Nepovšimnuté novely zákonů s dopadem do soukromí (3) Automatizované vedení správního řízení

Mgr. Monika Bendová, LL.M.

Třetí díl odborného zhodnocení: Jak dubnové návrhy změn zákonů ovlivní ochranu osobních údajů, aneb důležité novely právních předpisů, jejichž dopad do sféry ochrany osobních může být podstatný.

Návrh poslanců Tomáše Dubského, Milady Voborské, Martiny Ochodnické, Jiřího Havránka a Jiřího Carbola na vydání zákona, kterým se mění zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, a další zákony v souvislosti s podporou spolupráce obcí /sněmovní tisk č. 845, před třetím čtením/ - změna zákona č. 500/2004 Sb., správní řád, spočívající v zavedení automatizovaného vedení správního řízení (§ 15a správního řádu) - projednáno Poslaneckou sněmovnou Parlamentu ČR dne 15. 4. 2025, třetí čtení navrženo na pořad její 139. schůze (od 27. května 2025).

Důvod předložení: Hlavním důvodem předložení novely bylo rozšíření právní úpravy společenství obcí; návrh však obsahuje množství s tímto hlavním cílem nesouvisejících změn různých právních předpisů, kdy z hlediska ochrany osobních údajů mě zaujalo nově navrhované ustanovení § 15a správního řádu označení jako automatizované vedení správního řízení.

Návrh znění ustanovení:

§ 15a

Automatizované vedení řízení

(1) Nevyžaduje-li povaha projednávané věci, ochrana práv dotčených osob nebo ochrana veřejného zájmu, aby úkon v řízení provedla úřední osoba, lze úkon provést automatizovaně bez účasti úřední osoby. Úkon nelze tímto způsobem provést zejména v případě, že vyžaduje užití správního uvážení nebo jde o rozhodnutí o opravném prostředku.

(2) Pokud je náležitostí úkonu podle tohoto zákona podpis úřední osoby, zabezpečí se jeho písemné vyhotovení způsobem zajišťujícím integritu a původ dat, jde-li o úkon provedený způsobem podle odstavce 1 v elektronické podobě; jinak se ustanovení tohoto zákona, která stanoví jako náležitost úkonu podpis úřední osoby, nepoužijí. Pokud je náležitostí úkonu podle tohoto zákona uvedení údajů o úřední osobě, uvede se v případě úkonu provedeného způsobem.

Důvod předložení návrhu ustanovení § 15a SŘ: Důvodová zpráva od této změny očekává snižování administrativní zátěže na straně veřejné správy i na straně občanů. Široké propojení automatizovaných systémů s veřejnoprávními evidencemi, databázemi správních orgánů apod. dále umožňuje okamžitý přístup těchto systémů k informacím a podkladům potřebným pro rozhodnutí (bez nutnosti tyto podklady vyžadovat od dotčených osob nebo opatřovat úředními osobami z úřední povinnosti). Automatizované rozhodování podle transparentních a jednoznačných kritérií dle důvodové zprávy zajišťuje zcela jednotnou aplikační praxi, a to zejména vyloučením svévole nebo jiných individuálních pochybení, kterých se může dopustit úřední osoba. Návrh akcentuje, že úřední osoba nebude úplně vyloučena z rozhodování (přestože text ustanovení takto nehovoří), a že navržená úprava proto nepředepisuje, které postupy ve veřejné správě mají (nebo musí) být automatizovány, pouze vytváří procesněprávní rámec k využívání takových postupů.

Návrh obecně připouští automatizované provádění jednotlivých úkonů v řízení, popřípadě i řízení jako celku, včetně rozhodnutí ve věci. Automatizace je omezena na případy, kdy to nevylučuje povaha projednávané věci, ochrana práv dotčených osob nebo ochrana veřejného zájmu. Dané ustanovení obsahuje rovněž demonstrativní výčet případů, kdy je automatizace nepřípustná – např. jde-li o úkon vyžadující užití správního uvážení nebo o rozhodnutí o opravném prostředku.

Formální náležitostí některých úkonů v řízení (např. oznámení o zahájení řízení, protokol, rozhodnutí) je podle správního řádu podpis úřední osoby a další údaje o úředních osobách, které se provádění úkonu účastnily, tj. jméno, příjmení, funkce nebo služební číslo. Písemné vyhotovení úkonu se navrhuje zabezpečit způsobem zajišťujícím integritu a původ dat. V případě dalších údajů o úředních osobách je vhodné jejich nahrazení obecným sdělením o tom, že úkon byl proveden automatizovaně bez účasti úřední osoby, a to i v zájmu náležitého informování dotčených osob. Návrh však neuvádí žádné další podrobnosti a působí tak v mnoha ohledech rozporně.

Dopady na ochranu soukromí a osobních údajů fyzických osob: Dle důvodové zprávy k návrhu změny správního řádu omezení automatizace na případy, kdy to nevylučuje povaha projednávané věci, ochrana právdotčených osob nebo ochrana veřejného zájmu, rovněž zohledňuje požadavky vyplývajícíz čl. 22 GDPR (právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká). Návrh zmiňuje též Pokyny WP29 k automatizovanému individuálnímu rozhodování a profilování pro účely nařízení 2016/679 a případy, kdy je takové rozhodování možné. Automatizace dle § 15a správního řádu nebude dle předkladatelů možná u postupů předpokládajících užití správního uvážení.

K předloženému materiálu zároveň byla vypracována a zveřejněna dvě stanoviska, a to stanovisko Parlamentního institutu a stanovisko Vlády ČR (dostupné na https://www.psp.cz/sqw/text/orig2.sqw?idd=249550).

Parlametní institut uvedl ve svém stanovisku mj. podstatnou skutečnost, každé zpracování, které by mohlo vést k vysokému riziku pro subjekty údajů, vyžaduje, aby správce provedl posouzení vlivu na ochranu osobních údajů (DPIA). V případech, kdy by docházelo "k systematickému a rozsáhlému vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad" GDPR dokonce stanovuje, že posouzení vlivu na ochranu osobních údajů je nutné provést. Minimální obsah posouzení vlivu na ochranu osobních údajů upravuje čl. 35 odst. 7 GDPR, dle kterého by mělo dojít například k systematickému popisu zamýšlených operací zpracování, popisu účelů zpracování, posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů, posouzení rizik pro práva a svobody subjektů údajů a popis plánovaných opatření k řešení těchto rizik. Toto posouzení by museli provádět všichni správci údajů před zpracováním osobních údajů, tedy všechny orgány veřejné moci, pokud by naplňovaly výše popsané podmínky automatizovaného zpracování. Požadavek nařízení GDPR, aby všechny orgány veřejné moci před zpracováním osobních údajů provedly posouzení vlivu na ochranu osobních údajů, by představoval pro českou veřejnou správu velkou zátěž. Pokud má však zpracování právní základ v právu členského státu, postačí, pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím daného právního předpisu (právního základu pro zpracování osobních údajů). Důvodová zpráva k posuzovanému návrhu zákona nicméně posouzení vlivu na ochranu osobních údajů neobsahuje, tato možnost provedení posouzení vlivu již v souvislosti s přijetím právního předpisu tedy není splněna. Garance výluk z automatizovaného vedení správního řízení považuje Parlamentní institut za příliš obecné. Navržená ochrana také nepokrývá všechny typy vhodných opatření, které jsou považovány za potřebné pro naplnění vhodných opatření zajišťujících ochranu práv a svobod a oprávněných zájmů subjektu údajů. Co se týče druhého odstavce ustanovení, Parlamentní institut především uvádí, že přiznání ekvivalence podepisování vlastní rukou na podpisové zařízení s uznávaným elektronickým podpisem nicméně může vyvolávat mylné představy o tom, že daný proces podepisování naplňuje určité standardy z hlediska bezpečnosti, které jsou doposud spojovány s institutem uznávaného elektronického podpisu. Některé z těchto standardů však navržený způsob podepisování nesplňuje. (celé znění stanoviska dostupné na https://www.psp.cz/sqw/text/orig2.sqw?idd=250490).

Vláda ČR ve svém stanovisku přijetí tohoto návrhu vnímá jako zásadní koncepční dopad do úpravy správního řízení, a pokládá proto za vhodnější, aby k takovémuto návrhu bylo přistoupeno teprve po provedení podrobné analýzy dopadů navrhovaného institutu do správního řádu a aby byl konkrétněji vysvětlen vztah předmětného ustanovení k jiným institutům správního řádu i dalších procesních předpisů. S ohledem na dopad tohoto návrhu lze mít zároveň za to, že by k takové změně případně mělo dojít spíše prostřednictvím vládního návrhu zákona, jenž by komplexněji řešil dopad automatizovaného vedení správního řízení na různé typy správních řízení. Navržené důvody výluky z provádění správního řízení či konkrétního správního úkonu v režimu automatizovaného vedení řízení také považuje za velmi obecné. Samotnou podstatu správního řízení vidí v rozhodování o právech a povinnostech dotčených osob (§ 9 správního řádu), kdy platí, že správním rozhodnutím vždy dojde k autoritativnímu zásahu do práv a povinností některých dotčených osob. Z předloženého návrhu zákona ani jeho odůvodnění však není zřejmé, jakým způsobem má být předmětný důvod výluky z automatizovaného vedení řízení vykládán, tj. ochrana jakých subjektivních práv dotčených osob zakládá nárok na výluku z režimu automatizovaného vedení řízení. Za obdobně neurčité lze přitom považovat rovněž další návrhem stanovované důvody, tj. povahu projednávané věci a ochranu veřejného zájmu, kdy lze očekávat, že by přesnější vymezení těchto důvodů v konečném důsledku zajistila až judikatura správních soudů, přičemž v mezidobí by panovala značná nejistota ohledně použitelnosti automatizovaného vedení řízení. Ve vztahu k demonstrativnímu výčtu konkrétnějších důvodů pro výluku z uvedeného režimu není zřejmé, zda ze skutečnosti, že automatizované vedení nemá být vedeno v řízení o opravném prostředku, plyne, že je automatizované vedení řízení vyloučeno rovněž v případech, kdy zvláštní zákon možnost podání řádného opravného prostředku nepřipouští. Ani podle vlády ČR zřejmé, z jakého důvodu návrh § 15a odst. 2 věty první upravuje způsob písemného vyhotovení podpisu úřední osoby, pokud z návrhu § 15a odst. 1 plyne, že automatizované vedení řízení (resp. automatizované provedení konkrétního úkonu) se provádí "bez účasti úřední osoby". Přesto tyto výrazné výtky však bylo stanovisko vlády ČR k návrhu uvedeno jako neutrální.

Zabezpečení dat: Přestože již z povahy ustanovení půjde o automatizaci procesů pomocí algoritmů výpočetní techniky, návrh neuvádí žádné způsoby ani záruky při zpracování vložených dat.

Závěr: V daném případě mám za to, že návrh § 15a správního řádu působí jako značně nedotažený. Lze souhlasit s vládou ČR, že dopad do správního řízení je natolik zásadní, že by návrh měl být prezentován jako návrh vládní s dostatečnou analýzou dopadu, stejně jako se skutečností, že samotná povaha správního řízení vždy znamená zásah do práv a povinností subjektů osobních údajů. Důvodová zpráva neobsahuje posouzení vlivu na ochranu osobních údajů, které by naplňovalo minimální požadavky stanovené GDPR, a lze se tedy ztotožnit se stanoviskem Parlamentního institutu, že posouzení vlivu v souvislosti s přijetím právního předpisu tedy nebylo provedeno. Doporučení dopracovat důvodovou zprávu k posuzovanému návrhu zákona tak, aby obsahovala posouzení vlivu na ochranu osobních údajů, díky čemuž by tato povinnost pak nemusela dopadat na správce údajů, však dle mých zjištění nebylo následováno.

Stenozáznam z Poslanecké sněmovny Parlamentu ČR: https://www.psp.cz/eknih/2021ps/stenprot/136schuz/bqbs/b04101201.htm  (diskuze k návrhu zejm. poslankyně Zuzana Ožanová, reakce ministr vnitra ČR Vít Rakušan)

Sněmovní tisk: https://www.psp.cz/sqw/text/orig2.sqw?idd=247668