej týkají. Hlavním relevantním předpisem je pak GDPR, a na něj navazující národní adaptační předpis v podobě zákona č. 110/2019 Sb. Je třeba zdůraznit, že právní úprava ochrany osobních údajů má dva základní účely, ke kterým regulace směřuje. Prvním, nepřekvapivým, účelem je ochrana osobních údajů, čímž dochází nepřímo k ochraně dalších práv a zájmů, do jejichž zásahu by mohlo nepřiměřeným zpracováním osobních údajů dojít. Druhým účelem regulace je vytvoření prostředí, v němž je možné zajistit bezpečné a korektní zpracování osobních údajů. Jinými slovy, zpracování osobních údajů je jev, který je regulací předpokládán, a ne něco, co se děje na základě zákonné výjimky, omezením nebo souhlasem dotčené osoby (jako je tomu v případě zásahu do práva na soukromí). Ochranu osobních údajů je třeba chápat jako systém pro korektní nakládání s informacemi. Právní regulace ochrany osobních údajů je vrcholně pragmatická, protože vychází ze základního předpokladu, že zpracování osobních údajů při činnostech a naplňování potřeb moderní společnosti bude a musí probíhat, a je jejím cílem, aby se tak dělo korektním způsobem, který bude co nejméně zasahovat do práv subjektů údajů. Probíhající zpracování osobních údajů tudíž automaticky samo o sobě nutně nepředstavuje zásah do základních práva člověka.

Z uvedeného ve vztahu k navrhované právní úpravě vyplývá, že samotný koncept umožnění přístupu k jinak neveřejným osobním údajům za legitimními účely, a jejich případné následné využití za těmito účely, není rovnou od základu v rozporu s režimem právní úpravy ochrany osobních údajů. Je však nezbytné zajistit dostatečné záruky, aby takové zpracování bylo korektní (férové), přiměřené a nezasahovalo do práv a zájmů subjektů údajů nepřiměřeným způsobem. Je samozřejmě možné, že v určitých konkrétních případech nebude možné osobní údaje řízeným přístupem poskytnout, protože by tak došlo k nepřiměřenému zásahu do chráněných práv a zájmů. Tento závěr však jde ruku v ruce se závěrem z předcházející části, kdy samozřejmě je třeba přiznat možnost, že v rámci konkrétního hodnocení testu proporcionality bude výsledek takový, že údaje není možné poskytnout. Nečiní to však celý koncept navrhované právní úpravy protiústavním a proto nepoužitelným.

Právní úprava dat veřejného sektoru je rámována Evropskou datovou strategií, která byla formulována na začátku roku 2020.23 Zahrnuje již existující právní předpisy, jako je GDPR, Nařízení o volném toku neosobních údajů (nařízení EU č. 2018/1807) a Směrnici o OD. Do rámce evropské datové strategie přibylo DGA,24 jehož cílem je jednak sjednotit pravidla poskytování specifických typů informací, a jednak zajistit bezpečné prostředí pro datové prostředníky a datový altruismus. Dalším nedávno přijatým předpisem je tzv. Data Act, který se zaměřuje na problematiku předávání dat mezi soukromými organizacemi a státními orgány (který však v kontextu navrhovaného zákona v zásadě není relevantní).

6. Zhodnocení souladu s mezinárodními smlouvami, jimiž je Česká republika vázána

Navrhovaný zákon nikterak nezasahuje do oblastí, které jsou upraveny mezinárodními smlouvami, jimiž je Česká republika vázána. Mezinárodní smlouvy, zejména lidskoprávní úmluvy v čele s Evropskou úmluvou o lidských právech a navazující výkladovou praxí ESLP stanoví v podobě garantování základních práv limity, které nemohou být novým předpisem překročeny. Tyto limity, které omezují zveřejňování informací, budou v kontextu druhé části navrhovaného zákona respektovány. První část navrhovaného zákona pak cílí na ryze vnitrostátní veřejnoprávní úpravu principů řízení dat v informačních systémech. Jedná se tak o zcela technicistní úpravu, která není mezinárodním právem nijak upravena a její aplikace nepůsobí možné kolize s existující mezinárodní úpravou. Je možné konstatovat, že mezinárodní smlouvy, kterými je ČR vázána, se na problematiku nevztahují.

Navrhovaná úprava, resp. část upravující řízený přístup, spadá obecně do oblasti působnosti čl. 8 Úmluvy o ochraně lidských práv (vyhlášené jako č. 209/1992 Sb., Sdělení federálního ministerstva zahraničních věcí o sjednání Úmluvy o ochraně lidských práv a základních svobod a Protokolů na tuto Úmluvu navazujících) (dále „Úmluva“), který garantuje právo na respektování rodinného a soukromého života. ESLP se ve své rozhodovací praxi zpracováním osobních údajů zabýval mnohokrát, a ochranu osobních údajů pod působnost čl. 8 Úmluvy zahrnul (viz např. rozsudky ESLP ze dne 28. 10. 1994 ve věci Murray proti Spojenému království, stížnost č. 14310/88, ze dne 4. 5. 2000 ve věci Rotaru proti Rumunsku, stížnost č. 28341/95 a ze dne 27. 6. 2017 ve věci Satakunnan Markkinapörssi Oy a Satamedia Oy proti Finsku, stížnost č. 931/13). Čl. 8 ve svém druhém odstavci uvádí limit práva na ochranu soukromého a rodinného života, který je však nezbytné interpretovat restriktivně. Z hlediska zákonodárných aktivit tvoří tvrdý nepřekročitelný limit materiální jádro, respektive esence obsahu chráněného práva a nezbytnost jejího zachování. Rozhodovací praxe ESLP zatím nicméně směřovala v kontextu vymezení esence čl. 8 Úmluvy převážně k otázkám rodinného života než soukromí jako takového (viz např. Sheffield a Horsham proti Spojenému království25 nebo Smith a Grady proti Spojenému království26, přičemž oba případy se týkaly homosexuálních sňatků a svazků). V kontextu užití technologií (například ke sledování osob nebo zpracování dat obecně) prozatím ESLP k výslovnému vymezení esence čl. 8 nepřistoupil.27 I přesto, že není esence obsahu práva chráněného čl. 8 ve vztahu k analyzované problematice ESLP zatím stanovena, je třeba k jakémukoli jeho omezení přistupovat opatrně a restriktivně. Podmínkou pro omezení práva na soukromý a rodinný život je, že (i) omezení musí být provedeno za jedním z účelů uvedených v čl. 8 odst. 2 Úmluvy, (ii) musí být zakotveno v zákoně, a (iii) musí úspěšně projít testem proporcionality. Zvláštní ochrany pak dle ESLP zasluhují údaje o zdravotním stavu, jak vyplývá např. z rozsudku L. H. proti Lotyšsku, č. 52019/0728. ESLP konstatoval, že v případě stěžovatele došlo k porušení článku 8 Úmluvy, neboť shledal, že použitelný zákon dostatečně jasně neuvádí rozsah diskreční pravomoci svěřené příslušným orgánům a způsob jejího výkonu.

V kontextu navrhované právní úpravy je proto možné konstatovat, že její cíle je možné, v návaznosti na to, za jakým účelem a kým jsou data vyžádána, zahrnout pod podmínky uvedené v čl. 8 odst. 2 Úmluvy, a to konkrétně pod podmínky hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky a ochrany práv a svobod jiných. Nutnou podmínkou však zůstává řádné legislativní zakotvení a proporcionalita řešení.

Na základě navrhované právní úpravy budou též ukládány dostatečně předvídatelné sankce. Tyto sankce budou ukládány a vymáhány standardním způsobem prostřednictvím procesu, který zajišťuje všechna práva vyplývající z Úmluvy. Právo na spravedlivé řízení je garantováno systémem správního soudnictví, neboť všem osobám pravomocně uznaným vinnými z přestupku se umožňuje podat ke správnímu soudu žalobu proti pravomocnému rozhodnutí správního orgánu.

7. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty a na podnikatelské prostředí České republiky

Dopady na státní rozpočet a ostatní veřejné rozpočty

Dopady na státní rozpočet a ostatní veřejné rozpočty jsou podrobně rozebrány v Závěrečné zprávě RIA.

Dopady bude představovat především vybudování infrastruktury pro přístup k datům, proškolení personálu na správu dat, vyčlenění personálních kapacit pro zajišťování řízeného přístupu a adaptace informačních systémů na plnění povinností správy dat.

Aplikace principů správy dat, které v konečném důsledku výrazně zvýší efektivitu výkonu veřejné správy a umožní efektivní digitalizaci, nese náklady jednak v podobě jednorázových nákladů nezbytných pro jejich zavedení a jednak v podobě očekávaných průběžných nákladů vynaložených zejména na platy datových expertů působících v institucích, na které zákon bude dopadat.

Celkové odhadované náklady pro zavedení principů správy dat: a) Jednorázové pro zavedení plnění povinností včetně rezervy na zajištění úpravy ISVS: 292 860 000,- Kč; b) Celkové roční personální a provozní náklady: 242 120 000,- Kč. K tomu je navíc třeba přičíst konkrétní náklady na vznik a provoz geoportálu České republiky: a) Jednorázové náklady pro zřízení geoportálu České republiky: 87 000 000,- Kč; b) Celkové roční personální a provozní náklady: 17 000 000,- Kč.

Zároveň je možné očekávat z hlediska dopadů na státní rozpočet a ostatní veřejné rozpočty řadu nepřímých přínosů, které však není možné jednoznačně kvantifikovat. Patří mezi ně např. úspory vyplývající z optimalizace procesů na základě znalosti dat, zisky vyplývající z dalšího užití dat, rozvoj katalogizace dat a jejich další užití veřejným a soukromým sektorem a na to navazující ekonomické benefity na straně státu (zejm. daně, zaměstnanost atd.). Jejich detailní rozpis obsahuje závěrečná zpráva RIA.

Náklady na zavedení řízeného přístupu k datům jsou pak při správné aplikaci principů správy dat nízké v podobě jednorázových nákladů na vybudování infrastruktury pro zajištění řízeného přístupu odhadované na cca 52 720 000 korun. Roční náklady na provoz a expertní pozice pro zajištění agendy vyřizování žádostí o řízený přístup k datům a zajištění anonymizačního procesu jsou odhadovány na cca 28 590 000 korun ročně. Ostatní náklady na nezbytnou aplikaci řízeného přístupu lze spojit s náklady na zajištění správy dat.

Příjmy v podobě poplatku 3000 Kč za žádost nejsou započítávány, protože jsou vzhledem k očekávanému množství žádostí o řízený přístup ročně zanedbatelné.

Jak vyplývá ze zprávy RIA, hlavní zátěž nákladů spočívá v zajištění korektní správy dat, nikoli v zajištění řízeného přístupu. Nedostatečně kvalitní správa dat veřejného sektoru je dlouhodobým dluhem české veřejné správy, který brzdí efektivitu veřejné správy a dále zvyšuje náklady. Orgány veřejné správy jsou na hraně možností a bez navýšení svých kapacit a prostředků nové povinnosti nebudou schopny korektně plnit. Předkládaný návrh je pak řešením, který se pokouší minimalizovat náklady za současného zachování maxima užitku a efektivity.

Pokud má dojít k rozvoji českého eGovernmentu a pokud mají být naplněny cíle, které si předkládaný materiál stanovil, je nezbytné dané prostředky vynaložit.

Odhadovaný dopad na veřejné rozpočty

Oblast úpravy Jednorázové náklady pro zavedení plnění povinností Celkové roční personální a provozní náklady Správa dat 292 860 000 242 120 000 Zřízení geoportálu České republiky 87 000 000 17 000 000 Zajištění a proces řízeného přístupu k datům 53 060 000 30 870 000  Celkový součet 432 920 000 289 990 000  

Oblast úpravyJednorázové náklady pro zavedení plnění povinnostíCelkové roční personální a provozní náklady
Správa dat292 860 000242 120 000
Zřízení geoportálu České republiky87 000 00017 000 000
Zajištění a proces řízeného přístupu k datům53 060 00030 870 000
Celkový součet432 920 000289 990 000

Zdroj financování

Pro efektivní naplnění povinností vyplývajících z navrhovaného předpisu je nezbytné, aby správci dat, příslušné subjekty a Agentura byli dostatečně věcně, odborně a zejména personálně vybaveni. Bez splnění tohoto požadavku není reálné dosáhnout cílů navrhované regulace. V případě příslušných subjektů (a jednotného informačního místa) pak povinnost zajistit dostatečné zdroje členskému státu vyplývá přímo z DGA.

Očekávané náklady budou generovat další výdajové požadavky ze státního rozpočtu nad rámec schválených výdajových limitů na roky 2025 až 2027 a to konkrétně v letech 2026 a 2027. V roce 2025 návrh nové výdaje nepřináší, a to vzhledem k tomu, že teprve v jeho průběhu dojde k jeho schválení. Ustanovení, která nabydou účinnosti v první vlně po schválení předpisu sama o sobě nutné náklady nepřináší. Ty jsou spojeny až s přípravou plnění povinností, které nabydou účinnosti k 1. lednu 2028 a 1. lednu 2029.

Vzhledem k tomu je nezbytné, aby došlo k navýšení tabulkových míst u správců dat dle jejich konkrétních potřeb. Zejména se jedná o pokrytí rolí Datový architekt, Datový analytik případně Datový steward (dle standardu DMBOK) potřebných pro popis datových struktur a jejich údržby včetně činností spojených s případným předáváním dat. Je zřejmé, že ty se mohou vzhledem k povaze konkrétního správce dat lišit, kalkulace proto počítá s průměrnými hodnotami. Je proto na konkrétních správcích dat (správcích jednotlivých dotčených rozpočtových kapitol) identifikovat potřebu navýšení svých kapitol rozpočtu nad rámec schválených rozpočtových limitů nebo stanovených limitů počtu míst a objemu prostředků na platy a zahrnout je do standardního vyjednávání o podobě relevantní kapitoly státního rozpočtu. Financování bude součástí rozpočtů příslušných kapitol.

Dopady na podnikatelské prostředí

Dopady na podnikatelské prostředí jsou příznivé.

Z hlediska dopadů na podnikatelské prostředí budoucí právní úprava nepřináší nové náklady. Podobně jako v případě hodnocení mezinárodní konkurenceschopnosti ČR očekáváme přínosy v podobě naplnění potenciálu efektivního využívání dat.

Dopady jsou dále podrobně rozebrány v Závěrečné zprávě RIA.

8. Zhodnocení sociálních dopadů, včetně dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, dopadů na ochranu práv dětí a dopadů na životní prostředí

Navrhovaná právní úprava nepředpokládá žádný negativní dopad na práva specifických sociálních skupin obyvatel, jako jsou zdravotně postižení, národnostní menšiny, zaměstnanci a jiné. Navrhovaný zákona také nebude mít žádný specifický dopad na ochranu práv dětí, ani na životní prostředí. Navrhovaná úprava může přinést pozitivní dopady do sociální oblasti, vzhledem k tomu, že efektivní nakládání s daty umožní lepší rozhodování orgánů veřejné správy (vč. orgánů působících v sociální oblasti) v podobě vhodně nastavených data-based politiky. Umožní rovněž efektivní analýzu úspěšnosti sociálních programů a politik. Vzhledem k tomu dojde k optimalizaci výdajů v oblasti sociálních politiky a v konečném důsledku zlepšení situace v této oblasti.

9. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů, které musí obsahovat vysvětlení účelu navrhovaného zpracování osobních údajů a popis návaznosti na stávající nebo již připravovaná zpracování osobních údajů, posouzení navrhovaného řešení zpracování z hlediska nezbytnosti a přiměřenosti ve vztahu k jím sledovanému účelu a posouzení rizik pro práva a svobody fyzických osob a možných opatření k jejich snížení

Navrhovaná právní úprava sleduje dva základní cíle. Prvním cílem je zajistit podmínky pro efektivní správu dat ve veřejném sektoru. Druhým cílem je umožnění řízeného přístupu k datům, k nimž za současné právní úpravy přístup možný není. Okruh těchto dat je vymezen v souladu s čl. 3 odst. 1 DGA. Jednou z kategorií, které jsou návrhem dotčeny jsou i doposud neveřejné osobní údaje.

Z hlediska prvního cíle (tedy zavedení principů dobré správy dat) navrhovaná právní úprava nezakládá nové zpracování osobních údajů a celkově se problematiky ochrany soukromí a osobních údajů nijak nedotýká a nepřináší tak z hlediska ochrany soukromí a osobních údajů žádné negativní dopady. Vzhledem k tomu se tato část prvnímu cíli navrhované právní úpravy dále nevěnuje.

Druhý cíl navrhované právní úpravy, tedy zajištění možnosti řízeného přístupu k datům, zakládá zpracování osobních údajů v podobě provádění anonymizace a pseudonymizace dožádaných údajů a dále v podobě řízeného poskytování jinak neveřejných osobních údajů oprávněným žadatelům. Zároveň tak navrhovaná právní úprava otevírá dveře možnému dalšímu užití těchto poskytnutých údajů. Z hlediska ochrany osobních údajů se jedná o poměrně zásadní novinku, kterou je třeba nejprve vyhodnotit z hlediska očekávaných důsledků, které může na chráněná práva a zájmy subjektů údajů mít. K druhému cíli je proto potřeba provést detailní hodnocení dopadů.

Úvodem této kapitoly je třeba poznamenat, že není (a nemůže být) Data Protection Impact Assessment, neboli posouzení vlivu na ochranu osobních údajů (dále „DPIA“) ve smyslu čl. 35 GDPR. Jedná se o abstraktní zhodnocení dopadů regulace na úrovni zákonodárce. Stejně tak nemůže být součástí tohoto hodnocení konkrétní technické provedení chystaného zpracování, protože to už je otázkou a odpovědností správců údajů při chystaném zpracování. DPIA podle čl. 35 pak provádí konkrétní správci osobních údajů v konkrétním kontextu chystaného a probíhajícího zpracování.29

Shrnutí základní charakteristiky chystaného zpracování:

Cílem chystaného nově upraveného zpracování osobních údajů je umožnit žadatelům zabezpečený přístup k doposud zcela neveřejným osobním údajům a jejich další užití za zákonem předvídanými účely. Tyto účely tvoří limit, pro který je možné předmětné osobní údaje požadovat a dále je zpracovávat. Jak je uvedeno výše, jde o následující: (a) vědecký výzkum; (b) zajištění kontroly veřejné správy, nebo (c) výuka a vzdělávání. Předkládaný návrh tak zakládá nový způsob zpracování osobních údajů v podobě procesu jejich poskytnutí žadateli, a následně otevírá možnost dalšího zpracování žadatelem. Vzhledem k povaze předmětných osobních údajů, mezi které spadají i osobní údaje zařazené mezi zvláštní kategorie podle čl. 9 GDPR, je vhodné k hodnocenému zpracování od začátku přistupovat jako k vysoce rizikovému.

Navrhované zpracování věcně vychází z úpravy přítomné v DGA. To v Kapitole II samo o sobě nezakládá povinnost zpracování osobních údajů, ani přímo nevytváří právní základ, na kterém by mohlo zpracování spočívat. Přesto je z povahy DGA zřejmé, že slouží jako prostředek pro vytvoření zákonného rámce, uvnitř kterého má navrhované zpracování osobních údajů probíhat, a které je předvídáno evropským zákonodárcem. Kapitola II DGA upravuje některé otázky přístupu a opakovaného použití chráněných dat (včetně osobních údajů). Navrhovaná právní úprava se pohybuje přesně v tomto rámci vymezeném Kapitolou II DGA. DGA dále uvádí, že jím není dotčena právní úprava ochrany osobních údajů (bod odůvodnění č. 4) a že se na veškeré osobní údaje zpracovávané v souvislosti s DGA vztahují unijní i vnitrostátní předpisy ochrany osobních údajů (čl. 1 odst. 3 DGA). Z hlediska regulace ochrany osobních údajů proto zamýšlené zpracování osobních údajů podléhá ochraně a limitům GDPR a zákonu č. 110/2019 Sb.

V kontextu zamýšleného zpracování osobních údajů je možné identifikovat dva základní správce údajů. Prvním je povinný subjekt, který osobní údaje spravuje a bude je na základě žádosti poskytovat. Variantě, v případě propojování více datových zdrojů, které by prováděla DIA, se budou v procesu poskytování dat DIA a povinný subjekt nacházet v pozici společných správců, protože jimi byl společně stanoven účel (splnění zákonné povinnosti v reakci na žádost) a prostředky (konkrétní způsob provedení předání údajů) daného zpracování. Druhý základní typ správce údajů se objevuje v případě dalšího užití získaných údajů. Tehdy se žadatel dostává do pozice správce údajů a musí tak plnit povinnosti vyplývající z GDPR. Je však nutné dodat, že ve variantě, kdy jsou vyžádané údaje poskytovány v anonymní podobě, a tedy již nemohou sloužit k identifikaci subjektu údajů, se žadatel v pozici správce nenachází a s daty může nakládat bez omezení.

Jak bude dále argumentováno, při nastavení systému regulace je možné najít rovnováhu mezi chráněnými právy a zájmy subjektů údajů a právy a zájmy, které jsou na straně žadatelů o data. Je nutné ale předeslat, že navrhovaná úprava předpokládá efektivní výkon pravomoci ze strany dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (dále „ÚOOÚ“).

Vztah k existující zvláštní úpravě řízeného přístupu k datům

V ČR se principy řízeného přístupu k datům objevují v zákoně č. 89/1995 Sb., o státní statistické službě a v zákoně č. 272/2011 Sb., o zdravotních službách a podmínkách jejich poskytování. Zákon č. 89/1995 Sb. v § 17 odst. 1 písm. f) umožňuje v souladu s evropskými předpisy předání důvěrných statistických údajů na základě smlouvy za účelem vědeckého výzkumu. Dále zákon č. 89/1995 Sb. uvádí v § 17 odst. 1 písm. f), že orgány provádějící státní statistickou službu „předávají důvěrné statistické údaje pro účely vědeckého výzkumu na základě smlouvy, která stanoví splnění podmínek ochrany těchto údajů a přesný způsob jejich využití v souladu s právem Evropských společenství, a to právnickým osobám, jejichž základním posláním je vědecký výzkum“. § 18 odst. 1 písm. c) pak uvádí, že Český statistický úřad může vypracovat a poskytnout statistické informace na základě smlouvy za cenu stanovenou dohodou. Zákon č. 272/2011 Sb. v § 73 upravuje omezené poskytování dat ze zdravotnických registrů za zákonem stanovených podmínek.

Zásadní rozdíl navrhované úpravy oproti exitujícím režimům je, že se neomezuje na umožnění řízeného přístupu pouze za účelem provádění vědeckého výzkumu, ale jsou umožněny i další důvody. Z tohoto hlediska je možné exitující zvláštní úpravu vnímat jako rigidnější a v základu silněji chránící základní právo na ochranu soukromí a osobních údajů. Tento nedostatek je v kontextu navrhované úpravy mitigován v podobě robustního systému nástrojů zabezpečení (jak je rozebráno dále).

Zajištění ochrany práv subjektů údajů

Klíčovým prvkem právního rámce ochrany osobních údajů jsou práva subjektů údajů. Ta jsou uvedena zejm. v čl. 12-22 GDPR. Subjekty údajů jimi mohou aktivně vstupovat do procesu zpracování, učinit jej tím transparentním a celkově motivovat správce údajů k naplňování zásady odpovědnosti dle čl. 5 odst. 2 GDPR.30 Navrhovaná právní úprava tak buď musí subjektům údajů dávat efektivní možnost svá práva vymáhat, anebo musí spadat do některé z výjimek z aplikace práv uvedených v čl. 12-22, které GDPR obsahuje. Z hlediska umožnění řízeného přístupu bude vyplývat znalost o možnosti takové činnost ze zákona (zde je nutné presumovat zásadu neznalost práva neomlouvá). Na posílení transparentnosti proběhlého zpracování je pak možné zapojit technická řešení, např. v podobě zaznamenání toho, jaká data byla z jakých databází, komu zpřístupněna, a na to navazující možnost subjektů údajů získat tyto informace od jednotného informačního místa (které o vyřízených žádostech o řízený přístup bude mít přehled).

V kontextu hodnocení zajištění ochrany práv subjektů údajů pro další užití získaných dat je třeba uvést, že řada takto získaných dat bude spadat pod aplikaci výjimek z práv subjektů údajů. Typicky půjde o následující situace:

  • - Získané osobní údaje byly anonymizovány v souladu s potřebami žadatele. Data se nacházejí mimo působnost aplikace právní úpravy ochrany osobních údajů.

  • - Získané osobní údaje byly pseudonymizovány. Stále se jedná o osobní údaje, ale splnění např. informační povinnosti není možné, protože součástí dat není kontakt a krom toho díky silné míře pseudonymizace bude rizikovost dalšího zpracování velmi nízká. V takovém případě se bude aplikovat výjimka čl. 11 a čl. 14 odst. 5 GDPR.

  • - Osobní údaje jsou získány a opětovně užívány za účely, které spadají pod aplikaci odchylek uvedených v čl. 89 GDPR (účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely). Pokud budou splněny další záruky zákonnosti není nemožnost subjektu údajů naplnit svá práva překážkou. Zároveň je nutné zdůraznit, že český zákonodárce využil v zákoně č. 110/2019 Sb. na maximum prostoru, který mu GDPR z hlediska aplikace těchto odchylek dává.

Z uvedeného vyplývá, že navrhovaná právní úprava nezpůsobuje nepřiměřený zásah do možnosti výkonu práv subjektů údajů.

Vyjádření rizik navrhované právní úpravy

Navrhovaná právní úprava nevytváří rizika pro existující rejstříky s osobními údaji. Nerozšiřuje ani množinu osobních údajů, které jsou veřejnou správou zpracovávány, nezakládá ani nové účely pro jejich sběr.

Hlavní rizika navrhované právní úpravy z hlediska ochrany soukromí a osobních údajů jsou dvě. První spočívá v zásahu do práva na ochranu soukromí a osobních údajů způsobeném neoprávněným, nepřiměřeným, nebo neproporcionálním poskytnutím osobních údajů prostřednictvím řízeného přístupu. Toto riziko v současné právní úpravě takřka není přítomné, protože možnost řízeného přístupu k osobním údajů obecně neexistuje.

Druhé riziko vyvstává v návaznosti na poskytnutí osobních údajů a spočívá v zásahu do práva na ochranu soukromí a osobních údajů způsobeným protiprávním zpracováním těchto údajů žadatelem. Opět, ani toto riziko v současné právní úpravě takřka není přítomné, protože možnost řízeného přístupu k osobním údajů obecně neexistuje.

Preventivní zákonné prostředky snížení rizika zpracování osobních údajů:

Navrhovaná právní úprava obsahuje preventivní zákonné prostředky snižující uvedená rizika.

Jde o následující:

  • - Omezení účelů, za kterými je možné o řízený přístup žádat: (a) vědecký a historický výzkum; (b) zajištění kontroly veřejné správy, nebo (c) výuka a vzdělávání.

  • - Oblasti informací, které budou vyňaté z plánované právní úpravy.

  • - Technické zabezpečení řízeného přístupu k datům, jak je předvídá DGA. Jde o třístupňový systém přístupu buď k plně nebo takřka plně anonymizovaným údajům, využití zabezpečeného připojení, nebo přístupu k údajům v zabezpečených fyzických prostorách správce dat, jednotného místa nebo příslušného orgánu ve smyslu čl. 7 DGA. Správci dat musí volit takový způsob poskytnutí, aby bylo jakékoli riziko maximálně sníženo.

  • - Obstání v testu proporcionality.

  • - Stanovení povinností nakládání s poskytnutými údaji a na ně navazující sankce.

  • - Posouzení vlivu na ochranu osobních údajů.

  • - Další technické a právní záruky obsažené v GDPR.

Tento systém preventivních prostředků je natolik robustní, že umožňuje výše uvedená rizika minimalizovat.

Hodnocení navrhované právní úpravy z hlediska základních zásad uvedených v čl. 5 GDPR:

Následující body jsou primárně zaměřené na hodnocení zpracování, které je předmětem navrhované úpravy. Vzhledem k provázanosti s účelem dalšího užití jsou uvedeny rovněž základní principy a případně rovněž očekávatelná řešení dalšího zpracování osobních údajů, které budou prostřednictvím řízeného přístupu poskytnuty žadateli. Je to proto, neboť riziko zásahu do práva na ochranu soukromí a osobních údajů nepředstavuje pouze samo poskytnutí, ale rovněž následné využití poskytnutých dat.

Tyto další základní principy jsou však jen demonstrativním výčtem, protože předmětem tohoto dokumentu z jeho podstaty nemůže být konkrétní hodnocení následného zpracování. Tyto principy je tak třeba chápat jako doporučení, kterými by se správci údajů data dále využívající měli řídit v souladu s posláním DPIA. Souladem aktu o správě dat s GDPR se zabýval i Evropský sbor pro ochranu osobních údajů a Evropský inspektor ochrany údajů ve Společném stanovisku č. 03/2021 ze dne 10. března 202131.

  • a) Zákonnost, korektnost a transparentnost: Zpracování bude prováděno na základě zákonného zmocnění, na základě čl. 6 odst. 1 písm. c), případně písmeno e) GDPR. Korektnost je pak dána jednak charakterem zdrojové legislativy, navrhovaná úprava v tomto směru nic nemění a jednak povahou zákonnosti procesu řízeného přístupu k datům. Transparentnost vychází z toho, že je zpracování založené zákonem (zde je nutné presumovat zásadu neznalost práva neomlouvá). Zvýšení transparentnosti je pak možné dosáhnout možností subjektů údajů nahlédnout do záznamů toho, kdo data zpracovává.

Na straně příjemce dat bude i bez výslovné právní úpravy následné zpracování probíhat na základě právního základu čl. 6 odst. 1 písm. písmeno e) GDPR, pokud půjde o veřejnoprávního uživatele, případně o oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR), pokud půjde o soukromoprávního žadatele. Ten bude muset v souladu se zásadou odpovědnosti správce obhájit a unést důkazní břemeno existence oprávněného zájmu. V tomto kontextu je však nutné dodat, že rozsah zpracovávaných údajů, způsob jejich dalšího zpracování a vlastně všechny klíčové otázky, které musí být před zahájením zpracování vyřešeny, bude žadatel v rámci své žádosti probírat s poskytovatelem řízeného přístupu. Nemělo by tak dojít k situaci, kdy by byly poskytnuty osobní údaje, které by pak nebyly využitelné pro deklarovaný účel, za kterým byly poskytnuty (protože pak by vůbec poskytnuty být neměly). Pro úplnost je vhodné dodat, že zpracování zvláštních kategorií osobních údajů za účelem vědeckého výzkumu je umožněno čl. 9 odst. 2 písm. j) GDPR.

  • b) Účelové omezení: Zpracování je vymezeno jako nové zpracování s novými účely (umožnění přístupu k údajům, využití jejich informačního potenciálu za předvídanými účely a umožnění dalšího zpracování za těmito předvídanými účely). Účely, za kterými jsou osobní údaje poskytovány řízeným přístupem podle navržené právní úpravy jsou obecně slučitelné s původními účely sběru a zpracování osobních údajů:

Účely kontroly veřejné správy

  • - Požadavky testu slučitelnosti účelu podle čl. 6 odst. 4 GDPR jsou naplněny: existuje zde vazba mezi původními (již existujícími) účely a účelem navrhovaným; zůstává nezměněn vztah mezi správcem a subjektem údajů a okolnosti zpracování osobních údajů; byť mohou být zpracovávány zvláštní kategorie osobních údajů podle čl. 9 a 10 GDPR, dopad tohoto zpracování a jeho riziko jsou minimalizovány předpokládanými technickými a organizačními opatřeními; důsledky zamýšleného dalšího zpracování pro subjekty údajů jsou při zachování předpokladu fungování právního rámce ochrany osobních údajů nulové; může dojít k zavedení anonymizace nebo pseudonymizace, pokud je snížení informační hodnoty dožádaných dat vzhledem k formulovanému konkrétnímu účelu akceptovatelné.

Vědecký výzkum

  • - Zpracování se v souladu s čl. 5 odst. 1 písm. b) GDPR považuje za slučitelné.

Výuka a vzdělávání

  • - Navazující zpracování je možné založit na výjimce pro svobodu projevu ve smyslu čl. 85 GDPR a národní právní úpravy. Krom toho, zpracování bude dále limitováno zásadou minimalizace údajů s možností zapojení anonymizačních technik, které dále snižují riziko vyplývající ze zpracování osobních údajů.

V případě dalšího užití takto zveřejněných údajů nový správce osobní údajů určuje nové účely a prostředky zpracování, kterými je dále vázán. Účely dalšího užití jsou omezeny předpokládanými účely, pro které je možné řízený přístup k datům žádat. Mohou být dále vymezeny v rozhodnutí o povolení řízeného přístupu Takto vymezenými účely je nový správce osobních údajů následně vázán.

  • c) Minimalizace údajů: Požadavek na minimalizaci údajů je naplněn, protože správce dat bude prostřednictvím řízeného přístupu poskytovat jenom ty osobní údaje, které jsou nezbytně nutné vzhledem k formulované žádosti a jejímu účelu. Pokud bude možné daného účelu dosáhnout poskytnutím anonymizovaných nebo pseudonymizovaných údajů, bude mít takové řešení přednost.

V kontextu dalšího užití smí nový správce osobních údajů zpracovávat jen ty osobní údaje, které jsou nezbytné pro účel, který si vymezí.

  • d) Přesnost: Požadavek na přesnost osobních údajů je naplněn již požadavkem na přesnost zpracování v režimu zdrojové legislativy.

V kontextu dalšího užití je požadavek přesnosti zásadní, protože nový správce osobních údajů musí zajistit, že pro svoji další činnost (zejména vědeckou) zpracovává pouze přesné osobní údaje.

  • e) Omezení uložení: Požadavek na omezení uložení není na straně správce dat problematický, protože v kontextu poskytování řízeného přístupu bude zpracování omezeno průběhem a přenosem dat, případně bude limitováno vymezením žádosti a jejími účely.

V kontextu dalšího užití musí správce osobních údajů vymazat osobní údaje ve chvíli, kdy je naplněn jejich účel, který pro zpracování stanovil na jeho počátku. Doložka časového omezení zpracování může být součástí podmínek poskytnutí dat řízeným přístupem.

  • f) Integrita a důvěrnost: Tento aspekt je pro chystané zpracování osobních údajů zásadní. Integrita a důvěrnost plánovaného zpracování osobních údajů je v návrhu právní úpravy adresována v souladu s čl. 5 odst. 3 DGA v podobě stupňovitého řešení způsobu provedení řízeného přístupu. Pro korektní a bezpečné provedení tohoto zpracování osobních údajů je proto nezbytné, aby technické zabezpečení provádění řízeného přístupu naplňovalo vysoké standardy ochrany, a riziko úniku osobních údajů bylo, pokud možno minimalizováno. K tomu je nezbytné zapojit vhodná technická a organizační opatření. Důležitou roli v zajišťování ochrany této zásady pak plní navazující právní úprava v podobě zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.

Příjemce osobních údajů musí řádně zajistit jejich zabezpečení se vším, co k tomu náleží a při vědomí toho, že se může jednat o vysoce rizikové osobní údaje. Tuto povinnost není třeba v návrhu adresovat, protože vyplývá přímo z požadavků GDPR.

  • g) Odpovědnost: Zásada odpovědnosti souvisí s konkrétním zpracováním konkrétním správcem osobních údajů. Není možné ji presumovat v obecném hodnocení rizik regulace.

To obecně platí i pro oblast dalšího zpracování. Zde je možné jen připomenout, že nový správce osobních údajů má povinnost zajistit dodržení výše uvedených zásad a být schopen toto dodržení prokázat.

Závěr hodnocení dopadů chystané regulace na ochranu osobních údajů

Závěrem této části je možné na základě výše uvedených poznatků konstatovat, že návrh v podobě, v jaké je představen, představuje nižší riziko pro zpracování osobních údajů, nepřináší neproporcionální negativní dopady na práva a právem chráněné zájmy subjektu údajů a zároveň v principu umožňuje dostatečné odůvodněné následné zpracování osobních údajů. Takové zpracování pak musí být v souladu s GDPR a dalšími předpisy ochrany osobních údajů. Návrh identifikuje rizika a nabízí vhodné záruky, které tato rizika minimalizují. Návrh tak působí jako vhodný nástroj vyrovnávající zájem a cíle ochrany osobních údajů a obecný zájem a cíl korektního zpracování, ze kterého může společnost profitovat.

10. Zhodnocení korupčních rizik

V rámci přípravy návrhu zákona byla posouzena míra korupčních rizik v souladu s metodikou hodnocení korupčních rizik. Návrh nevytváří nová korupční rizika. Návrh bude mít pozitivní vliv na snižování korupce v ČR, protože akcentuje transparentnost v široké oblasti fungování veřejné správy a hospodárné využívání ISVS.

Vzhledem ke skutečnosti, že navrhovaný zákon do značné míry rozšiřuje transparentnost, resp. přístup k informacím veřejného sektoru, oproti stávajícímu stavu se povinnost poskytovat data rozšiřuje. Naopak má zákon přispět k účelnějšímu přístupu k datům veřejného sektoru a umožnit jejich kvalitativně lepší zpracování a využití, čímž posílí i úroveň možných analýz veřejných politik a prognózování. Navrhovaný zákon tak v obecném smyslu posiluje dostupnost informací.

11. Zhodnocení dopadů na bezpečnost nebo obranu státu

Navrhovaná právní úprava nebude mít dopady na bezpečnost nebo obranu státu. Informační systémy a příslušné kategorie dat, vztahující se k bezpečnosti státu, k ochraně, bezpečnosti osob, majetku, veřejného pořádku a k ochraně zájmů České republiky a jejích občanů v zahraničí, jsou z působnosti navrhovaného zákona vyjmuty.

12. Zhodnocení dopadů na rodiny, zejména s ohledem na plnění funkcí rodiny, s ohledem na počet vyživovaných členů, na případnou přítomnost hendikepovaných členů a rodiny samoživitelů, rodiny se třemi a více dětmi a další specifické životní situace, dále s ohledem na posílení integrity a stability rodiny a posílení rodinné harmonie, lepší rovnováhy mezi prací a rodinou a na posílení mezigeneračních a širších příbuzenských vztahů

Navrhovaná právní úprava nebude mít dopady na rodiny, plnění funkcí rodiny ani další faktory rodinné politiky a dané oblasti se nedotýká.

13. Zhodnocení územních dopadů, včetně dopadů na územní samosprávné celky

Navrhovaná právní úprava nemá dopad na území ani územní samosprávné celky. Územní samosprávné celky nebudou správci dat povinnými podle navrhovaného zákona a povinnosti vyplývající pro správu dat a poskytování přístupu k datům se na ně neaplikují, návrh proto nepřináší nové požadavky na infastrukturu ani administrativní kapacitu územních samosprávných celků.

14. Zhodnocení souladu navrhovaného řešení se zásadami tvorby digitálně přívětivé legislativy

V rámci této kapitoly je zhodnocen soulad navrhovaného zákona s hlavními deseti zásadami pro tvorbu digitálně přívětivé legislativy.

Budování přednostně digitálních služeb (princip digital by default)

Nově navrhované principy a komponenty řešení infrastruktury pro přístup k datům vznikají jako digitální, samoobslužné služby, bez nutnosti fyzického vyplňování žádostí nebo návštěv úřadů. Proces podávání žádostí o řízený přístup k datům bude plně elektronický, zároveň s ohledem na DGA budou veškeré informace a katalogy datových zdrojů dostupné online.

Maximální opakovatelnost a znovu použitelnost údajů a služeb (princip only once)

Komponenty řešení infrastruktury pro přístup k datům a realizované služby jsou navrženy v principu pro opakované použití dat veřejného sektoru. Jako předpoklad efektivního využívání informací jsou pak upravena základní pravidla správy dat veřejného sektoru, která mají umožnit subjektu veřejného sektoru efektivně využívat již jednou shromážděná data a předejít tak situacím, kdy si subjekty veřejného sektoru opatřují data pro své účely nekoordinovaně a opakovaně. Smyslem celého návrhu je právě umožnění opakovaného a řízeného sdílení dat veřejného sektoru napříč veřejnou správou a s širokou množinou oprávněných subjektů, a to s respektováním pravidel ochrany údajů. Navrhované služby doplňují koncepty propojeného a veřejného datového fondu veřejné správy.

Budování služeb přístupných a použitelných pro všechny, včetně osob se zdravotním postižením (princip governance accessibility)

Tato zásada není návrhem zákona upravena, právní úprava se řídí obecnými právními předpisy upravující tuto problematiku.

Sdílené služby veřejné správy

Navrhované služby jsou koncipovány jako sdílené a plně respektující základní principy eGovernmentu, jako je propojený datový fond a veřejný datový fond. Vybudování infrastruktury pro přístup k datům by mělo přispívat ke sdílení dat a služeb jak ve veřejné správě, zejména usnadněním tvorby analýz a výzkumu veřejných politik, tak i s vymezením okruhu žadatelů, zejména pro vědecké a výzkumné účely.

Konsolidace a propojování ISVS

Ze své podstaty přispívá navrhované řešení k propojování dat z ISVS, a tedy i ke konsolidaci datového fondu veřejné správy. Zároveň služby poskytované infrastrukturou pro přístup k datům přispívají k opakovanému využívání dat a napomáhají ke snížení míry mnohočetně budovaných informačních systémů, funkcionalit, služeb a dat. Návrh zákona vytváří pouze informační systém, jímž bude Národní katalog dat (dále „NKD“). Ten bude propojen s jiným již existujícím informačním systémem, Národním katalogem otevřených dat (dále „NKOD“), a vznikne tak ucelený katalog dat umožňující mít přehled o datech dostupných z většiny (zákonem vymezených) ISVS.

Mezinárodní interoperabilita – budování služeb propojitelných a využitelných v evropském prostoru

Národní katalog dat a Jednotné informační místo přispějí ke sdílení informací a služeb v evropském prostoru v rozsahu zpřístupňování datových sad a služeb podle DGA. NKD bude napojen na evropskou infrastrukturu přístupu k datům a skrze Jednotné informační místo bude umožněn přístup k datům i subjektům v rámci celé EU. Navržená legislativa tak zohledňuje potřeby a povinnosti výměny údajů dle principů mezinárodní interoperability stanovené v DGA.

Ochrana osobních údajů v míře umožňující kvalitní služby (princip GDPR)

Návrh zákona je plně v souladu s touto zásadou. Viz zhodnocení dopadů na ochranu osobních údajů.

Otevřenost a transparentnost včetně otevřených dat a služeb (princip open government)

Návrh zákona sám o sobě nikterak neomezuje otevřenost a transparentnost, jeho cílem je otevřenost, transparentnost a přístupnost dat dále zvyšovat, ovšem nepokrývá problematiku otevřených dat. Návrh doplňuje do českého právního řádu novou možnost, jak přistupovat k datům veřejné správy, která nemohou být kvůli režimu jejich ochrany zveřejňována v režimu otevřených dat.

Technologická neutralita

Návrh zákona neomezuje technické ani technologické prostředky, které mohou využívat dotčené subjekty a nijak nepředurčuje konkrétní způsob technického řešení. Digitální služby realizované navrhovaným zákonem budou technologicky nezávislé a neutrální. Je garantováno, že přístup k veřejným službám nebude závislý na konkrétní (předem určené) platformě či technologii. Toho bude docíleno dodržením otevřených standardů a norem.

Uživatelská přívětivost

Návrh zákona nepředpokládá v této oblasti odchylky od obecné právní úpravy. Návrh zákona má za cíl zvýšit počet uživatelů využívajících data shromažďovaná subjekty veřejného sektoru. Služby budou koncipovány tak, aby byly srozumitelné, uzpůsobené rozdílným požadavkům různých cílových skupin uživatelů služeb v populaci a dostupné i subjektům z ostatních členských států EU. Zpřístupněné služby budou z hlediska uživatelského rozhraní otevřené, nebudou se omezovat na proprietární rozhraní nebo jediný standard a předjímat jediný způsob využití služby.

15. Schválení zákona v prvém čtení

Navrhovatelka navrhuje, aby Poslanecká sněmovna postupovala podle § 90 odst. 2 zákona o jednacím řádu Poslanecké sněmovny a vyslovila s návrhem zákona souhlas již v prvém čtení. Důvodem pro tento postup je již téměř dvouleté prodlení při implementaci příslušné legislativy EU (Data Governance Act) a související probíhající řízení o porušení smluv, dále široká poptávka vědecké a odborné komunity po této právní úpravě, a konečně potřeba zlepšení správy dat uvnitř veřejné správy nezbytná pro realizaci práva občana na využití údajů, které státní správa již o něm má k dispozici.

B.

ZVLÁŠTNÍ ČÁST

K části první

SPRÁVA DAT A ŘÍZENÝ PŘÍSTUP K DATŮM

K § 1 (Předmět úpravy)

K odst. 1:

Navrhuje se vymezit předmět úpravy v návaznosti na přímo použitelný předpis sekundárního práva EU, jelikož podstatná část zákona je adaptací českého právního řádu na ustanovení DGA. Zákon implementuje nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat), konkrétně zejména jeho kapitolu II, která upravuje opakované použití určitých kategorií chráněných dat v držení subjektů veřejného sektoru. Návrh dále implementuje některé části kapitoly IX (Závěrečná a přechodná ustanovení) a kapitoly I (Obecná ustanovení).

Ačkoliv DGA neukládá povinnost zavést na národní úrovni nové možnosti přístupu k datům, obsahuje zákon úpravu nových pravidel pro přístup k určitým kategoriím chráněných dat, neboť nařízením regulované opakované užití určitých kategorií chráněných dat není v současné době podle českého právního řádu prakticky možné (až na několik specifických výjimek).

K odst. 2:

Ustanovení odstavce 2 vymezuje předmět úpravy té části zákona, jež není implementační (ačkoliv je nařízení DGA označeno v českém překladu jako akt o správě dat, samotnou správou dat v informačních systémech se nařízení nezabývá). Tato část směřuje na stanovení pravidel pro správu dat veřejného sektoru. Obecná a koherentní zákonná úprava správy dat shromažďovaných v ISVS zatím absentuje a zároveň zamýšlená adaptace opakovaného použití dat subjektů veřejného sektoru je bez obecných povinností správy dat prakticky neproveditelná (to ostatně zmiňuje i DGA v recitálu 16: S cílem usnadnit a podpořit využívání dat v držení subjektů veřejného sektoru pro účely vědeckého výzkumu se subjekty veřejného sektoru vybízejí, aby pro účely vědeckého výzkumu ve veřejném zájmu vypracovaly harmonizovaný přístup a harmonizované postupy pro zajištění snadné dostupnosti těchto dat. To by mohlo mimo jiné znamenat vytvoření zjednodušených administrativních postupů, standardizovaného formátování dat, informativních metadat o možnostech výběru metodiky a shromažďování dat a standardizovaných datových polí, která umožňují snadné propojení souborů dat z různých zdrojů dat veřejného sektoru, je-li to relevantní pro účely analýzy.).

Správou dat se v odstavci 2 přitom označuje široké spektrum činností, při kterých se obsah ISVS udržuje přehledně a tak, aby umožňoval mimo jiné opakované použití dat. Ačkoliv je v odst. 2 zmíněna pouze správa dat, z dalších ustanovení zákona jednoznačně vyplývá, že návrh cílí na správu dat obsažených v ISVS. Z tohoto důvodu není v odst. 2 explicitně uváděno, že se jedná o správu dat veřejné správy.

K § 2 (Věcná působnost)

K odst. 1:

Data, jež budou podléhat povinnostem správy a bude je možné poskytovat pomocí řízeného přístupu, se vymezují jako data obsažená v ISVS. Informační systémy veřejné správy definuje zákon č. 365/2000 Sb., o informačních systémech veřejné správy, v § 2 odst. 1 písm. b) jako “funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost pro účely výkonu veřejné správy nebo plnění jiných funkcí státu anebo dalších veřejnoprávních korporací. Každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností.” Oproti rozsahu, který obsahuje InfZ, toto ustanovení cílí pouze na data přítomná v ISVS jako infrastruktuře, která má již zákonem vymezenou jistou kvalitu a strukturu, jež navíc vzniká z veřejných prostředků a shromažďuje významné množství údajů a velkých datových celků. Pro příklad, zákon tak neodpadá na výzkumná data ve smyslu zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů, protože tato data nejsou vedena v ISVS.

Navrhují se zahrnout vedle dat jako hlavního obsahu ISVS výslovně i provozní údaje, které jsou záznamem o používání ISVS. Provozní údaje se jako samostatná složka ISVS objevují v ZoISVS, kde § 2 odst. 1 písm. b) stanoví, že “každý informační systém veřejné správy zahrnuje data, která jsou uspořádána tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále technické a programové prostředky, případně jiné nástroje umožňující výkon informačních činností.” Pojem provozních údajů, jako množiny, se kterou je potřeba nakládat zákonným způsobem, obsahují i další zákony upravující e-government (např. zákon č. 111/2009 Sb., o základních registrech). Na provozní údaje se vztahují ustanovení zákona pouze tehdy, je-li to v ustanovení výslovně uvedeno a v rozsahu jimi stanoveném. Povinnosti vztahující se k provozním údajům jsou výslovně uvedeny pouze v § 5 zákona, proto se na provozní údaje vztahují pouze tyto části zákona týkající se správy dat obsažené v Hlavě II, nikoli části zákona týkající se řízeného přístupu.

Provozními údaji mohou být například auditní záznamy (logy) či konfigurační údaje, záznamy o přístupech do systému atd. Pokud bude podána žádost o řízený přístup k takovému typu dat datům, tj. provozním údajům, bude postupováno podle § 45 odst. 3 správního řádu a řízení o takové žádosti bude zastaveno z důvodu její zjevné právní nepřípustnosti.

Pro úplnost je třeba uvést, že povinnosti správců ISVS vyplývající ze zákona o ZoISVS nejsou tímto zákonem dotčena.

Data, která mohou být poskytnuta na základě tohoto zákona, mohou obsahovat pouze údaje ve formě neumožňující přímé určení osoby, které se poskytnuté údaje týkají.

Správce dat je dále definován v § 4 jako správce informačního systému veřejné správy podle zákona o ZoISVS.

K odst. 2:

Ustanovení pro vyloučení pochybností jednoznačně vylučuje aplikaci zákona na data a provozní údaje vedené v ISVS využívaných pro nakládání s utajovanými informacemi. Z působnosti zákona jsou tedy vyjmuta všechna data a provozní údaje, které jsou obsahem těchto zvláštních typů ISVS.⁠​‌​‌​​‌​​‌‌​‌​​​⁠

K odst. 3:

Z množiny dat obsažených v ISVS správců dat se vyjímají ta data a provozní údaje, u kterých by nové povinnosti správy dat, katalogizace a poskytování přístupu ohrožovalo bezpečnostní, obranné, finanční či jiné důležité zájmy státu. Výjimka se stanoví i pro potřeby archivnictví, jelikož oblast archivnictví a spisové služby má vlastní podrobnou úpravu správy údajů a nakládání s dokumenty, a povinnosti správy dat a přístupu k datům podle navrhovaného zákona nelze vzhledem k specifikům této oblasti uložit.

Povinnosti správy dat a řízeného přístupu tak nedopadnou na data ani provozní údaje, jejichž charakter je citlivý a jejichž zpřístupnění by neslo nepřiměřená rizika pro činnost zpravodajských služeb, bezpečnostních sborů, pro zajišťování obrany státu, vedení trestních řízení, finanční zájmy státu atd. Typicky tak jde o data v systémech zpravodajských služeb nebo Armády ČR, případně ve vybraných systémech bezpečnostních sborů, NBÚ nebo NÚKIB.

K písm. d) Podrobné informace o jednotlivých trestných činech není zpravidla možné zveřejnit bez určité míry pseudonymizace, a to s ohledem na možné ohrožení činnosti orgánů činných v trestním řízení či riziko druhotné viktimizace obětí či identifikace pachatele. InfZ ale předpokládá, že míru a způsob pseudonymizace zvolí, v krátkém časovém úseku pro vyřízení žádosti, sám povinný subjekt (policie). Ten ale nemusí mít úplné informace o tom, jakým způsobem chce žadatel informace interpretovat, a zvolená metoda pseudonymizace pak může být nevyhovující s ohledem na účel.

Ilustrují to data dostupná na webu kriminalita.policie.cz, která jsou zde agregovaná do policií uměle vytvořených polygonů, místo na uliční úseky, což je mezinárodně používaný standard. Takový způsob pseudonymizace znemožňuje použití mezinárodně zaběhnuté metodiky pro jejich analýzu.

Dalším důvodem vyjmout orgány činné v trestním řízení je potřeba nezveřejňování informací o mravnostní kriminalitě, protože existuje vysoké riziko druhotné viktimizace obětí.

Nevyhovující rámec pro zveřejňování informací a jejich příprava vyžaduje kvalifikovanou úvahu o jejich pseudonymizaci, což formuloval právě v případě policejních dat i Ústavní soud, když v nálezu II. ÚS 3339/20, odst. 62 pojmenoval institut "neformální kooperace" mezi žadatelem a povinným subjektem, sloužící k pojmenování potřeb obou stran a nalezení vyhovující technické formy poskytnutí informací.

Naznačené problémy řeší instituty obsažené v zákoně. Jednak je zde předpoklad spolupráce mezi žadatelem a správcem dat co do podoby předzpracování dat, a navíc je možné žadatele zavázat k nezveřejnění poskytnutých informací, což InfZ realisticky neumožňuje. Na rozdíl od publikace v režimu InfZ tedy odpadá otázka, jak má správce dat s každou další žádostí moderovat riziko, které hrozí propojením dříve zveřejněných informací s těmi následujícími.

K písm. e) Uvedená výjimka míří zejména na dotčené systémy a data ve správě České národní banky a Finančního analytického úřadu.

K písm. f) Archivy uchovávají archiválie (dokumenty, které byly vzhledem ke své informační hodnotě vybrány k trvalému uchování a vzaty do evidence archiválií) z řady oblastí lidské činnosti. Vzhledem ke značné heterogenitě přebíraných archiválií od původců, jejich často hybridnímu charakteru (digitálně i analogově) i k nutnosti časového odstupu pro stanovení informační hodnoty či nutnosti dosáhnout kompletnosti při zpracování větších celků dokumentů či informací přebíraných postupně se v praxi, a to i zahraniční, zpracovávají archiválie pro zpřístupnění s odstupem jednotek až desítek let. Tomuto odpovídají i právní nástroje omezující nahlížení po dobu 30 let, dále uplatnění principů ochrany osobních údajů, souhlas s nahlížením u citlivých údajů atd. Současné znění zákona č. 499/2004 Sb. připouští anonymizaci archiválií pouze u dobových statistických a demografických souborů dat, a to v přiměřené době a s ohledem na úkoly archivu, resp. s přihlédnutím k významu archiválií. Zpracování archiválií pro jejich zpřístupňování zahrnuje třídění, pořádání a popis archiválií včetně popisu entit v podobě autoritních záznamů, které slouží k vyhledávání, identifikaci a lokalizaci jednotek popisu, a může dle rozsahu a složitosti trvat měsíce až roky.

V případě, že by bylo nutné primárně zpracovávat nejnovější archiválie v návaznosti na případné uplatnění žádostí o přístup dle DGA, navíc s nutnou anonymizací dat, došlo by k výraznému zpomalení zpřístupňování archiválií vzniklých ve 20. století, přičemž panuje výrazný veřejný zájem na zpřístupňování těchto archiválií s ohledem na vyrovnání se s následky totalitních a autoritativních režimů 20. století.

Správa a zpřístupňování dokumentů, které jsou v péči archivů, jsou dlouhodobě regulovány komplexním souborem pravidel zohledňujících jejich specifika. Příslušná právní úprava, zákon č. 499/2004 Sb. a jeho prováděcí předpisy, vytváří autonomní systém evidence dokumentů tvořený třemi evidenčními vrstvami – základní, druhotnou a ústřední evidencí Národního archivního dědictví. Tento systém zajišťuje provozovatelům archivní sítě i adresátům jejích služeb adekvátní přehled o jednotlivých komponentách Národního archivního dědictví, a vůči nim tak naplňuje účel, který ve vztahu k jiným datům sleduje navrhovaný zákon pravidly správy dat. Zákon č. 499/2004 Sb. komplexně reglementuje i přístup k dokumentům v péči archivů, a to včetně zohlednění specifik různých typů údajů v dokumentech obsažených (osobní údaje, obchodní tajemství apod.). I v tomto směru tak zajišťuje to, co sleduje navrhovaný zákon (úpravou řízeného přístupu k datům). Vedle existence autonomní úpravy správy a zpřístupňování dokumentů v péči archivů se k výjimce pro archivy přistupuje i z toho důvodu, že část archivní sítě je součástí správních úřadů nebo veřejnoprávních korporací, které jsou z působnosti navrhovaného zákona vylučovány. Archivy jsou součástí organizační struktury Ministerstva obrany, Národního úřadu pro kybernetickou a informační bezpečnost, Národního bezpečnostního úřadu a některých úřadů územních samosprávných celků. Situace, kdy by z tohoto důvodu část archivů nepodléhala navrhovanému zákonu a část ano, není žádoucí. Vynětí archivů konečně souzní i s vůlí unijního normotvůrce, neboť DGA v čl. 3 odst. 2 písm. c) vylučuje svou působnost ve vztahu k datům v držení kulturních zařízení, mezi které se dle recitálu 12 počítají i archivy. Výjimka směřuje na data, u kterých byla provedena archivace ve smyslu zákona o archivnictví.

K písm. i) Samostatnou kategorii výjimek tvoří informační systémy spravované územními samosprávnými celky, tj. obcemi a kraji, u kterých se vzhledem k minimálnímu množství jimi spravovaných ISVS a zároveň omezeným kapacitním, personálním a technickým možnostem nejeví ukládání nových povinností správy dat a řízeného přístupu jako efektivní a hospodárné. Uvedené zcela jistě platí pro menší obce. Větší (statutární) města a kraje, u kterých by bylo možné argumentovat, že mají dostatečné prostředky na plnění požadovaných povinností jsou do výjimky zahrnuty z toho důvodu, že zákon nemá v úmyslu vůbec v této své pilotní fázi vytvářet náklady na straně územních samospráv. Rozšíření působnosti na kraje a statutární města je představitelné v budoucnu, pokud tomu budou nasvědčovat výsledky hodnocení dopadů a fungování regulace. Dobrovolné svazky obcí jsou rovněž společenstvími obcí.

K vyloučení územních samosprávných celků a dobrovolných svazků obcí lze také uvést následující. Jejich vyloučení z aplikace zákona není v rozporu s DGA, protože zákon nevylučuje aplikaci DGA. DGA nestanoví povinnost řízený přístup umožnit, stejně tak nestanoví, v jakém rozsahu k tomu dojde. To je zcela na rozvaze členských států. DGA pouze stanoví, že pokud se tak děje v kontextu předmětných dat, tak je třeba dodržovat povinnosti, které DGA požaduje. Pokud ale národní právo nestanoví, že k poskytování dat dochází, neaplikuje se (v návaznosti) ani DGA. DGA stejně tak ani neurčuje, že se vztahuje jen na data vedená v ISVS – i to je výsledek rozvahy při přípravě zákona. Pokud by hypoteticky došlo například k novele zákona o krajích nebo o obcích, a tato novela by zavedla povinnost územního samosprávného celku umožnit za nějakých podmínek řízený přístup k osobním údajům, tak se na takové případy budou povinnosti DGA vztahovat (tak jako se již nyní vztahují na poskytování údajů dle zákona o státní statistické službě nebo statistických zdravotních údajů z NZIS), bez ohledu na to, jak je formulován text zákona. Lze doplnit, že otázka správy dat je otázkou zcela na úrovni národní právní úpravy. V tomto směru je volba správců dat opět zcela na rozhodnutí zákonodárce. Konečně, je třeba zdůraznit ekonomický rozměr případného zavedení povinností navrhovaného zákona na územní samosprávné celky, který je (jak je detailně popsáno v RIA) zcela neúnosný.

Jak je uvedeno v § 2 odst. 1 tohoto zákona, aby došlo k jeho aplikaci, je nezbytné, aby se jednalo o data vedená v ISVS. Příspěvkové organizace územních samosprávných celků tento předpoklad nenaplňují, jelikož nejsou správci ISVS a data jimi spravovaná ve valné většině nejsou vedena v ISVS.

K písm. j) Ustanovení pro vyloučení pochybností jednoznačně vylučuje aplikaci zákona na data a provozní údaje vedené v ISVS spravovaných bezpečnostními sbory. Ustanovení navazuje i na čl. 3 odst. 2 písm. d) DGA, které z působnosti nařízení vyjímá data chráněná z důvodů veřejné bezpečnosti, obrany nebo národní bezpečnosti.

K odst. 4:

Elektronické systémy spisové služby představují stěžejní nástroj provádění spisové služby, institutu, který má jeho vykonavatelům zajistit správu dokumentů, které mají v držení, a to po celý jejich životní cyklus. Mj. má umožnit, aby vykonavatelé spisové služby (dikcí příslušné právní úpravy veřejnoprávní původci) měli o svých dokumentech přehled co do umístění, obsahu a historie jejich existence. Právní úprava spisové služby, zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby, ve znění pozdějších předpisů, a národní standard pro elektronické systémy spisové služby tak vytvářejí ucelený regulatorní rámec katalogizace specifické množiny souborů dat, statických dokumentů (převážně statických textových dokumentů nebo statických kombinovaných textových a obrazových dokumentů). Cíl, který sleduje navrhovaný zákon pravidly správy dat, tak již je právní úpravou spisové služby dosažen. Charakter statických dokumentů tkvící ve vyjádření nesené informace prostým textem či kresbou i osobité uspořádání elektronických systémů spisové služby vyžadované zvláštnostmi spisové služby (elektronické systémy jsou spíše určitými sbírkami „listin“ než klasickými databázemi údajů) současně ztěžuje jejich užití při řízeném přístupu způsobem, který by bylo možno klasifikovat jako efektivní.

Z působnosti zákona jsou vyňata data a provozní údaje vedené v elektronických systémech spisové služby atestovaných podle zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů. Podle § 63 odst. 3 zákona č. 499/2004 Sb. se povinnost potvrzení splnění požadavků nevztahuje na některé veřejnoprávní původce. Aby zákon nezaváděl disproporci mezi veřejnoprávními původci s povinností používat pouze atestovaný elektronický systém spisové služby a veřejnoprávními původci bez této povinnosti, odkazuje zde zákon na § 63 odst. 3 zákona č. 499/2004 Sb. a vyjímá ze své působnosti také data a provozní údaje vedené v elektronických systémech spisové služby správců dat uvedených v § 63 odst. 3 věta třetí zákona č. 499/2004 Sb.

Odstavec 4 zákona vyjímá pouze data a provozní v informačním systému, který slouží výhradně k výkonu spisové služby ve smyslu § 2 písm. l) zákona č. 499/2004 Sb., tedy data a provozní údaje vedené v informačních systémech plnících funkci základní evidenční pomůcky ve smyslu § 8 odst. 1 vyhlášky č. 259/2012 Sb., o podrobnostech výkonu spisové služby.

Zákon č. 499/2004 Sb. v § 69d odst. 2 předpokládá platnost atestu po provedení změny elektronického systému spisové služby za předpokladu vyrozumění Ministerstva vnitra a atestačního střediska, které atest vydalo, o změnách v elektronickém systému spisové služby spojeným s prohlášením, že elektronický systém spisové služby nadále splňuje příslušné požadavky. Výjimka ze zákona bude platit i v době mezi změnou elektronického systému spisové služby a vyrozuměním Ministerstva vnitra a atestačního střediska spojeným se zmíněným prohlášením.

Ustanovení § 69d odst. 6 zákona č. 499/2004 Sb. normuje pravidlo, podle kterého veřejnoprávní původce může využívat elektronického systému spisové služby po zneplatnění atestu až po dobu 1 roku. Výjimka v odst. 4 se uplatní i za této situace.

K odst. 5:

V případě, kdy je ISVS tvořen více funkčně, technicky nebo logicky oddělenými celky, vztahuje se odst. 2 a 3 pouze na ty celky, které slouží k účelům v něm vymezeným. Například, v případě Ministerstva spravedlnosti půjde typicky o informační́ systémy, které Ministerstvo spravedlnosti spravuje (smluvní stranou je v tomto případě Ministerstvo), avšak využívány jsou tyto systémy soudy a státními zastupitelstvími v postavení orgánů činných v trestním řízení, přičemž samo Ministerstvo spravedlnosti orgánem činným v trestním řízení není.

Důležitou podmínkou pro takto dělenou aplikaci je, že dané části ISVS jsou opravdu funkčně oddělené, takže nemůže dojít k narušení ochrany částí z působnosti zákona vyňatých.

K § 3 (Vymezení některých pojmů)

K písm. a) Navrhuje se definovat pojem metadata zvlášť pro účely zákona, jelikož kvůli požadavkům na katalogizaci a správu dat bude nezbytné zaznamenávat metadata v podrobnější podobě (oproti např. InfZ). Vlastní definice metadat obsahuje například již InfZ, zákon o právu na informace o životním prostředí nebo zákon o Sbírce právních předpisů územních samosprávných celků a některých správních úřadů. Zmíněné předpisy však obsahují nedostatečně přiléhavou definici metadat, proto je navržená definice kombinací již existujících vymezení metadat (jež vymezují metadata jako souvislosti, obsah, strukturu zaznamenaných informací a jejich správu v průběhu času) doplněná o vlastnosti, tak aby se zaznamenávaly ty údaje, které jsou nezbytné pro naplnění zamýšlených cílů katalogizace dat a datových rozhraní i navazujících technických požadavků na využitelnost metadat. Podrobnosti struktury metadat stanoví Agentura v otevřené formální normě (viz § 6) (dále “OFN“).

K písm. b) Navrhuje se zvlášť definovat pojem datová rozhraní. Datovým rozhraním může podle uvedené definice být jakýkoliv technický prostředek, který umožní uživateli přistupovat k datům v ISVS, ať už jde o datové rozhraní veřejné či neveřejné. Datovým rozhraním může být například aplikační rozhraní umožňující čtení části dat z ISVS nebo datový soubor obsahující kopii dat z ISVS.

K písm. c) Navrhuje se zvlášť definovat pojem datový slovník. Datovým slovníkem je dle uvedené definice popis struktury a významu dat vedených v ISVS v podobě pojmů, které reprezentují typy subjektů a objektů práv (typy osob, věcí a dalších předmětů právních vztahů), jejich vlastnosti a vztahy mezi nimi. Zavedení datových slovníků má za cíl zvýšení transparentnosti a pochopení dat a usnadnění jejich sdílení a výměny.

Ukázka datového slovníku: slovník zákona č. 111/2009 Sb., o základních registrech

Název: Agenda

Typ: Objekt práva

Definice: Ucelená oblast působnosti orgánu veřejné moci nebo ucelená oblast působení soukromoprávního uživatele údajů.

Zdroj: § 2 písm. e) zákona č. 111/2009 Sb., o základních registrech

Název: Kód agendy

Typ: Vlastnost pojmu Agenda

Definice: Kód agendy je veřejným identifikátorem, který je jednoznačně přiřazen záznamu o agendě v číselníku agend v registru práv a povinností.

Zdroj: § 13 zákona č. 111/2009 Sb., o základních registrech

Název: Název agendy

Typ: Vlastnost pojmu Agenda

Popis: Název agendy je referenčním údajem o agendě vedený v Registru práv a povinností.

Zdroj: § 51 odst. 6 písm. a) zákona č. 111/2009 Sb., o základních registrech

Název: Agendový informační systém

Typ: Objekt práva

Definice: Agendovým informačním systémem se rozumí informační systém veřejné správy, který slouží k výkonu agendy, využívání elektronických formulářů nebo elektronické identifikaci.

Popis: Jedná se o informační systémy jednotlivých orgánů veřejné moci, které jsou prostřednictvím rozhraní napojeny na základní registry. V případě, kdy agendový systém pracuje s referenčními údaji, požádá si o tyto údaje ze základních registrů, úředník není tedy nucen vyžadovat tyto údaje od žadatele.

Zdroj: § 2 písm. f) zákona č. 111/2009 Sb., o základních registrech

Název: Je vykonávána agendovým informačním systémem

Typ: Vztah mezi Agenda -> Agendový informační systém

Popis: Přiřazuje k agendě agendový informační systém, který slouží k výkonu agendy.

Zdroj: § 2 písm. f) zákona č. 111/2009 Sb., o základních registrech

Jak je vidět z uvedeného příkladu, v datovém slovníku nejsou vedena konkrétní data, ale pouze kategorie metadat, které si můžeme představit jako „nadpisy sloupců“ v tabulce.

K § 4 (Správce dat)

Navrhuje se vymezit správce dat jako správce informačního systému veřejné správy podle zákona o informačních systémech veřejné správy. Navrhovaná úprava tak konzistentně navazuje na existující právní úpravu, se kterou mají adresáti právních norem dlouholetou zkušenost.

Navrhovaný pojem je věcně de facto podmnožinou subjektů veřejného sektoru vymezených v DGA. Vzhledem k tomu, že je zákon částečně implementační, je zohlednění vymezení osobní působnosti v DGA nezbytné i s ohledem na soulad s cíli unijní úpravy.

DGA obsahuje široké vymezení subjektů veřejného sektoru a pokrývá veškeré orgány veřejné správy, které navržená úprava zamýšlí regulovat. Subjektem veřejného sektoru DGA v čl. 2 odst. 17 stanoví “stát, regionální nebo místní orgán,veřejnoprávní subjekt nebo sdružení tvořené jedním nebo více takovými orgány nebo jedním nebo více takovými veřejnoprávními subjekty.” Veřejnoprávním subjektem potom nařízení v čl. 2 odst. 18 rozumí ty subjekty, které “jsou založeny za zvláštním účelem spočívajícím v naplňování potřeb veřejného zájmu a nemají průmyslovou nebo obchodní povahu; mají právní osobnost; a jsou financovány převážně státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty; nebo podléhají řídicímu dohledu těchto orgánů nebo subjektů; nebo v jejichž správním, řídícím nebo dozorčím orgánu je více než polovina členů jmenována státem, regionálními nebo místními orgány nebo jinými veřejnoprávními subjekty.”

Zároveň vzhledem k povaze národní úpravy správního práva není možné převzít definici z DGA doslovně, protože stát sám o sobě nemůže být správce dat. Stejně tak je nutné ze zákonné definice eliminovat regionální a místní orgány, které v národním kontextu zpravidla nejsou správci ISVS a samotný pojem nařízení je pro účely zákona příliš neurčitý (nejedná se pouze o obce a kraje, ale i jejich vlastní orgány), a vzhledem k technickým, odborným a právním požadavkům na správce dat podle navrhovaného zákona nevhodný. Tento krok, respektive vymezení povinných subjektů, je přitom umožněn na základě čl. 1 odst. 2 DGA, který zdůrazňuje, že nařízení neukládá subjektům veřejného sektoru nové povinnosti, tj. povolovat opakované použití dat. Vymezení, které subjekty veřejného sektoru vyjmenované v čl. 2 odst. 17 a 18 DGA budou podléhat nově ukládaným povinnostem správy dat a zpřístupňování dat podle navrhovaného zákona, je tak ponecháno na uvážení národního zákonodárce.

K hlavě II Správa dat

K § 5 (Základní povinnosti při správě dat)

K odst. 1:

Navrhuje se stanovit obecnou povinnost pro řádnou (resp. dobrou) správu dat a provozních údajů v ISVS. Zákon má za cíl explicitně zdůraznit, že data představují v současnosti hodnotu samu o sobě a nakládání s nimi proto musí být vnímáno jako hospodaření se svého druhu státním majetkem. Dobrá správa dat je zásadním předpokladem pro dlouhodobou udržitelnost kvality dat veřejné správy. Bez správy dat jejich kvalita v čase degraduje. Nekvalitní data pak není možné používat pro účely, pro která byla primárně vytvořena. Není ale ani možné je sdílet, ať už uvnitř veřejné správy mezi jednotlivými informačními systémy, tak i s oprávněnými subjekty mimo veřejnou správu. Není také možné provádět informované rozhodování na základě dat.

Řádná správa dat zahrnuje široké spektrum činností a pravidel fungování organizace, které je možné shrnout do následujících oblastí:

  • - Řízení a organizace správy dat – organizační, procesní a kompetenční zajištění správného chování, rozhodování a kontroly v oblasti péče o data, s cílem vytvořit podmínky a předpoklady pro systematický výkon řádné správy dat po celou dobu jejich životního cyklu. Součástí je rovněž dodržování principu Archiving by Design, který je klíčový z hlediska archivace dat spravovaných v Informačních systémech veřejné správy a pro jejich přenos do příslušného digitálního archivu

  • - Stanovení datových potřeb – zmapování a prioritizace relevantních oblastí dat v organizaci, identifikace příležitostí a potřeb v těchto oblastech, definice a prioritizace požadavků na datová řešení a vytvoření plánu aktivit směřujících k jejich naplnění, to vše s cílem zajistit správné směrování úsilí a efektivní využívání zdrojů při správě dat

  • - Popis dat a datových řešení – inventarizace, evidence, kategorizace, popis, definice a modelování dat, datových toků a komponent zapojených do řešení datových potřeb, s cílem poskytovat přehled o datech a datových tocích nezbytný pro dohledatelnost, efektivní správu a využívání dat

  • - Realizace datových řešení – implementace nových a rozvoj stávajících datových řešení (probíhající často v rámci rozvoje informačních systémů) s cílem umožnit následné získávání/vytváření, ukládání, zpracování a zpřístupňování dat

  • - Zajištění a využívání dat – provozování datových řešení (tj. získávání/vytváření, ukládání, zpracování a zpřístupňování dat) a následná tvorba datových produktů (reportů, analýz, datových sad apod.), s cílem zajistit kvalitně, bezpečně a efektivně spravovaná a zpřístupněná data a datové produkty naplňující datové potřeby.

Kvalitní správa dat a standard pro správu dat jsou dále rozvedeny ve vládou schválené Strategii řízeného přístupu k datům pro zajištění podmínek pro kvalitní správu datového fondu VS ČR. Dostupné na: https://data.gov.cz/spr%C3%A1va-dat/strategie-spr%C3%A1vy-dat/ .

K odst. 2:

Zakotvuje se povinnost udržovat tzv. datovou suverenitu, kterou Informační koncepce ČR (https://archi.gov.cz/ikcr) pojímá jako princip s cílem mít “neustálý a plný přístup a kontrolu vůči všem datům informačních systémů ve své správě. To zaručují zejména:

  • - smluvní zajištění – data jsou ve vlastnictví objednatele (úřadu), a to úplně všechna, včetně customizačních parametrů a zdrojových kódů,

  • - architektura řešení - je plně transparentní a také data (tabulky) jsou také transparentní. Řešení informačního systému jsou navržena a realizována tak, že úřad má kdykoli přístup ke svým datům, i po konci životního cyklu ISVS, a to ve standardizovaném, otevřeném a dlouhodobě stabilním formátu,

  • - znalosti - úřad je schopen vlastními silami svých zaměstnanců rozumět všem datům a interpretovat jejich význam.”

K odst. 3:

Stanovuje se povinnost přijmout vnitřní pravidla pro správu dat. Metodické pokyny a vzory, jak by měla vnitřní regulace nakládání s daty a provozními údaji být nastavena, vydá Digitální a informační agentura jako ústřední orgán státní správy v oblasti ISVS, které zároveň náleží úloha koordinovat oblast evidence a sdílení dat dle § 2a odst. 3 písm. c) zákona č. 12/2020 Sb., o právu na digitální služby.

Obdobně jako u odst. 3 se postupuje u § 6 odst. 1 a 2 zákona, kdy se namísto využití prováděcích předpisů pro zakotvení technických standardů relevantních pro materiál zákona využívá více neformální přístup pomocí otevřených formálních norem.

Pro úplnost je třeba uvést, že vnitřní pravidla pro správu dat, provozních údajů a datových rozhraní nemohou být v rozporu se zákonem č. 365/2000 Sb., o informačních systémech veřejné správy.

K § 6 (Popisování dat a datových rozhraní metadaty)

K odst. 1:

Stanovuje se povinnost popisovat data vedená v ISVS. Popis dat znamená popis jejich struktury a významu nezávisle na konkrétních datových rozhraních, prostřednictvím kterých jsou data zpřístupňována a sdílena. Struktura a význam dat jsou popsány v podobě metadat, jejichž přesnou podobu určí a veřejně vydá Agentura v OFN. Metadata jsou tvořena

  • pojmy, které vyjadřují kategorie, druhy či typy subjektů a objektů práva, o nichž se v ISVS vedou data,

  • pojmy, které vyjadřují vlastnosti subjektů a objektů práva a vztahy mezi nimi, reprezentované daty vedenými v ISVS, a

  • názvy, popisy a dalšími významovými charakteristikami pojmů, včetně jejich vzájemných vazeb a souvislostí.

Metadata budou zapsána do datového slovníku (viz § 8). Datový slovník bude na věcné úrovni abstrahované od technických detailů datových rozhraní popisovat, o jakých kategoriích, druzích či typech subjektů a objektů práva jsou vedena v informačním systému data a jaké vlastnosti a vztahy mezi subjekty a objekty práva tato data reprezentují. Takto strukturovaná metadata jsou klíčová z několika důvodů:

  • 1. Zvýšení transparentnosti a pochopení: Metadata poskytnou informace o charakteru a kontextu dat, což umožňuje uživatelům lépe pochopit a interpretovat data vedená v ISVS. Transparentní a srozumitelné popisy dat napomohou efektivnějšímu využívání těchto dat.

  • 2. Usnadnění sdílení a výměny dat: Standardizace metadat pomocí OFN v datových slovnících umožní propojení datových slovníků napříč správci dat. To povede k lepší spolupráci a koordinaci mezi různými segmenty veřejné správy a zároveň podpoří interoperabilitu ISVS klíčovou pro sdílení a výměnu dat.

Data zapsaná v ISVS musí správce dat do datového slovníku popsat metadaty podle OFN, kterou zveřejňuje Agentura. Pokud tato OFN neexistuje, zveřejňuje správce dat data v datovém slovníku ve struktuře, kterou si interně definuje sám správce dat.

Agentura bude případnou technickou náročnost katalogizace správcům dat kompenzovat tvorbou generických popisů a to v případech typizovaných provozních systémů jako jsou: informační systémy pro řízení a rozvoj lidských zdrojů a odměňování, systémy elektronické pošty, informační systémy pro vedení účetnictví nebo řízení finančních zdrojů, které správci dat budou moci pro usnadnění katalogizace využít.

Důvod pro regulaci prostřednictvím otevřených formálních norem (OFN) je ten, že zakotvení technických standardů do prováděcího předpisu je nevhodné vzhledem k vysoké rigiditě tohoto formálního řešení a dynamické povaze rozvoje technických řešení. Spravovaná data a správci dat jsou velmi různorodí, což by vyžadovalo extrémní míru podrobnosti a systematiky, a předpis by nikdy nemohl naplnit ambici upravit materii vyčerpávajícím způsobem.

Správa dat je dynamickým odvětvím úzce provázaným s technologickým rozvojem. Neformální („soft law“) řešení je zde standardní, jak ukazuje směrnice o OD a InfZ. OFN popisuje strukturování dat v konkrétních kontextech informačních systémů a obtíže s produkcí OFN je vhodné řešit neformálně spoluprací dotčených subjektů veřejného sektoru.

Podobný přístup je vidět i v ZoISVS prostřednictvím Informační koncepce ČR a souvisejících dokumentů. Taková řešení jsou vhodná jak věcně, tak legislativně-technicky. Metodické pokyny mohou být nápomocné, pokud jsou dostatečně podrobné a aktuální, což prováděcí právní předpis u správy dat nemůže dobře zajistit.

Vydávání těchto OFN bude předcházet konzultace, kdy bude Agentura konzultovat návrhy OFN s dotčenými správci dat (tyto konzultace budou probíhat prostřednictvím zavedených meziresortních komunikačních platforem, obdobně jako v současné době probíhá například tvorba jiných otevřených formálních norem vyplývajících ze zákona č. 106/1999 Sb.). Cílem této konzultace bude získání stanovisek a připomínek dotčených správců dat k předmětným návrhům. Agentura zveřejní OFN a výsledky konzultací způsobem umožňujícím dálkový přístup.

Výslovný předpoklad úpravy nikoliv právním předpisem není výjimečný. Příklady zahrnují informační koncepci České republiky vydávanou usnesením vlády (§ 5a odst. 1 ZoISVS) a Základní zásady postupu při posuzování záměrů výdajů v oblasti ICT, které jsou povinny dodržovat subjekty žádající odbor Hlavního architekta eGovernmentu o vyjádření k záměrům výdajů. Tyto zásady jsou přílohou usnesení vlády ze dne 27. ledna 2020, č. 86. Dalším příkladem jsou pravidla užívání referenčního rozhraní, stanovená zveřejněním ve Věstníku (§ 4 odst. 2 písm. d) ZoISVS).

Dokumenty mimo právní předpisy, jako odvětvové standardy a zásady vydávané akademickými institucemi, jsou klíčovým vodítkem v oblasti odpovědnosti za škodu nebo veřejnoprávních sankcí v různých oblastech, jako medicína, sport, stavebnictví.

K odst. 2:

Vedle povinnosti popisovat metadaty data vedená v ISVS, viz odst. 1, se stanovuje také povinnost popisovat metadaty datová rozhraní, která slouží ke zpřístupnění a sdílení těchto dat. Přesnou podobu těchto metadat opět určí a veřejně vydá Agentura v OFN.

Datové rozhraní je souhrnem technických opatření, a proto jsou i metadata, která ho popisují, technickými metadaty. Jedná se o metadata popisující možné technické způsoby a protokoly počítačové komunikace s datovým rozhraním, technická omezení přístupu k datovému rozhraní, technické datové formáty a datové struktury, ve kterých datové rozhraní poskytuje data dle moderních a v praxi běžně používaných technických standardů popisů datových rozhraní. Nedílnou součástí metadat popisujících datové rozhraní je také vazba na metadata popisující data, která jsou prostřednictvím datového rozhraní zpřístupněna, a to v podobě vazeb na konkrétní pojmy v datovém slovníku.

K § 7 (Lokální katalog dat)

K odst. 1:

Metadata popisující data a metadata popisující datová rozhraní zapisuje správce dat do svého lokálního katalogu dat. To znamená, že správce dat zapisuje do svého lokálního katalogu dat datový slovník, popisující data vedená ve svých ISVS, a katalogizační záznamy s metadaty popisující jednotlivá datová rozhraní, která správce dat vytvořil pro zpřístupnění a sdílení těchto dat. Lokální katalog dat je pak jedním místem, na kterém lze transparentně zjistit dva druhy informací:

  • 1. Z metadat popisující data umožňuje lokální katalog dat na věcné rovině zjišťovat a prozkoumávat, jaká data správce dat vede ve svých ISVS nezávisle na technickém způsobu jejich zpřístupnění a sdílení.

  • 2. Z metadat popisující datová rozhraní umožňuje lokální katalog dat na technické rovině zjišťovat, jakými technickými prostředky jsou jaká data zpřístupněna a sdílena.

K odst. 2:

Zakládá správci dat povinnost zajištění softwarového řešení, ve kterém správce dat bude katalogizovat svá datová rozhraní a vést datový slovník. Systém lokálních katalogů jednotlivých správců dat bude tedy decentralizovaným řešením, které umožní využití popisů datových rozhraní a využití slovníků komukoliv, nezávisle na Agentuře, ve sjednocené podobě, kterou navíc využije i NKD. Správci dat budou data katalogizovat pouze jednou, a to prostřednictvím lokálního katalogu dat. NKD bude data z lokálního katalogu dat přebírat a správce dat tak nebude povinen katalogizovat data znovu pro potřeby NKD (odst. 3).

Dalším systémem, který bude využívat data z NKD a tedy i lokálního katalogu dat je Agendový informační systém registru práv a povinností Působnostní (dále „AIS RPP Působnostní“). Jelikož AIS RPP Působnostní obsahuje dílčí množinu údajů, které bude nutné popisovat a katalogizovat v NKD, bude z těchto popisů možné generovat podklady právě pro evidenci v AIS RPP Působnostním.

Dále se stanovuje povinnost správcům dat udržovat popisy datových rozhraní a obsah datového slovníku aktuální, aby všichni potenciální uživatelé měli přístup k reálně platným údajům. Lhůta na aktualizaci 7 pracovních dnů vychází z obdobných lhůt v jiných předpisech a z posouzení proveditelnosti povinnosti. Správce dat má povinnost aktualizovat lokální datový slovník ve chvíli, kdy dojde ke změně rozsahu či podoby spravovaných dat v ISVS nebo poskytovaných datových rozhraní. Takovou změnou bude například přidání nové kategorie shromažďovaných dat (například kvůli přijetí nové právní úpravy). Pokud například bude nově muset ISVS zaznamenávat nové údaje o vozidlech nebo se změní podoba již evidovaných údajů o vozidle (na základě novelizace předpisů), bude muset dojít k aktualizaci datového slovníku.

K odst. 3:

Zakládá správci dat povinnost poskytování popisů datových rozhraní a obsahu datového slovníku do NKD tak, aby se v NKD sešly všechny popisy datových rozhraní a všechny datové slovníky z jednotlivých lokálních katalogů dat. Teprve když se obsah lokálních katalogů dat objeví v NKD, je povinnost zveřejnění považována za splněnou.

K § 8 (Datový slovník)

Stanovují se konkrétní povinnosti správců dat při vytváření datových slovníků.

K odst. 1:

Stanovuje povinnost správci dat, jenž je ohlašovatelem agendy (podle § 48 zákona č. 111/2009 Sb., o základních registrech), vytvořit datový slovník pojmů, které popisují kategorie, druhy či typy subjektů a objektů práva, jejich vlastnosti a vztahy, o kterých jsou vedena data v rámci agendy. Tento datový slovník se pro odlišení od ostatních úrovní datových slovníků označuje jako datový slovník agendy. Ohlašovatel agendy má povinnost datový slovník agendy vést ve svém lokálním katalogu dat. Datový slovník agendy potom využije každý správce dat při popisu dat ve svém ISVS, který je agendovým informačním systémem, podle § 6 odst. 1 zákona. Často se bude jednat o samotného ohlašovatele agendy, pokud je ohlašovatel agendy zároveň správcem daného agendového informačního systému.

K odst. 2:

Stanovuje se povinnost ústředních správních úřadů přebírat příslušné datové slovníky agend a ty dále rozšiřovat o popis struktury a významu dat vedených v jimi spravovaných ISVS, pokud je v nich struktura a význam dat širší nebo specifičtější, než je popsáno v datovém slovníku agendy. Pokud se struktura a význam dat neliší, ústřední správní úřad datový slovník nerozšiřuje a plně ho přebírá z datového slovníku agendy.

Datový slovník se označuje jako datový slovník správce dat. Je tvořen přebranými datovými slovníky agend a jeho případným rozšířením. Opět platí povinnost ústředního správního úřadu vést datový slovník správce dat ve svém lokálním katalogu dat.

K odst. 3:

Správce dat, který není ústředním správním úřadem, nemá povinnost popisovat specifickou strukturu a význam svých dat v datových slovnících. Tento správce dat pouze přebírá a využívá pro popis dat vedených ve svých ISVS již existující datové slovníky agend vytvořené ohlašovateli agend podle odst. 1.

K § 9 (Národní katalog dat)

NKD doplňuje již existující nástroje sloužící ke správě a katalogizaci dat, kterými jsou Agendový informační systém registru práv a povinností Působností a Národní katalog otevřených dat. AIS RPP Působnostní je primárně určen pro evidenci agendových údajů a správu oprávnění pro zajištění jejich sdílení a řízení tohoto sdílení v rámci informačního systému sdílené služby. Subjekty veřejného sektoru však disponují velkým množstvím údajů nad rámec tzv. agendových údajů. Vzhledem k novým povinnostem je nevyhnutelné disponovat komponentou, která komukoli umožní zajistit dohledatelnost všech údajů spravovaných veřejnou správu, a umožní pochopení skutečného významu těchto údajů. To evidence v AIS RPP Působnostní neumožňuje a nebyla pro tento cíl ani navržena. Vzhledem k tomu, že ale představuje dílčí množinu údajů, které bude nutné popisovat a katalogizovat v NKD, bude z těchto popisů možné generovat podklady právě pro evidenci v AIS RPP Působnostním, kterou většina správců dat aktuálně neplní.

Z technického hlediska bude existující NKOD komponentou nově vzniklého NKD, umožňující rozlišení na data, která splňují definici otevřených dat dle InfZ a ta, která nesplňují proběhne prostřednictvím vybraných položek v metadatech. Dotčené subjekty tak budou data katalogizovat jednou, a to prostřednictvím lokálního katalogu dat. NKD bude data z lokálního katalogu dat harvestovat a na základě metadat rozlišovat jejich zobrazení v uživatelském rozhraní.

K odst. 1:

Ustanovuje se nový ISVS - označený jako NKD – ve kterém se budou sbíhat popisy všech datových rozhraní a datové slovníky z jednotlivých lokálních katalogů dat správců dat. NKD tedy poskytne ucelený pohled na všechna datová rozhraní a všechny pojmy z datových slovníků správců dat. Navíc bude NKD místem, které bude zprostředkovávat podání žádosti o zajištění řízeného přístupu k datům.

K odst. 2:

Zakládá povinnost Agentuře NKD vytvořit, udržovat a provozovat.

K odst. 3:

Popisuje, že nad rámec obsahů datových slovníků, které se do NKD dostanou od správců dat z jejich lokálních katalogů dat, bude v NKD navíc zastřešující datový slovník veřejné správy obsahující základní pojmy, které přesahují jednotlivé agendy a působnosti správců dat a vhodným způsobem je propojují. Tento slovník spravuje Agentura.

K odst. 4:

Stanovuje se povinnost obsah NKD zveřejňovat na internetu. Vhodnou podobou zveřejnění je přitom podoba otevřených dat (tj. v otevřeném a strojově čitelném formátu, s neomezujícími podmínkami užití, viz § 3a odst. 5 InfZ, který zároveň stanovuje povinnost katalogizovat jeho rozhraní a výsledné soubory ke stažení v NKOD).

K § 10 (Geoportál České republiky)

Zákonem se navrhuje zřídit geoportál České republiky jako jednotné přístupové místo k existujícím prostorovým datům a službám nad prostorovými daty pořizovanými, aktualizovanými a poskytovanými veřejnou správou a k dílčím resortním či tematickým infrastrukturám prostorových dat, které jsou součástmi národní infrastruktury pro prostorové informace.

Geoportál České republiky bude zpřístupňovat i dokumenty a informace z oblasti způsobů užití prostorových dat a služeb nad prostorovými daty, legislativy z oblasti prostorových informací, norem a dalších specifických technických materiálů. Stejně tak bude geoportál České republiky systémem, pomocí něhož se Česká republika zapojuje do evropské infrastruktury prostorových dat INSPIRE. Jedná se tak o komplexní řešení sloužící k synergickému plnění povinností ze strany správců dat v kontextu směrnice Inspire.

K odst. 1:

Geoportál České republiky je zřizován jako jednotné přístupové místo k prostorovým datům ČR. Jeho cílem je shromáždit a zpřístupnit metadata prostorových dat všech orgánů veřejné správy, včetně samospráv, univerzit (jako výstupy vědeckých projektů) a dobrovolníků, bez ohledu na to, jestli se jedná data pro infrastrukturu INSPIRE nebo ne. Geoportál České republiky tak představuje jednotné přístupové místo ke všem součástem národní infrastruktury pro prostorové informace, která je tvořena resortními nebo tematickými infrastrukturami pro prostorové informace. Geoportál České republiky bude zejména a) prostřednictvím služeb zpřístupňovat prostorová data prostřednictvím prohlížecích a stahovacích služeb, komunikovat se serverem správce dat a vracet data do prostředí geoportálu k náhledu nebo přímo ke stažení. Tyto služby lze také přímo propojit s lokálně instalovanými programy na počítači uživatele, pro detailnější analytické práce. V praxi to znamená, že budou propojeny metadatové katalogy/geoportály všech poskytovatelů veřejné správy, další poskytovatelé (univerzity, nevládní organizace apod.) budou svá prostorová data zpřístupňovat dobrovolně.

  • b) umožňovat sdílení prostorových dat a služeb veřejné správy, které probíhá de facto tím, že jsou služby, které jsou vzájemně využívány správci dat, dostupné na geoportálu České republiky. Zpřístupněním metadat prostorových dat a služeb nad prostorovými daty včetně podmínek užití dojde k jejich sdílení. Každý uživatel bude informován o tom, která data a za jakých podmínek smí využít.

  • c) umožňovat zobrazování prostorových dat v kombinaci s řešením životních událostí v rámci specializovaných úloh pro potřeby široké veřejnosti, neboť ta použití mapových podkladů v každodenním životě předpokládá v současnosti jako samozřejmost. Zobrazování dat je funkcionalita, kterou se geoportály liší od běžných katalogů dat. Zobrazovat lze základní data, tak jak je poskytovatel zpřístupnil, případně je rovnou kombinovat do tzv. mapových úloh, tak aby byla data uživateli k užitku. Např. seznam parkovacích automatů jako datovou sadu nemá smysl publikovat, pokud nejsou tyto automaty umístěny na uliční síti, kde mají ulice své názvy. Taková mapová úloha vznikne propojením tří datových sad: parkovací automaty, uliční síť a zeměpisné názvy.

  • d) sledovat dostupnost a využívání prostorových dat a služeb, neboť správce geoportálu České republiky potřebuje vědět, která data a které služby jsou využívány více, které méně, tak aby bylo možno lépe zajistit technickou podporu pro dané služby, podle skutečných potřeb plánovat investice do rozvoje a zkvalitnění datové základny národní infrastruktury pro prostorové informace. S uvedeným sledováním souvisí statistiky dostupnosti a využívání sledovaných součástí národní infrastruktury pro prostorové informace. Využívání zdrojů geoportálu (tedy pouze metadat, prostorových dat nebo i služeb nad prostorovými daty) je nutné sledovat pro správné nastavení infrastruktury i pro budoucí rozvoj funkcionalit.

  • e) správci dat publikací prostorových dat a služeb plní souběžně povinnosti stanovené v rámci správy evropské infrastruktury pro prostorová data. Plnění těchto povinností není dnes sledováno a následkem bývají formální výtky ze strany Evropské komise. Nástroje pro sledování kontinuální dostupnosti a kvality služeb nad prostorovými daty jsou nezbytné pro udržení standardu služeb, které v souvislosti s rozvojem eGovernmentu občan očekává. Kromě zpřístupňování dat na národní úrovni bude jednou z funkcionalit Geoportálu České republiky zpřístupňování prostorových dat do Evropské infrastruktury prostorových dat INSPIRE. Pro tento účel musí být správně organizováni poskytovatelé a správnost jejich vstupů musí být kontinuálně validována.

K odst. 2:

Národní infrastruktura pro prostorové informace představuje soustavu politik, zásad, znalostí, technických specifikací, institucionálních opatření, technologií, prostorových dat a služeb sloužících pro efektivní tvorbu, správu, aktualizaci, využívání a zveřejňování prostorových dat a prostorových informací a sdílení služeb k zajištění garantovaných služeb veřejné správy České republiky nad prostorovými daty a pro získávání relevantních prostorových informací potřebných jako podklad pro rozhodování ve veřejné správě.

K odst. 3:

Prostorová data začaly povinné subjekty popisovat metadaty po vstupu směrnice INSPIRE v planost, tedy před rokem 2009. Metadata mají organizovaná v katalozích a pouze kvůli přísným kontrolám ze strany EU pro oblast INSPIRE zpřístupňují jen jejich část. Z pohledu programování je jednodušší vypublikovat obsah metadatového katalogu tak jak je, než nad třídit to, co je relevantní a co ne. Tato povinnost bude ze strany povinných subjektů jednoduše splnitelná, založená na komunikaci s jednotlivými úřady. Geoportál České republiky si klade za cíl maximálně zjednodušit podmínky pro zpřístupnění dat, které, jak se ukázalo mnohaletou praxí v INSPIRE, mohou stát a uživatele ochudit o velké množství užitečných datových zdrojů.

K odst. 4 a 5:

Dílčí infrastruktury pro prostorové informace jsou zpřístupňovány resortními (geoportál ČÚZK) nebo tematickými geoportály (např. národní geoportál územního plánování budovaný v gesci MMR). V České republice doposud Geoportál České republiky neexistuje.

Významné postavení a stěžejní význam v rámci národní infrastruktury pro prostorové informace má v současnosti národní infrastruktura INSPIRE ve správě Ministerstva životního prostředí, která je zpřístupněna prostřednictvím národního geoportálu INSPIRE. Ten zajišťuje primárně plnění povinností České republiky jí stanovených evropskou směrnicí INSPIRE.

Vzhledem k dlouholetým a mimořádným odborným zkušenostem se navrhuje stanovit jako správce budoucího geoportálu České republiky Ministerstvo životního prostředí, které prostřednictvím své resortní organizace CENIA vybuduje Geoportál České republiky zohledňující i aktuální požadavky na kvalitu, bezpečnost a technologickou úroveň evropské infrastruktury INSPIRE. Geoportál České republiky tedy bude vybudován jako významné rozšíření národního geoportálu INSPIRE. Tak bude zajištěno, že i nadále budou plněny povinnosti a zároveň nevzniknou další náklady spojené s budováním samostatného Geoportálu České republiky. Uvedeným postupem dochází k maximálně efektivnímu synergickému propojení dvou stěžejních aktivit národního významu.

K hlavě III Řízený přístup k datům

K § 11 (Vymezení řízeného přístupu k datům)

K odst. 1:

Navrhuje se definovat pojem řízený přístup k datům, jelikož český právní řád tento pojem dosud nezná a nařízení DGA používá sousloví „přístup k opakovanému použití dat“. Ustanovení klade důraz na skutečnost, že jsou poskytována chráněná data, ve smyslu DGA, řízeným přístupem se proto rozumí poskytování zabezpečeným způsobem na základě konkrétních technických, právních a organizačních podmínek, které dále konkretizuje rozhodnutí o zajištění řízeného přístupu k datům povolujícím správním orgánem, který následně dodržování těchto podmínek kontroluje. Za příklady zabezpečených prostor, v nichž je umožněno opakované použití dat, je možné považovat například tzv. safe room, který je běžnou praxí poskytování dat ČSÚ a chystá jej rovněž ÚZIS v rámci NZIS. Příkladem zabezpečeného dálkového přístupu je např. zabezpečené a monitorované připojení přes VPN, kdy je hlídáno, s jakými konkrétními daty příjemce právě pracuje.

K odst. 2: V rámci implementace DGA se navrhuje odkázat na čl. 3 tohoto předpisu, který vymezuje okruh dat, na které se opakované použití dat veřejného sektoru (v daném případě označeném jako řízený přístup) vztahuje. Jedná se o data v držení subjektů veřejného sektoru, která jsou chráněna z následujících důvodů: obchodní důvěrnosti, včetně obchodního, profesního nebo firemního tajemství; statistické důvěrnosti; ochrany práv duševního vlastnictví třetích osob; nebo ochrany osobních údajů v rozsahu, v jakém tato data nespadají do oblasti působnosti směrnice o OD.

Pokud informace spadající do vymezených oblastí chráněných dat není možné poskytovat podle InfZ, je možné zajistit k nim řízený přístup dle tohoto zákona. Je však třeba zdůraznit, že nepůjde o poskytování dokumentů ve smyslu existujících dokumentů (např. textů ve formátu pdf.), ale vytváření anonymizovaných či silně pseudonymizovaných datových sad. Jejich součástí však v některých případech mohou být i informace, které by mohly být poskytnuty dle InfZ, což odpovídá i interpretační zásadě a fortiori.

Je třeba zdůraznit, že v souladu se systematikou DGA je nutné výjimky uvedené v čl. 3 odst. 2 tohoto předpisu interpretovat jako výjimky z tohoto ustanovení – to v praxi znamená, že výjimky uvedené v článku 3 odst. 2 mají nadřazený charakter nad obecnou povinností uvedenou v tomto ustanovení. V důsledku toho není možné na základě § 11 tohoto předpisu umožnit přístup k informacím nebo službám, které jsou vyloučeny těmito výjimkami.

Řízený přístup označuje umožnění opakovaného použití dat veřejného sektoru, která jsou z vymezených důvodů chráněna před běžným zpřístupněním. Řízený přístup proto znamená zpřístupnění ve zvláštním chráněném režimu, kdy žádost podléhá striktnějším kritériím (než např. žádost podle InfZ) a správci dat mají větší kontrolu nad užitím dat a jejich následným zpracováním. V celém procesu řízeného přístupu je přitom zdůrazněn akcent na bezpečné sdílení dat a ochranu osobních údajů.

Provozní údaje jsou výslovně uvedeny pouze v Hlavě II. Hlava III týkající se řízeného přístupu se proto na provozní údaje nepoužije a řízený přístup je možné povolit pouze k datům v ISVS, nikoliv provozním údajům o ISVS.

K § 12 (Povolující správní orgán)

Ustanovení vymezuje příslušnost k rozhodnutí o povolení řízeného přístupu, která náleží správcům dat podle tohoto zákona (správcům ISVS), příslušným subjektům (podle § 29), nebo Agentuře v případě žádosti na více správců dat, kteří ale nenáleží do jedné oblasti podle § 29.

Záměrem je usnadnit žadatelům podávání žádostí tak, aby v případě žádosti směřující na více ISVS nemuseli komunikovat o žádosti jednotlivě se všemi relevantními subjekty, ale měli možnost dostat kompletní data (sadu dat), takový je i záměr DGA v kapitole II.

O žádosti o řízený přístup k datům z vícero různých ISVS bude rozhodovat Agentura. Ta bude zároveň technicky i odborně vybavena ke zpřístupnění žádaných dat.

O žádosti o řízený přístup k datům různých správců, avšak z jedné datové oblasti podle § 29, bude rozhodovat příslušný subjekt. Příslušné subjekty budou rovněž odborně i technicky (zejména ve smyslu potřebné technické infrastruktury a znalostí) vybaveni k zpřístupnění dat v případech, kdy se bude žádost směřovat na data více správců v oblasti dat, pro kterou plní roli příslušného subjektu (např. oblast zdravotnictví).

K § 13 (Podmínky povolení řízeného přístupu k datům)

K odst. 1:

Navrhuje se taxativní výčet legitimních účelů, pro které je možné podávat žádosti a získat řízený přístup k datům. Vyjmenované účely lze přitom v žádosti kombinovat, tj. uvést více než jeden.

K písm. a) - Primárním cílem zákona je zpřístupnit data veřejné správy pro vědecké účely. Cílem je umožnit opakované užití dat z ISVS pro vývoj nových aplikací, výzkumů založených na datech a provádění vědeckých analýz nad daty veřejného sektoru. Bližší vymezení pojmu vědecký výzkum nabízí zákon č. 130/2002 Sb., o podpoře výzkumu, experimentálního vývoje a inovací z veřejných prostředků a o změně některých souvisejících zákonů, nebo také GDPR. Pojem vědeckého výzkumu pro účely tohoto zákona může být nahlížen z několika rovin, a to konkrétně jako výzkum základní nebo výzkum průmyslový. „Základním výzkumem“ se rozumí experimentální nebo teoretická práce za účelem získání nových poznatků o základních principech jevů a skutečností, bez zaměření na přímé komerční využití. „Průmyslovým výzkumem“ se rozumí plánovitý výzkum nebo kritické šetření zaměřené na získání nových poznatků a dovedností pro vývoj nových nebo zdokonalení stávajících výrobků, postupů nebo služeb. Stejně tak GDPR v recitálu 159 uvádí, že účely vědeckého výzkumu by měly být chápány “v širokém smyslu a zahrnovat například technologický vývoj a technologické demonstrace, základní výzkum, aplikovaný výzkum a výzkum financovaný ze soukromých zdrojů. Kromě toho by mělo zohledňovat cíl Unie podle čl. 179 odst. 1 Smlouvy o fungování EU, jímž je vytvoření evropského výzkumného prostoru. K účelům vědeckého výzkumu by rovněž měly patřit studie prováděné ve veřejném zájmu v oblasti veřejného zdraví.”

Pouze pro účely vědeckého výzkumu bude přitom možné poskytovat neanonymizovaná, resp. data umožňující nepřímou identifikací osob z ISVS (viz odstavec 4). Zpřístupnění dat veřejného sektoru pro účely vědeckého výzkumu zmiňuje i recitál 16 DGA, recitál 15 též uvádí, že podmínky opakovaného užití by měly být obecně formulovány tak, aby podporovaly vědecký výzkum.

K písm. b) - Účel kontroly veřejné správy doplňuje již existující prostředky kontroly veřejné správy a transparentnosti, jež nabízí např. InfZ či zákon č. 340/2015 Sb., o registru smluv. Prostřednictvím vymezeného účelu bude moci zainteresovaná veřejnost (např. novináři, neziskové organizace, think-tanky) získat přístup k anonymizovaným datům a provádět analýzy nad daty z ISVS například v oblasti hospodaření veřejného sektoru, plánování veřejných politik, obsazování pozic ve veřejné správě, výkonnosti veřejné správy atd. Účel kontroly veřejné správy směřuje k zajištění možnosti výkonu svobody projevu v širokém slova smyslu. Žadateli v takovém případě mohou být například neziskové organizace či odborníci na tvorbu datových analýz, datovou žurnalistiku apod.

K písm. c) - Tento účel je zařazen zejména pro umožnění přístupu studentů a vyučujících středních či vysokých škol k anonymizovaným datům a využití těchto dat při výuce práce s daty, výuce informatiky či studentských projektech. Obecně je zajištění řízeného přístupu k datům pro výukové a vzdělávací účely legitimní dle výjimek čl. 8 odst. 2 Úmluvy, protože je v zájmu hospodářského blahobytu země. Konkrétní zhodnocení umožnění řízeného přístupu za stanoveným účelem bude nutné posoudit vždy v konkrétním případě povolujícím správním orgánem.

K odst. 2:

Stanovuje se obecná limitace, která klade důraz na vymezení účelu žádosti a potřeba posuzovat každý případ individuálně zejména s ohledem na přiměřenost mezi účelem žádosti a ochranou poskytovaných dat. Toto ustanovení promítá čl. 5 DGA, zejména pak odstavec 2, který hovoří o přiměřenosti, odůvodněnosti přípustnosti podmínek pro opakované použití dat.

Ustanovení představuje základní a zásadní limitaci, kdy, pokud je to technicky možné a je to z hlediska účelu žádosti aplikovatelné, může být řízený přístup zajištěn prostřednictvím syntetických dat.

Pro korektní provedení anonymizace (pseudonymizace) bude zásadní role Agentury a příslušných subjektů, kteří mají know-how jak správně tento proces provádět a budou správcům dat v jeho provedení pomáhat.

K odst. 3:

Ustanovení zakládá jako základní princip možnost poskytování pouze zcela anonymizovaných dat, respektive dat upravených tak, že jsou vyloučena rizika zásahu do chráněných práv a zájmů.

K odst. 4:

Ustanovení působí jako výjimka ze zásady uvedené v odst. 3 a umožňuje pro vědecké účely možnost přístupu k neanonymizovaným datům, resp. k datům umožňující nepřímou identifikací osob. Pro všechny ostatní účely v odst. 1 je dále možný přístup jen k datům anonymizovaným. Vyjadřuje se tak eminentní veřejný zájem na poskytování dat v co největší granularitě vědcům a výzkumníkům, aby na základě jejich práce mohly vznikat pro společnost prospěšné výsledky, na základě kterých budou moci být hodnoceny a formovány veřejné služby a regulace, veřejné politiky, péče o veřejné zdraví apod. K stávající nedostupnosti dat pro komplexní vědecké analýzy viz zpráva RIA. Druhou rolí ustanovení je stanovit kaskádovitou povahu řešení, kdy primárně je třeba poskytovat přístup ke zcela anonymizovaným (např. agregovaným) datům a až pokud to není možné je možné zajistit řízený přístup k pseudonymním datům (tedy neanonymním údajům), resp. takovým které umožňují toliko nepřímou identifikaci osob (formulace byla zvolena vzhledem k tomu, že se může jednat i o právnické osoby v kontextu statistický dat). V souladu s požadavky odst. 2 pak i riziko takové nepřímé identifikace bude nutně minimalizováno. Ustanovení pak zcela vylučuje, aby byl řízený přístup jakýmkoli způsobem zajištěn k přímo identifikujícím datům.

K § 14 (Překážky řízeného přístupu k datům)

K odst. 1:

Ustanovení obsahuje výslovně vyjmenovaná kolidující práva a zájmy, které by mohly být ohroženy nebo narušeny poskytnutím dat v rámci řízeného přístupu. Povolující správní orgán musí v rámci rozhodování o žádosti o povolní řízeného přístupu provést posouzení konkrétní žádosti, jejího kontextu a případně rovněž test proporcionality a pokud by umožněním řízeného přístupu došlo k nepřiměřenému zásahu do těchto práv, žádost zamítne. Uvedené výjimky vycházejí ze sady výjimek z poskytování informací vyjmenovaných v § 11 odst. 1, 4 a 6 InfZ. Je třeba zdůraznit, že zde uvedené výjimky se týkají opravdu toliko procesu řízeného přístupu k datům ve smyslu navrhovaného zákona a nejde tak obecně o výluku z poskytování informací. Uvedené je patrné jednak z toho, že povaha řízeného přístupu je odlišná od obecného poskytování informací podle InfZ a v případě propojení s chráněnými daty by se mohly stát problematickými i data, která by sama o sobě problematická nebyla a běžně je možné je poskytnout v režimu InfZ. Za druhé, většina zde přítomných výjimek reflektuje jejich zakotvení jako informací vyloučených z poskytování v jiných právních předpisech.

Výjimky zároveň zohledňují čl. 3 odst. 2 písm. d) DGA, podle kterého se opakované použití chráněných dat nevztahuje na data v držení subjektů veřejného sektoru, která jsou chráněna z důvodů veřejné bezpečnosti, obrany nebo národní bezpečnosti.

K písm. b) - Ilustrativním příkladem omezení řízeného přístupu k datům podle písmena b) je např. ochrana majetku a veřejného pořádku v případě evidence umístění movitých kulturních památek, kdy nebude na základě chráněných hodnot vyjmenovaných v tomto písmenu možné řízený přístup k takovým datům zajistit.

K písm. f) - Výjimka pokrývá jak data z probíhajícího řízení, tak data, jež se vztahují k fázi přípravy řízení a fázi předsoudní, kdy například probíhá komunikace mezi zúčastněnými stranami nebo jsou připravovány analýzy či strategie budoucího řízení a jsou o těchto procesech shromažďována data.

K odst. 2:

K písm. a) - Biometrickými údaji se podle obecného nařízení o ochraně osobních údajů (GDPR) rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje. Biometrické údaje jsou obecně považovány zvláštní kategorii osobních údajů podle čl. 9 tohoto nařízení. S ohledem na svůj specifický charakter a jejich spojení s jedinečnými fyzickými či fyziologickými znaky nebo znaky chování fyzické osoby je na místě jejich vynětí z povinnosti povolení řízeného přístupu.

K písm. b) - Zákon upravuje vynětí dat umožňujících lokalizaci pohybu konkrétních osob nebo dopravních prostředků v návaznosti na možné ohrožení operativní činnosti bezpečnostních sborů a zpravodajských služeb. Pro úplnost je třeba uvést, že ustanovení se týká pouze poskytování dat řízeným přístupem k datům a nijak neomezuje a neovlivňuje poskytování dat o poloze dopravních prostředků, které probíhá v režimu InfZ, či výzkum nad dopravními daty zveřejňovanými jako otevřená data anebo nad daty, která nebudou spadat do působnosti návrhu zákona, jelikož nebudou obsažena v informačním systému veřejné správy. A contrario také platí, že řízený přístup k dopravním datům by správce dat měl zajistit v případě, že poskytovaná data budou sice vypovídat o pohybu dopravních prostředků, nikoliv však tím způsobem, který bude umožňovat lokalizaci konkrétních dopravních prostředků. To odpovídá pravidlu v § 13 odst. 2.

K písm. c) - Ustanovení vyjadřuje specifickou potřebu ochrany dat, která vznikají v řízení o udělení mezinárodní ochrany a oprávnění k pobytu. Osoby, které v těchto řízeních vystupují, mají vyšší standard ochrany jejich údajů a jsou v zvlášť zranitelném postavení, data o této oblasti proto není možní zpřístupnit, jelikož by představovala přílišné riziko pro jejich bezpečnost.

K písm. d) - Nemožnost zajistit řízený přístup k datům o probíhajícím trestním řízení se vztahuje na všechna tato data bez ohledu na to, který orgán tato data drží ve svých informačních systémech a to především data, která Ministerstvo spravedlnosti drží v souvislosti s vyřizováním mezinárodní justiční spolupráce ve věcech trestních nebo v agendě stížností pro porušení zákona, dat Probační a mediační služby v souvislosti s úkony probace a mediace nebo dat Kanceláře prezidenta republiky v souvislosti s vyřizováním některých žádostí o milost. Výjimka dle tohoto písmene je obdobná jako omezení v § 11 odst. 4 písm. a) InfZ. Omezení řízeného přístupu k datům se proto netýká pouze dat o probíhajícím trestním řízení, ale rovněž dat týkajících se trestních řízení, pokud by jejich poskytnutí ohrozilo či zmařilo účel trestního řízení, zejména zajištění práva na spravedlivý proces.

K písm. e) - Omezení řízeného přístupu k datům k činnosti orgánů činných v trestním řízení nebo bezpečnostních sborů, konkrétně ohrožení schopnosti orgánů veřejné moci předcházet trestné činnosti, vyhledávat anebo odhalovat trestnou činnost, stíhat trestné činy nebo zajišťovat veřejný pořádek a bezpečnost České republiky, zahrnuje i ohrožení schopnosti pátrat po osobách a věcech. V souvislosti s pátráním po osobách a věcech jsou totiž zpracovávány informace kriminalisticko-taktického charakteru, jejichž zpřístupnění by ohrozilo schopnost Policie České republiky takové pátrání provádět.

K § 15 (Předběžná informace)

Stanovuje se povinnost Agentury, správců dat a příslušných subjektů poskytnout předběžnou informaci osobám, jež o to požádají. Pro usnadnění podání žádosti přijímá žádosti jednotné informační místo - Agentura. Intencí žadatelů bude zpravidla požádat o řízený přístup k datům, a pomocí předběžné informace budou moci předejít tomu, že by podali neúplnou žádost či požadovali data, ke kterým není možné přístup zajistit (např. kvůli tomu že neexistují, nejsou obsažena v ISVS atd.). Předběžná informace slouží i k informováni potenciálních žadatelů o dotčených správcích dat, kteří by se na zajištění řízeného přístupu k datům podíleli, a vzhledem k náležitostem žádosti by proto měla případné žadatele připravit na proces, délku, požadavky na zabezpečení či technickou náročnost případného zajištění řízeného přístupu k datům.

Ustanovení adaptuje čl. 8 odst. 2 DGA, které ukládá jednotnému informačnímu místu (Agentuře) přijímat dotazy směřujících na opakované použití kategorií chráněných dat. Ustanovení je zvláštním ustanovením k obecné úpravě předběžné informace v § 139 správního řádu (které mimo jiné stanoví, že v téže věci lze o předběžnou informaci požádat pouze jednou).

K § 16 (Žádost o povolení řízeného přístupu k datům)

K odst. 1:

Ustanovení implementuje čl. 8 odst. 2 DGA, které stanoví, že jednotné informační místo (tj. Agentura) přijímá žádosti o opakované použití kategorií chráněných dat a předává je správcům dat či příslušným subjektům. Vzhledem k zamýšlenému vytvoření NKD pak byla zvolena cesta elektronického formuláře právě skrze tento systém, jelikož je předpoklad, že většina žádostí bude směřovat právě na datové zdroje, katalogizované v NKD (jenž bude inventárním seznamem podle čl. 8 odst. 2 DGA). Všechny žádosti budou evidovány v informačním systému jednotného informačního místa (Agentury), na který bude rovněž uplatňována evidenční ochrana údajů ve smyslu § 11 zákona č. 153/1994 Sb., o zpravodajských službách České republiky.

K odst. 2:

Stanovuje se povinná součást žádosti, jíž je dokument označený jako projekt využití dat. Žadatel bude povinen v tomto dokumentu vymezit, o jaká konkrétní data z ISVS žádá a odůvodnit účel využití dat (výzkumné účely atd.). Projekt využití dat předpokládá poměrně podrobné zdůvodnění žádosti (včetně předpokladu nutné anonymizace nebo agregace dat), aby se předešlo situacím, kdy žadatel pouze vágně odkáže na datové zdroje, o které by měl zájem, přičemž zpracování takové žádosti by neúměrně zatěžovalo jednotné informační místo i ostatní správce dat. V žádosti bude uveden jmenný seznam osob, které budou s daty pracovat. V případě porušení povinností jsou to obvykle konkrétní lidé, kteří něco poruší, nikoli instituce, která za ně odpovídá, proto je důležité mít od počátku jasně nastaveno, jakým způsobem a kdo bude s daty nakládat.

K písm. c) - Požadavek na vhodnou míru anonymizace vychází z toho, že anonymizaci je nutné chápat jako proces aplikace anonymizačních technik, které jakmile dosáhnou určité úrovně (jak ji vymezil SDEU ve věci Breyer) je výsledek anonymními daty (a do té doby jde o údaje pseudonymní). Ustanovení směřuje k řešení situace, kdy různé anonymizační techniky upravují informační hodnotu výsledku různým způsobem. Z jednoho zdrojového datasetu mohou vzniknout anonymní datasety s různou informační hodnotou, která bude využitelná pro různé situace. Je na žadateli, aby v součinnosti s povinným subjektem toto vymezil. Vhodnou mírou anonymizace se myslí rovněž situace, kdy výsledkem jsou stále jen pseudonymní data (která ale vznikají aplikací anonymizačních technik).

K odst. 3:

Navrhuje se stanovit povinnost (nad rámec odstavce 2) žadatelům, jež požadují neanonymizovaná nebo anonymizovaná data pro účely vědeckého výzkumu. Tito žadatelé uvedou v žádosti i svou vědeckou či výzkumnou afiliaci k instituci, jež výzkum provádí či na výzkumu participuje (půjde např. o výzkumný ústav, univerzitu apod.) a předloží další dokumenty týkající se výzkumu a použití dat (např. Data management plan, výzkumný záměr, popis projektu, metodologie atd.). Pokud instituce, jež je do výzkumu zapojena, má zřízenu etickou komisi, požaduje se i předložení vyjádření této komise nebo jiného podobného orgánu (které bude obsahovat zhodnocení zkušenosti žadatele a dané instituce při práci s podobným typem dat a zajišťování jejich ochrany; popsané procesy, postupy, prostředky, pravidla instituce/žadatele pro zajištění ochrany dat atd.)

K § 17 (Projednání žádosti o povolení řízeného přístupu k datům Agenturou)

Ustanovení odráží roli Agentury jako jednotného informačního místa, které přijímá všechny žádosti o přístup k datům a pokud není příslušná k jejich vyřízení, předává je dál příslušnému správci dat nebo příslušnému subjektu. Agentura bude přitom příslušná k vyřízení, pokud žádost směřuje na data v ISVS spravovaných Agenturou jako správcem dat nebo pokud bude žádost směřovat na propojování dat různých správců dat, kteří spravují data z různých oblastí.

K odst. 2:

Upravuje se postup projednání žádosti, kdy v případě žádosti o data z ISVS různých správců dat, bez požadavku na jejich propojování (tj. prosté poskytnutí více sad dat od několika subjektů), může Agentura, v závislosti na obsahu závazných stanovisek či vyjádření (v případě že správce dat není správním orgánem) správců dat, poskytnout jen část požadovaných dat. Pokud však žádost směřuje na propojování dat z ISVS různých správců dat, může Agentura vyhovět a data poskytnou jen v případě souhlasu všech správců dat, neboť bez souhlasu všech by nebylo možné uskutečnit zamýšlené propojení dat, a tudíž vyhovět žadateli.

K odst. 3:

Navrhované ustanovení specifikuje, že Agentura může umožnit řízený přístup v případech propojování dat různých správců dat pouze pokud s tímto daní správci souhlasí prostřednictvím závazného stanoviska nebo vyjádření. Tím je zajištěna datová suverenita jednotlivých správců dat. Druhá věta pak dává Agentuře možnost stanovit, že fakticky technické zajištění řízeného přístupu provede nějaký konkrétní správce dat nebo příslušný subjekt. Uvedené pravidlo vychází z toho, že je to právě Agentura, kdo bude mít technické a organizační možnosti (vč. knowhow) jak propojení korektně zajistit. Daná pravomoc není dána příslušným subjektům, protože se předpokládá, že reálně bude docházet k poskytování dat z jejich oblastí prostřednictvím systémů, které spravují oni sami (např. NZIS).

Proces samotného propojení dat bude ve velké míře ovlivněn samotnou charakteristikou a rozsahem dat, která by měla být propojena. V jakémkoliv případě bude potřeba koordinace a vzájemná dohoda o stanoveném způsobu zpracování a propojení dat všemi dotčenými stranami. Zjednodušeně řečeno, v daném scénáři bude proces propojení dat realizován určením nezbytného rozsahu dat ze zdrojových systémů, vymezením referenčních dat, kterými lze data z jednotlivých zdrojů mezi sebou propojit, určení cílového technického řešení zahrnující např. i zabezpečené uložiště (předpoklad je, že volba technické úrovně řešení a jejího zabezpečení je přímo úměrná citlivosti zpracovávaných dat), kde budou data dle potřeby dále zpracována a případně také ve výsledku i poskytnuta.

K § 18 (Projednání žádosti o povolení řízeného přístupu k datům správcem dat nebo příslušným subjektem)

K odst. 1:

Ustanovení ukládá povinnost správcům dat a příslušným subjektům posoudit vliv řízeného přístupu na ochranu osobních údajů, což mohou tyto subjekty zajistit například vyžádáním si stanoviska interního pověřence pro ochranu osobních údajů, pokud se žádost o zajištění řízeného přístupu k datům týká osobních údajů a pokud správce dat pověřence pro ochranu osobních údajů má.

K odst. 2:

Vyřízení žádosti a zajištění přístupu k datům bude totiž představovat pro některé správce dat technicky a organizačně náročný úkol, a proto mají možnost obrátit se na vybrané příslušné subjekty a Agenturu, které budou odborně i technicky vybavené jim s celým procesem pomoci, např. zajistit technickou infrastrukturu, poskytnout podporu s anonymizaci, pseudonymizací či agregací dat, napomoci s vyhotovením rozhodnutí prostřednictvím poskytnutí vzorů rozhodnutí či odpovídající právní podpory apod. (viz čl. 7 DGA).

K § 19 (Projednání s dotčenými správci dat a příslušnými subjekty)

Ustanovení zakotvuje nutnost zohlednit a projednat při procesu rozhodování o žádostech stanoviska a vyjádření všech dotčených správců dat a příslušných subjektů. Za účelem vysvětlení jednotlivých pozic může povolující správní orgán svolat společné jednání. Společné jednání je možné svolat kdykoli v průběhu rozhodování o žádosti. Dále je umožněn prostřednictvím společného jednání přímý dialog mezi žadatelem, dotčenými správci dat, příslušnými subjekty a povolujícím správním orgánem. Projednání by mělo docílit co nejdůkladnějšího vybalancování všech zájmů ve výsledném rozhodnutí, tak aby byly zohledněny jak požadavky na ochranu údajů, technické možnosti poskytnutí dat nebo jejich propojení, tak naplněn účel žádosti.

K § 20 (Změna projektu využití dat v průběhu řízení)

Ustanovení navazuje na projednání uvedené v § 19. Aplikuje se v případě, že v průběhu řízení, při projednání a případném společném jednání vyvstaly zásadní překážky pro vyhovění žádosti a zajištění přístupu k datům. Povolující správní orgán tak může dát žadateli možnost změnit projekt využití dat (viz § 19) podle výsledků projednání. Navrhované ustanovení tak vzhledem k potenciálním překážkám v zajištění přístupu k datům poskytuje žadateli možnost upravit část jeho žádosti a vyhnout se tak zamítnutí žádosti a případné nutnosti podat žádost novou. Zároveň se předchází tomu, aby žadatelé kvůli pouze dílčím překážkám či požadavkům na projekt využití dat byli nuceni podávat opakované žádosti a zahlcovali tak povolující správní orgán.

K § 21 (Lhůta pro vydání rozhodnutí o povolení řízeného přístupu k datům)

Ustanovení vyjadřuje zájem na tom, aby žádost byla vyřízena promptně, s ohledem na to, že např. žádosti o data za účelem vědeckého výzkumu budou zpravidla navázána na časově omezené výzkumné projekty, grantové žádosti a další praktické limitace, kdy by delší lhůta pro rozhodnutí mohla sledovaný účel žádosti zmařit.

Ustanovením se implementuje čl. 9 odst. 1 DGA, které jako standardní lhůtu pro vyřízení žádosti stanoví dva měsíce ode dne obdržení žádosti, a jako nejzazší lhůtu pro rozhodnutí v případě výjimečně složitých žádostí stanoví lhůtu dvou měsíců a třiceti dní. Ustanovení tak stanovuje speciální úpravu k obecné úpravě správního řádu, který stanoví lhůtu pro rozhodnutí 30 dnů s možností prodloužení o dalších 30 dnů v případě složitosti.

Lhůta přitom začíná běžet od okamžiku obdržení žádosti věcně příslušným orgánem. Jelikož jako jednotné informační místo slouží pro přijímání žádostí Agentura a jen skrze ni lze žádost na základě čl. 8 DGA podat, začne lhůta pro vydání rozhodnutí běžet až v okamžiku, kdy Agentura předá žádost věcně příslušnému orgánu, čili správci dat (pokud není v daném případě správcem dat sama Agentura) nebo příslušnému subjektu, pokud jde o data z vymezených oblastí § 29.

K § 22 (Rozhodnutí o povolení řízeného přístupu k datům)

Stanovují se obsahové náležitosti rozhodnutí, přičemž v rozhodnutí je povolující správní orgán oprávněn stanovit další podmínky k zajištění ochrany dat. Součástí rozhodnutí tak může být, kromě záruk k ochraně a integritě dat a jejich využití, stanovení harmonogramu, ve kterém bude řízený přístup realizován. Dále může být stanoven okamžik ukončení zajišťování řízeného přístupu k datům, jelikož musí být zohledněna technická a organizační náročnost přístupu k datům v ISVS (např. provoz konkrétního datového rozhraní, aktualizace systému atd.).

Ustanovení dále uvádí důvody zamítnutí žádosti, kdy jako první je nesplnění zákonných podmínek a dále situace, kdy povolující správní orgán vyhodnotí že by povolením řízeného přístupu došlo k porušení proporcionality a byly by zasažena práva a chráněné zájmy vyjmenované v § 14.

K § 23 (Úhrada nákladů)

Ustanovení implementuje čl. 6 DGA, jenž umožňuje subjektům veřejného sektoru účtovat za opakované použití chráněných kategorií dat poplatky, respektive v českém kontextu žádat úhradu nákladů.

Úhrada, kterou je správce dat oprávněn požadovat v souvislosti s poskytováním dat, má charakter soukromoprávního plnění mezi správcem dat a žadatelem, přičemž je možné uložit úhradu pouze skutečných nákladů (nezbytných nákladů dle čl. 6 odst. 5 DGA).

Čl. 6 v odstavci 3 DGA ukládá povinnost umožnit hrazení poplatků online, což je umožněno již prostřednictvím stávajících předpisů, kdy InfZ (který v § 17 rovněž obsahuje ustanovení o úhradě nákladů za opatření nosičů dat a rozsáhlé vyhledávání informací) ukládá státním orgánům a veřejným institucím zveřejňovat informace o jejich organizaci, včetně čísla účtu poskytovatele platebních služeb pro všechny v úvahu připadající platby od veřejnosti ve prospěch povinného subjektu (viz vyhláška č. 515/2020 Sb., o struktuře informací zveřejňovaných o povinném subjektu a o osnově popisu úkonů vykonávaných v rámci agendy).

Předvídatelnost výpočtu a rozložení nákladů je zajištěna zveřejněním kritérií a metodik pro výpočet úhrady prostřednictvím provádějícího právního předpisu - vyhlášky (obdoba sazebníku úhrad v § 5 InfZ).

Podobně jako je tomu v InfZ, upravuje se podmínka uhradit požadovanou úhradu nákladů jako předpoklad zajištění řízeného přístupu k datům.

Smyslem rozdělení úhrady (podle odstavce 5) mezi všechny zapojené správce dat je zajištění spravedlivého rozdělení nákladů.

K § 24 (Zajištění řízeného přístupu k datům)

Ustanovení stanovuje obecnou povinnost správcům dat zajistit řízený přístup k datům, pokud bylo vydáno rozhodnutí o povolení přístupu.

K § 25 (Zrušení a změna rozhodnutí o povolení řízeného přístupu k datům)

K odst. 2:

Ustanovení dále navazuje na čl. 5 odst. 4 a 5 DGA, upravující podmínky opakovaného použití. Následný dohled nad použitím poskytnutých dat je realizován tak, že povolující správní orgán zruší rozhodnutí o povolení řízeného přístupu k datům v případě, že osoba (přistupující k datům z ISVS) porušuje povinnosti vyplývající ze zákona nebo z rozhodnutí, nebo dochází k dalším situacím ohrožujícím ochranu zpřístupňovaných dat.

K odst. 3:

Povolující správní orgán má zároveň možnost (na žádost nebo z moci úřední) modifikovat rozhodnutí o povolení řízeného přístupu k datům tak, aby lépe odpovídalo potřebám žadatele, požadavkům na ochranu dat, případně upravit harmonogram zajištění přístupu k datům. V průběhu zajišťování řízeného přístupu k datům totiž může vyjít najevo, že původní časový předpoklad v rozhodnutí neodpovídal dostatečně technické náročnosti poskytnutí dat. Takovým případem může být zejména situace, kdy žádost směřuje na propojování dat různých správců dat, jelikož technická náročnost propojení dat nelze předem přesně stanovit. Další situací, kdy může až po rozhodnutí vyjít najevo potřeba rozhodnutí upravit, je pseudonymizace, anonymizace nebo agregace dat, zejména tehdy, kdy žádost směřuje na správce dat, jenž nedisponuje prostředky nebo dostatečnou expertizou k provedení těchto úkonů.

K § 26 (Povinnosti při využívání řízeného přístupu k datům)

Navrhuje se zavést opatření k ochraně dat, k nimž je zajištěn řízený přístup k datům, ochraně osobních údajů a soukromí dotčených subjektů údajů, ochraně technického zabezpečení řízeného přístupu k datům.

Tato opatření rovněž adaptují čl. 5 odst. 4 a 5 DGA, podle kterého „stanoví́ subjekty veřejného sektoru podmínky pro zachování integrity fungování technických systémů použitého bezpečného zpracovatelského prostředí” a podmíní „použití údajů poskytnutých v souladu s odstavcem 3 tohoto článku tím, že další uživatel dodrží povinnost zachovávat důvěrnost, která zakazuje zveřejnění jakýchkoli informací, jež ohrožují práva a zájmy třetích stran, které další uživatel mohl získat navzdory zavedeným zárukám. Dalším uživatelům se zakazuje opětovná identifikace jakéhokoli subjektu údajů, jehož se údaje týkají, a další uživatelé přijmou technická a provozní opatření s cílem zabránit opětovné identifikaci a oznámit subjektu veřejného sektoru jakékoli porušení ochrany údajů vedoucí k opětovné identifikaci dotčených subjektů údajů. V případě neoprávněného opakovaného použití neosobních údajů informuje další uživatel bezodkladně, případně s pomocí subjektu veřejného sektoru, právnické osoby, jejichž práva a zájmy mohou být dotčeny.” Recitál 15 DGA dále rozvádí, že by subjekty veřejného sektoru měli zajistit zachování integrity dat, informačních a komunikačních systémů, dbát na vysoký standard ochrany osobních údajů a zavést (krom již existujících obecných povinností uložených nařízením GDPR hlásit porušení ochrany osobních údajů dozorovému orgánu, jímž je v případě České republiky ÚOOÚ) povinnost ohlásit porušení ochrany osobních údajů subjektu veřejného sektoru, tj. v případě návrhu zákona správci dat, který data zpřístupňuje. Odstavec 3 proto představuje adaptační úpravu k těmto požadavkům a znění čl. 5 odst. 5 DGA.

Neoprávněným propojením dat se v kontextu ustanovení rozumí jakékoli propojení dat, které je v rozporu s podmínkami stanovenými v rozhodnutí o zajištění řízeného přístupu k datům, respektive jakékoli propojení dat, které není v rozhodnutí předpokládáno. Ustanovení stanoví sadu povinností, které osoby, které budou mít přístup k datům, musí plnit.

Tyto povinnosti se přitom v souladu s odst. 2 nevztahují pouze na osobu žadatele, ale i na osoby které budou mít přístup k datům zprostředkován skrze žadatele. Vyjadřuje se nutnost respektovat integritu dat, respektive ochranu osobních údajů a podmínky stanovené v rozhodnutí.

Přístup dalších osob k datům je přitom podmíněn prohlášením o důvěrnosti, které musí osoba, které byl řízený přístup povolen, opatřit a předložit povolujícímu orgánu. Je povinností této osoby seznámit a proškolit další osoby, které budou přistupovat k datům, o všech podmínkách a povinnostech.

K § 27 (Zvláštní ustanovení o zajištění řízeného přístupu k datům)

Navrhované ustanovení je třeba chápat jako zvláštní ustanovení k obecnému ustanovení § 27 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky (tzv. kompetenční zákon), upravujícímu pravidlo vzájemné výměny informací a podkladů. Kompetenční zákon totiž nezahrnuje možnou výměnu dat, na něž dopadá ochrana osobních údajů, nebo dat chráněných právy v oblasti duševního vlastnictví. Účel a příklady takového sdílení jsou detailně popsané ve zprávě RIA na s. 30 – 36. Navrhuje se proto výslovně upravit možné poskytnutí chráněných kategorií dat mezi správci dat a organizačními složkami státu. Ustanovení tak předpokládá možnost uzavření vzájemné dohody, která bude upravovat podrobnosti řízeného přístupu.

Zároveň tento procesní způsob poskytování dat obsahuje pojistky (odstavec 3 a 4), aby nedošlo k neoprávněnému či nepřiměřenému zpřístupnění dat. Těmito pojistkami je posouzení vlivu poskytnutí dat na ochranu osobních údajů v případě požadavku na data obsahující osobní údaje a umožnění poskytnutí pouze anonymizovaných nebo pseudonymizovaných dat. Vzhledem k přímé aplikovatelnosti GDPR je i v tomto případě nutné dodržet zásadu minimalizace. Stejně tak je třeba respektovat limity uvedené v § 14.

Zavedení této možnosti přístupu k datům jiných organizačních složek státu je účelné též z toho důvodu, že prostřednictvím propojeného datového fondu má orgán veřejné správy přístup jen k údajům, které nezbytně potřebuje pro výkon svých agend. Pomocí navrhovaného ustanovení se tak umožňuje tok ostatních typů dat mezi subjekty veřejného sektoru, jež mohou být následně využita pro tvorby analýz, vhodného nastavení a zacílení veřejných politik či zpracování legislativních návrhů (zejména zpráv RIA a tzv. ex-post RIA).

Proces spolupráce a formální zakotvení podmínek umožnění řízeného přístupu k datům jiným organizačním složkám státu proběhne formou uzavření veřejnoprávní smlouvy ve smyslu § 160 odst. 3 SŘ.

K hlavě IV Působnost v oblasti správy dat a řízeného přístupu k datům

K § 28 (Agentura)

Agentuře se tímto ustanovením ukládají konkrétní povinnosti v oblasti jí svěřené koordinační a kontrolní role v oblasti správy dat, a dále se ji ukládají povinnosti vyplývající z DGA (čl. 5, 7 a 8), spojené zejména s rolí Agentury jako jednotného informačního místa.

Zároveň se Agentura ustanovuje jako odvolací orgán v řízení o žádosti o zajištění řízeného přístupu k datům. Centralizací odvolacího orgánu se zajistí jednotnost rozhodování a náležité odborné a technické zázemí a znalost problematiky.

K § 29 (Příslušný subjekt)

Na základě článku 7 DGA se tímto ustanovením určují příslušné subjekty. Vyjmenované orgány byly vybrány po vzájemné dohodě s Agenturou a na základě jejich odborného a technického zázemí, jelikož čl. 7 ukládá, aby disponovaly odpovídajícími právními, finančními, technickými a lidskými zdroji pro plnění vymezených úkolů.

Příslušné subjekty poskytují zejména nejmodernější technické prostředky a technickou podporu zajišťováním bezpečného zpracovatelského prostředí pro poskytování přístupu za účelem opakovaného použití dat (například tzv. Safe room); poskytují také technickou podporu při anonymizaci dat, agregaci dat, pseudonymizaci dat a poskytují podporu zpracování dat tak, aby bylo účinně chráněno soukromí, důvěrnost, integrita a přístupnost informací obsažených v datech (čl. 7 odst. 4 DGA). Výčet příslušných orgánů je Česká republika povinna nahlásit Evropské komisi (čl. 7 odst. 5 DGA).

Výčet příslušných subjektů může být v budoucnu doplněn (novelizován) o další orgány, splňující technické a odborné náležitosti.

Pro oblast zdravotních dat a statistik je příslušným orgánem určen Ústav zdravotnických informací a statistiky, který bude tuto roli vykonávat prostřednictvím Národního zdravotnického informačního systému jako jednotného celostátního ISVS určeného ke zpracování údajů ze zdravotnictví.

Působnost Českého statistického úřadu jako příslušného subjektu se vztahuje na všechna data pořizovaná v režimu zákona č. 89/1995 Sb., což vyplývá z podstaty článku 7 DGA.

K odst. 2:

Pro oblast zdravotních dat a statistik je příslušným orgánem určen Ústav zdravotnických informací a statistiky, který bude zajišťovat přístup k datům prostřednictvím Národního zdravotnického informačního systému jako jednotného celostátního ISVS určeného ke zpracování údajů ze zdravotnictví. Z uvedeného důvodu je taktéž navrhována úprava zákona o zdravotních službách.

K § 30 (Příslušnost vydat závazné stanovisko)

Stanoví se obecná příslušnost vydat závazné stanovisko, kterou je nutné zakotvit pro správce dat a příslušné subjekty, kteří budou participovat na řízení o povolení řízeného přístupu, pokud jsou správními orgány.

K hlavě V Kontrola

K § 31 (Kontrola dodržování povinností)

Ustanovení představuje zvláštní úpravu k obecným ustanovením zákona č. 255/2012 Sb., kontrolního řádu, jelikož je nezbytné omezit lhůtu pro přijetí opatření k nápravě (jež se budou zpravidla týkat nedostatků v plnění povinností v oblasti správy dat podle Části druhé) na 6 měsíců, podobně jako je tomu v ZoISVS, který v § 5c stanoví, že lhůta stanovená Agenturou k přijetí opatření k nápravě „nesmí přesáhnout 6 měsíců a v případě nedostatku v podobě nesouladu informační koncepce orgánu veřejné správy s informační koncepcí České republiky 3 měsíce.” Příkladem opatření k nápravě bude uložení konkrétně formulované povinnosti, která bude jednoznačně zohledňovat specifickou situaci správce dat a způsob porušení jeho povinností. Příkladem může být opatření směřující ke standardizaci spravovaných dat určitým způsobem, případně k využívání existujících datových slovníků, pokud by správce dat tuto svoji povinnost v první řadě zanedbal. Uložení opatření k nápravě je formulováno jako možnost Agentury, což odpovídá dohledové, standardizační a koordinační roli, kterou Agentura plní.

Dále se upravuje kontrolní pravomoc povolujícího správního orgánu, který má povinnost informovat ÚOOÚ, pokud došlo k neoprávněnému využití osobních údajů. Tato povinnost vyplynula z jednání s ÚOOÚ a současné praxe ochrany osobních údajů.

K hlavě VI Přestupky

K § 32 (Přestupky správců dat)

K odst. 1:

Jsou navrhovány přestupky správců dat, jelikož je nezbytné mít zavedeny prostředky vynucení povinností správy dat (možnost ukládat pokuty), které jsou naprosto klíčové k transparentnímu, konzistentnímu a efektivnímu uspořádání dat v ISVS (tvorba datových slovníků a katalogizace dat). Ukázalo se jako nedostatečné nesprávnou praxi a nakládání s daty veřejné správy upravovat pouze obecně a bez možnosti vynucení ZoISVS (viz zpráva RIA). Možnost ukládat sankce formou přestupku jiným orgánům veřejné správy pak není v českém právním řádu výjimečná (např. zákon o archivnictví, zákon o zadávání veřejných zakázek a další). Ustanovení písm. a) a b) budou dopadat na situace, které Agentura má možnost zjistit ze své úřední činnosti, i bez provedení kontroly, jelikož datové slovníky a lokální katalog dat budou položkou Národního katalogu dat, jehož integraci bude provádět Agentura. Povinnosti jejichž nesplnění je sankcionováno v písm. a) a b) jsou přitom úzce navázány na funkčnost Národního katalogu dat a jeho propojení na jednotné evropské přístupové místo. Písm. c) pak míří na situace, kdy dojde sice k vytvoření datových slovníků a lokálního katalogu dat, ovšem tyto komponenty nebudou v souladu s otevřenou formální normou nebo budou jinak nedostatečně zpracovány a správce dat nesplní opatření k nápravě, ve kterém byl vyzván k napravení nedostatků ve správě dat.

K odst. 2:

Limity pokut jsou stanoveny s přihlédnutím k zákonu č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, který rovněž umožňuje ukládat pokuty státním orgánům v souvislosti s vedením spisové služby a nakládání s archiváliemi.

K § 33 (Přestupky osob)

K odst. 1 a 2:

Navrhované skutkové podstaty korespondují s čl. 5 a čl. 34 DGA, a odpovídají povinnostem osob využívajících řízený přístup k datům. Přestupku se mohou dopustit jak osoby, kterým byl povolen řízený přístup (originální žadatelé), ale i osoby kterým byl skrze ně zprostředkován přístup k datům.

K odst. 3:

Stanovené hranice pokut jsou vymezeny s ohledem na Návrh zákona o digitální ekonomice a o změně některých souvisejících zákonů, jehož předkladatelem je Ministerstvo průmyslu a obchodu a jenž implementuje zbývající části DGA (části týkající se služeb zprostředkování dat).

K § 34 (Společná ustanovení k přestupkům)

Centralizací projednávání přestupků dle zákona u jednoho správního orgánu by měla být zajištěna efektivita, vysoká odbornost a konzistence v rozhodování. Agentura, jako ústřední orgán státní správy, koordinující oblast evidence a sdílení dat, a zároveň jednotné informační místo, u nějž se centralizovaně podávají žádosti o zajištění řízeného přístupu k datům, je tak navržena jako nejvhodnější správní orgán pro projednávání přestupků z výše uvedených oblastí.

K hlavě VII Závěrečná ustanovení

K § 35 (Zmocňovací ustanovení)

Zmocňovací ustanovení opravňuje vydat Agenturu vyhlášku k provedení § 23 odst. 3, kterou budou určena podrobná kritéria pro výpočet výše úhrady nákladů.

K § 36 (Přechodná ustanovení)

Agentura vydává OFN, jako nosič pravidel pro tvorbu lokálních katalogů dat a datových slovníků. Agentura vydá OFN nejpozději do tří měsíců od účinnosti zákona, aby byl dostatek času pro jejich implementaci. OFN je vhodným nástrojem pro ustavení pravidel a specifikace požadavků na zajištění schopnosti různých programových vybavení vzájemně si poskytovat služby a efektivně spolupracovat. OFN používá jako nosič pravidel pro formát a metadata i InfZ (viz https://data.gov.cz/ofn/). Oproti řešení v podobě prováděcí vyhlášky nabízí toto neformální řešení větší flexibilitu, která je v kontextu plánovaného technického řešení nezbytná.

K části druhé

Změna zákona o rejstříku trestů a evidence přestupků

K § 37

Předmětná ustanovení dublují obecnější úpravu obsaženou v navrhovaném zákoně o správě dat. Do budoucna by mohl být vztah obou úprav a jejich slučitelnost sporná, proto se úprava v zákoně o rejstříku trestů a evidenci přestupků ruší.

K části třetí

Změna zákona o státní statistické službě

K § 38

Upravuje se vztah ke zvláštním právním předpisům, které upravují přístup ke statistickým údajům. Jelikož zákon č. 89/1995 Sb., o státní statistické službě obsahuje vlastní právní úpravu přístupu k jim shromažďovaným datům, a má již formalizován vlastní proces poskytování údajů, vyjadřuje ustanovení jejich vztah k obecné úpravě zákona v podobě jejich aplikační přednosti v souladu se zásadou lex specialis. Zejména není možné samostatně žádat data ČSÚ za jinými účely než vědecký výzkum.

Ustanovení zajišťuje, že dosavadní způsob poskytování statistických údajů za účelem vědeckého výzkumu, který provádí ČSÚ dle zákona č. 89/1995 Sb. zůstává nezměněn.

V případě, že žádost směřuje na více správců dat, a povolujícím správním orgánem je tedy Agentura, nebo žádost směřuje na data z oblasti § 29 a povolujícím správním orgánem je příslušný orgán, postupuje se podle ustanovení hlavy III i v případě dat ČSÚ. Zároveň je ale třeba zdůraznit, že ČSÚ bude do procesu vstupovat prostřednictvím svých závazných stanovisek, které budou vydávány v souladu se zvláštními předpisy. Nehrozí tak riziko porušení specifických pravidel vyplývajících z oborových norem (pravidla evropské statistiky).

K části čtvrté

Změna zákona o správních poplatcích

K § 39

Navrhuje se zpoplatnit přijetí žádosti o zajištění řízeného přístupu k datům částkou 3000 Kč, neboť na základě podané žádosti proběhne správní řízení podle zvláštního předpisu, tj. navrhovaného zákona o správě dat a o řízeném přístupu k datům. Správní poplatek je vybírán jako kompenzace za správní řízení, které podání žádosti vyvolá a náleží tedy správci dat, resp. příslušnému správnímu orgánu, jenž správní řízení povede. Nařízení o evropské správě dat, které zákon o správě dat a o řízeném přístupu implementuje, dále klade subjektům veřejného sektoru povinnost umožnit placení veškerých poplatků online prostřednictvím dostupných přeshraničních platebních služeb. Tento požadavek je splněn prostřednictvím stávající právní úpravy zákona č. 280/2009 Sb., daňového řádu.

Samotná výše částky 3.000 Kč za přijetí žádosti o zajištění řízeného přístupu k datům byla stanovena v souladu s čl. 6 odst. 5 Nařízení o evropské správě dat, které požaduje, aby poplatky byly odvozeny od nákladů souvisejících s řízením a omezeny pouze na nezbytné náklady, kterým vedení správního řízení v kontextu nastavené metody regulace je.

K části páté

Změna zákona o zdravotních službách

K § 40

Na základě článku 7 DGA se ustanovením § 29 odst. 1 písm. d) určil jako příslušný subjekt pro oblast zdravotnických dat Ústav zdravotnických informací a statistiky ČR, který ve světle § 29 odst. 2 zajišťuje přístup k datům prostřednictvím Národního zdravotnického informačního systému. Pro zajištění plnění této nově zákonem zaváděné povinnosti je nutno, analogicky i k obdobné situaci v případě registrů podle zákona o ochraně veřejného zdraví či zákonů upravujících transplantace, zavést tato data jako součást Národního zdravotnického informačního systému.

Zároveň je nutno upravit i účel Národního zdravotnického informačního systému etablovaný v § 70.

Upravuje se rovněž vztah ke zvláštním právním předpisům, které upravují přístup ke statistickým údajům. Jelikož zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), obsahuje vlastní právní úpravu přístupu k jim shromažďovaným datům, a mají již formalizován vlastní proces poskytování údajů, vyjadřuje ustanovení jejich vztah k obecné úpravě zákona v podobě jejich aplikační přednosti v souladu se zásadou lex specialis. Zejména není možné samostatně žádat data ÚZIS za jinými účely než vědecký výzkum, jak je specifikováno ve zvláštních předpisech.

Ustanovení zajišťuje, že dosavadní způsob poskytování zdravotních statistických údajů za účelem vědeckého výzkumu, který provádí ÚZIS dle zákona č. 372/2011 Sb. zůstává nezměněn.

V případě, že žádost směřuje na více správců dat, a povolujícím správním orgánem je tedy Agentura, nebo žádost směřuje na data z oblasti § 29 a povolujícím správním orgánem je příslušný orgán (takovým případem bude například žádost o poskytnutí zdravotnických dat od více správců dat, nikoliv pouze shromažďovaná ÚZIS), postupuje se podle ustanovení hlavy III i v případě dat ÚZIS. Zároveň je ale třeba zdůraznit, že ÚZIS bude do procesu vstupovat prostřednictvím svých závazných stanovisek, které budou vydávána v souladu se zvláštními předpisy. Nehrozí tak riziko porušení specifických pravidel vyplývajících z oborových norem (pravidla evropského datového prostoru pro zdravotní data).

K části šesté

ÚČINNOST

K § 41

Stanoví se účinnost nabytí zákona patnáctým dnem po jeho vyhlášení. Toto datum je stanoveno i s ohledem na potřebu implementovat do právního řádu požadavky nařízení o správě dat, jehož implementační lhůta je stanovena na 24. září 2023, a je proto navrhováno brzké datum nabytí účinnosti zákona. Aby však správci dat měli dost času na přípravu plnění svých nových povinnosti obsahuje ustanovení dělenou účinnost.

Vzhledem k potřebě Agentury, příslušných subjektů a správců dat technicky, odborně a personálně se připravit na vyřizování žádostí o řízený přístup a poskytování dat, navrhuje se stanovit povinnosti zajištění řízeného přístupu až po přiměřeném adaptačním období od 1. 1. 2028.

Vzhledem k navrhovanému datu účinnosti se navrhuje zavést některé povinnosti zajištění správy dat (§ 6 až § 8) s časovým odstupem na 1. 1. 2029, jelikož vytvoření datových slovníků, lokálních katalogů a zaznamenání metadat o datech a datových rozhraních bude představovat personálně i odborně náročnou činnost, pro kterou je potřeba stanovit přechodné období, kdy bude moci být zajištěna potřebná odborná znalost a technické prostředky (např. úpravy ISVS, změny dodavatelů technického řešení, změny smluv či přesoutěžení dodavatelů technických řešení, doplnění potřebných odborných personálních kapacit) v jednotlivých orgánech veřejné moci.

Poznámky

  1. 1 Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat).

  2. 2 § 2 písm. u) a § 69b až 70 zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.

  3. 3 Zákon č. 123/1998 Sb., o právu na informace o životním prostředí, ve znění pozdějších předpisů.

  4. 4 Blíže viz vládou schválená Strategie řízeného přístupu k datům pro zajištění podmínek pro kvalitní správu datového fondu VS ČR. Dostupné na: https://data.gov.cz/spr%C3%A1va-dat/strategie-spr%C3%A1vy-dat/ .

  5. 5 Jistá forma řízeného přístupu je dnes možná podle zákona č. 372/2011 Sb., o zdravotních službách, a zákona č. 89/1995 Sb., o státní statistické službě.

  6. 6 V rámci tohoto dokumentu jsou pojmy data, údaje a informace používány ekvivalentně, pokud není uvedeno jinak. Předkladatel si je vědom významového rozdílu mezi těmito pojmy. Navrhovaná právní úprava je věcně rozkročena mezi úpravu informací veřejného sektoru (tedy primárně zákon č. 106/1999 Sb., jak bude uvedeno dále) a úpravu řízení informačních systémů veřejné správy (tedy zákon č. 365/2000 Sb.), přičemž každá z nich pracuje s těmito pojmy odlišně. Není cílem navrhované úpravy sjednocovat rozdílnou terminologii souvisejících právních předpisů. Pokud se v textu hovoří o přístupu k informacím, jsou míněny informace ve smyslu zákona č. 106/1999 Sb., obecně jakýkoli obsah na jakémkoli nosiči, včetně dat.

  7. 7 Viz online: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en

  8. 8 Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů „Evropská strategie pro data“ zde dne 19. února 2020, COM(2020) 66 final.

  9. 9 Online dostupný zde: https://archi.gov.cz/nap:sdileni_udaju.

  10. 10 Vymezený v § 2 písm. c) zákona jako „osoba nebo její součást, která poskytuje služby informačního systému veřejné správy a za informační systém veřejné správy odpovídá“.

  11. 11 Dostupné online zde: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_cs.pdf

  12. 12 „Naplňování obecných a dílčích cílů digitální dekády zůstává i nadále jednou z priorit nejen na národní úrovni, ale i v rámci unijní a mezinárodní spolupráce. Podle výsledků Indexu digitální ekonomiky a společnosti (DESI) za rok 2022 se Česko mezi 27 členskými státy EU řadí na 19. místo.“ Cesta k evropské digitální dekádě: Strategický plán digitalizace Česka do roku 2030.

  13. 13 “Personalizovaná medicína bude lépe reagovat na potřeby pacientů tím, že umožní lékařům přijímat rozhodnutí založená na datech. To umožní individuálně přizpůsobit správnou léčebnou strategii potřebám dané osoby ve správný čas a/nebo určit predispozici k chorobě a/nebo zajistit včasnou a cílenou prevenci.” Evropská strategie pro data, dostupné na: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52020DC0066&from=EN.

  14. 14 Viz online: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en

  15. 15 Evropská datová strategie. Dostupné na: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en#documents.

  16. 16 Strategii řízeného přístupu k datům pro zajištění podmínek pro kvalitní správu datového fondu veřejné správy České republiky je dostupná zde: https://data.gov.cz/spr%C3%A1va-dat/strategie-spr%C3%A1vy-dat/

  17. 17 Evropská datová strategie je dostupná zde: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066

  18. 18 Návrh zákona o digitální ekonomice a o změně některých souvisejících zákonů, implementující zbylé kapitoly DGA,projednávaný v Poslanecké sněmovně Parlamentu ČR jako tisk 776..

  19. 19 V DGA se používá pojem “statistická data” ve volnějším smyslu, který nutně neodpovídá statistickým údajům v kontextu regulace státní statistické služby. Vzhledem k zamezení nejasnosti je v materiálu na místech, které nesouvisí s právní úpravou státní statistické služby, používáno sousloví “anonymizovaná nebo transformovaná data”, která mohou být využita pro účely tvorby statistik žadateli mimo kontext státní statistické služby.

  20. 20 To se děje v souladu s evropskými předpisy, zejména s nařízením ES č. 223/2009 ze dne 11. března 2009 o evropské statistice.

  21. 21 Viz např. nález Ústavního soudu ze dne 11. 11. 2005, sp. zn. I.ÚS 453/03, č. N 209/39 SbNU 215.

  22. 22 Odst. 101 nálezu Ústavního soudu ze dne 20. 12. 2016 sp. z. Pl.ÚS 3/14, 73/2017 Sb., N 246/83 SbNU 793.

  23. 23 Viz online: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_en

  24. 24 Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat)

  25. 25 Rozsudek velkého senátu Evropského soudu pro lidská práva Sheffield a Horsham proti Spojenému království ze dne 30. 7. 1998, stížnost č. 22985/93 a 23390/94.

  26. 26 Rozsudek Evropského soudu pro lidská práva Smith a Grady proti Spojenému království zde dne 27. 8. 1999, stížnost č. 33985/96 a 33986/96.

  27. 27 Více viz BRKAN, Maja. The Essence of the Fundamental Rights to Privacy and Data Protection: Finding the Way Through the Maze of the CJEU’s Constitutional Reasoning. German Law Journal. 2019, roč. 20, č. 6, s. 864-883.

  28. 28 Rozsudek senátu Evropského soudu pro lidská práva L.H. proti Lotyšsku ze dne 29. 4. 2014, stížnost č. 52019/07

  29. 29 K rozdílu mezi různými druhy rizik a jejich zhodnocením, včetně hodnocení dopadů regulace a DPIA viz např. Van Dijk, N., Gellert, R., Rommetveit, K. A risk to a right? Beyond data protection risk assessments. Computer Law & Security Review. 2016, č. 2, s. 286–306.

  30. 30 Více k roli práv subjektů údajů v systému právní úpravy viz Míšek, J. Moderní regulatorní metody ochrany osobních údajů. Brno: Masarykova univerzita, 2020, s. 71-83.⁠​‌​‌​​‌​​‌‌​‌​​​⁠

  31. 31 Viz online: EDPS-2021-00044-01-00-CS-TRA_CLEANVF.docx (europa.eu)

Tento web používá nezbytné cookies pro fungování služby a volitelné analytické cookies pro měření návštěvnosti. Více informací