C. H. Beck, Praha 2020, 1 416 stran, 2 390 Kč.

Recenzovaná publikace delší dobu ležela na stole recenzenta, neboť důvody, proč v posledních letech nečte publikace o GDPR ani tzv. zákony s komentářem, jsou v prvním případě inflace velmi podobných textů využívajících hysterii po nabytí účinnosti GDPR, ve druhém případě pak dnes často vydávané komentáře, které neobsahují nic jiného než více či méně modifikovanou důvodovou zprávu. Je s podivem, že na to autoři „mají žaludek“ a že jim to vydavatelé trpí. V takovýchto „dílech“ nevidí recenzent žádnou užitnou hodnotu, a proto jej obsah uvedené publikace velice příjemně překvapil.

Její uspořádání je dáno nařízením GDPR. Každá kapitola je uspořádána shodně tak, že obsahuje citaci příslušné části nařízení, vývoj právní úpravy, návrhy GDPR, základní přehled, vztah GDPR a zákona na ochranu osobních údajů (ZZOÚ), ev. dalších právních předpisů ČR, výklad článku včetně pojmů (definice), případně judikaturu a příklady z praxe.

Vlastní text je na vysoké odborné úrovni a recenzent jej četl (ano, skutečně četl, a to slovo od slova) se značným potěšením. Je třeba zejména ocenit, že výklad je podrobný a současně kritický a upozorňuje na řadu nevyřešených problémů. Přístup autorů je takový, že se snaží jít až na dřeň věci, neobávají se vyřknout vlastní názor, v řadě případů odlišný od oficiálních stanovisek (viz např. str. 285, marg. č. 30 nebo str. 876, marg. č. 123), a poskytnout tak čtenáři vysokou přidanou hodnotu. Dále je třeba ocenit velké množství judikatury ESD, která může být dobrým vodítkem nejen v rámci prevence, ale i pro případné spory nebo správní a soudní řízení související se zpracováním osobních údajů. Užitečné jsou i přesahy do občanského práva – viz např str. 296, marg. č. 72.

Autoři se poměrně úspěšně vypořádali i s nesrozumitelnými až pythickými texty nařízení, jako je čl. 25. Zvláštní důraz je kladen na bezpečnostní aspekty – viz např. komentář k čl. 32 a 33. I zde je vidět vysoká odbornost a zejména mnoho praktických zkušeností autorů. To platí i o výkladu čl. 35. Také další ustanovení GDPR, týkající se dozorového úřadu, EDPB (Evropský sbor pro ochranu osobních údajů), právní ochrany, odpovědnosti a sankcí, jsou pojednána znale a podrobně; rovněž je třeba pochvalně zmínit výklad čl. 85. O některých tvrzeních by bylo možné diskutovat, ale vzhledem ke způsobu zpracování, který zvolili autoři, to bude diskuse tvůrčí a konstruktivní.

Vzhledem k tomu, že recenzent očekává druhé, doplněné a rozšířené vydání tohoto hodnotného díla, doporučuje, aby byl – vzhledem k erudici autorů – výklad ještě dále rozšířen a prohlouben, a to zejména v oblastech konfliktů a přesahů GDPR vzhledem k jiným právním předpisům (zákon o kybernetické bezpečnosti, tr. zákoník, zákon o veřejných výzkumných institucích a zákon o vysokých školách), a o dnes vysoce aktuální témata, jako jsou zákaz donucování k sebeobviňování u správců a zpracovatelů a prolamování mlčenlivosti u pověřenců.

Přes všechny pochvaly lze mít ke knize některé menší výhrady. V textu je používán termín „dataset“, aniž by byl definován, takže je otázkou, co si pod ním představit a jaký je jeho vztah k zavedeným pojmům, jako jsou pole, soubor nebo databáze. Není vhodné do publikace zařazovat nepřeložené části textu z cizojazyčných dokumentů (viz str. 738, marg. č. 32). V textu knihy se nachází celkem 21 pasáží, které jsou graficky odlišeny a nadepsány „Návrh opravy ze dne 12. 10. 2020“. Lze se domnívat, že se zřejmě jedná o nějaký návrh legislativních úprav nařízení GDPR, ovšem jsou zde uvedeny bez jakéhokoliv vysvětlení.

Závěrem je třeba uvést, že vysokou odbornou a užitnou hodnotu knihy poněkud sráží nedostatečná redakční práce či přístup vydavatele, což se týká zejména absence řádných odkazů na zdroje v souladu s normou ČSN ISO 690-2 (neexistence řádného citačního aparátu), a ještě více absence rejstříku, což se recenzentovi jeví zcela nepochopitelné. Bez rejstříku kniha pomůže těm, kdo ví, kde co hledat. Ostatním pak ale dá nalezení správného místa dosti práce. Čtenářům by velký užitek přinesly poznámky pod čarou, kde by jednak mohly být bibliografické odkazy, jednak i případné citace cizojazyčných dokumentů.

Je dobře, že se autoři „nesvezli“ na konjunkturální vlně publikací o GDPR a zpracovali ji s větším časovým odstupem. Jejich dílo je proto daleko praktičtěji využitelné oproti jiným, dříve vydaným publikacím, a to i vzhledem k rozsáhlé judikatuře ESD i (byť v menším množství) judikátů českých, jakož i začleněným dokumentům pracovní skupiny WP 29.

Čtenář, který se opravdu podrobně seznámí s obsahem díla, bude vykazovat mimořádnou informovanost a bude chráněn proti časté panice spojené s výkladem a uplatňováním GDPR. Za své peníze dostane velmi dobrou užitnou hodnotu.

Vzhledem ke skutečně mimořádnému obsahovému zpracování lze knihu doporučit všem, kdo přicházejí do styku s problematikou sběru a zpracování osobních údajů, tedy od správců a zpracovatelů, přes odborníky v oblasti bezpečnosti informačních systémů a pověřence pro ochranu osobních údajů až po zaměstnance orgánů státu a samospráv. Recenzent je názoru, že by si ji měli podrobně prostudovat i členové a zaměstnanci dozorových orgánů (nejen ÚOOÚ) a samozřejmě všichni, kdo poskytují služby v souvislosti s GDPR, tedy zejména advokáti a podnikoví právníci.

prof. Ing. VLADIMÍR SMEJKAL, CSc., LL.M., DrSc., Fakulta podnikatelská Vysokého učení technického v Brně