Vláda nedávno schválila doprovodná pravidla pro nakládání s osobními údaji. Jste s jejich výslednou podobou spokojena?

Návrh zákona o zpracování osobních údajů jako hlavní, byť nikoli jediný, adaptační zákon k obecnému nařízení, který byl vládě předložen, byl výsledkem zhruba roční přípravy, na níž se úřad podílel jako spolupředkladatel, což vyplývalo zejména ze skutečnosti, že se zákonem stanoví také složení a úkoly úřadu. Po projednání vládou, která přijala moje argumenty a provedla tři dílčí změny v otázkách, které jsme setrvale navrhovali a hájili, jsem pochopitelně se stávající podobou spokojena. Konečné slovo bude mít ale zákonodárce.

O které změny šlo?

První z těch změn váže obsah adaptačního zákona na ochranu ústavně chráněného základního práva a vyjadřuje ideový základ úpravy, která mimochodem zčásti implementuje přímo Úmluvu č. 108 Rady Evropy o ochraně osobních údajů z roku 1981. Druhá změna se týká věkové hranice, od níž dítě může samostatně rozhodovat o svěření svých údajů nyní i do budoucna správcům, kteří mu nabízejí a budou nabízet služby informační společnosti. Jen na okraj, nedospělci nedokážou odpovědně nahlédnout všechny důsledky svého pohybu na sociálních sítích, takže umenšení role rodičů vede k neúměrnému zvýšení role cizích lidí.

A třetí změna?

Třetí změna se týká přístupu k soudu v záležitostech, které se nás bezprostředně týkají. V obecném pohledu vnímám nesaturovanou potřebu upravit některé dílčí problematiky, které jsou ovšem společensky velmi živé a problematické. Úřad je poměrně často konfrontován ve své konzultační i dozorové roli s nejasnostmi kolem videomonitoringu, jemuž se z nějakého důvodu v České republice říká "kamerové systémy" a který nelze v celém rozsahu vnímat jako záležitost řešitelnou právními nástroji podle obecného nařízení. Druhou oblastí je používání biometriky pro kontrolu chování lidí. To je skutečně v úplnosti záležitost podléhající pravidlům ochrany osobních údajů, ale vzhledem k značnému rozšíření jejího používání je vhodné některé aspekty této problematiky upravit právním předpisem.

Jak se díváte na snahy některých politiků omezit výši pokut pro státní správu, někdy dokonce i neziskové organizace a podobně?

Vzhledem k tomu, že pokuty za porušení ochrany osobních údajů jsou ukládány úřadem téměř dvě desetiletí bez jakýchkoliv námitek, vnímám to jednoznačně jako politickou otázku. Současná praxe ukládání pokut se přitom osvědčila. Pokuty jsou ukládány při zohlednění tradičních kritérií, která stanoví i judikatura.

Jak vysoké pokuty úřad v minulosti uložil?

Pokud jde o obce, nejvyšší uložená pokuta byla 80 tisíc korun pro město Brno a 50 tisíc korun pro Prahu 13. Vůbec nejčastěji však bylo uloženo napomenutí. A je také třeba vidět druhou stranu mince. Pokud nebude možné uložit pokutu ministerstvům, která spravují veřejné registry, ty se navíc propojují a mnohdy jsou považovány za kritické, bylo by z tohoto pohledu až nebezpečné vzdát se nástroje, který vede k disciplíně a odpovědnosti.

Neobáváte se ještě další vlny populismu či hysterie v souvislosti s nařízením?

Ne, neobávám se, poněvadž s takovými vlnami jsme konfrontováni déle než rok. To ovšem neznamená, že mě to neznepokojuje. Otázka je, co s tím úřad reálně může dělat. Snažíme se trpělivě vysvětlovat, co je vlastně ochrana osobních údajů, vyvracet omyly a možná i záměrně šířené nepravdy. Dokonce jsem v reakci na stále se opakující nepravdivé informace nechala na web umístit své prohlášení, ve kterém upozorňuji, že přestože se blíží den nabytí účinnosti obecného nařízení a proběhlo ohromné množství osvětových a vzdělávacích akcí, stále neubývá nesprávných kategorických tvrzení o jeho obsahu a negativních důsledcích pro správce a zpracovatele působící v České republice, přičemž není v silách úřadu ohrazovat se jednotlivě proti každému takovému tvrzení.

Jaké je řešení?

Doporučuji každému, kdo je konfrontován se sdělením o dramatických změnách, enormních finančních nákladech a jednoznačně negativních důsledcích pro něj nebo někoho v jeho okolí, aby využil rubriky GDPR na našich internetových stránkách. Ta obsahuje odpovědi na nejčastěji kladené otázky i vysvětlení hlavních omylů a nesprávných tvrzení. Případně se lidé mohou obrátit na můj úřad jako na spolehlivý zdroj informací.

Vrátím se ještě k vládě. Už nyní je jasné, že vzhledem k legislativním lhůtám nebude český adaptační zákon ke GDPR dne 25. 5. schválený a účinný. Jak se bude v mezidobí do schválení zákona postupovat v oblastech, v nichž se má rámec GDPR dotvořit?

Bude se postupovat podle ustanovení obecného nařízení o ochraně osobních údajů a stávajících českých zákonů. Každá oblast má své obecné zákony, vše působí komplementárně. Třeba věková hranice je stanovena a odpovědnost zákonného zástupce nezletilých dětí funguje ve stávající právní úpravě docela dobře. Dosud se uplatňuje hranice občanskoprávní odpovědnosti, která je 15 let, hranice trestněprávní odpovědnosti je stejná. Je jen na rodičích nebo jiných zákonných zástupcích, jaký význam přisuzují ochraně osobních údajů a jejím budoucím důsledkům, zda vědí, jak se jejich děti pohybují na síti. Problém, který bude adaptační zákon řešit, je pouze a právě věkový limit pro informační služby určené specificky a výlučně dětem, tedy dospělost pro virtuální sítě. Pokud jde o státní instituce, ty se bez výjimky řídí řadou dalších zákonů a osobně nevnímám, že by právě ony měly být v krátkém čase do nabytí účinnosti zákona o zpracování osobních údajů sužovány nějakými zásadními problémy, které za ně vyřeší účinnost adaptačního zákona. Pouze obcím a veřejným orgánům např. nebude možné uložit pokuty do přijetí adaptačního zákona.

V jakých oblastech bude podle vás absence adaptačního zákona nejproblematičtější?

Ivana Janů

Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janků

Dříve působila jako soudkyně Ústavního soudu, od srpna 2015 je předsedkyní Úřadu pro ochranu osobních údajů. Na její instituci přitom nejvíce dopadá nejnovější evropská úprava, která má zajistit lepší kontrolu citlivých dat a informací o lidech. Jako ústavní soudkyně získala Janů pověst právničky, která se opakovaně výrazně bila za práva lidí. Nejednou měla při verdiktech Ústavního soudu jiný názor než kolegové. Před svou justiční kariérou byla lidoveckou poslankyní a podílela se na tvorbě ústavy.

Zatím si nejsem vědoma existence takové oblasti, něco jiného je ovšem nervozita, kterou budou mnozí pociťovat a budou ji také vůči nám projevovat. Již dnes mimořádné zatížení útvarů podílejících se na konzultační činnosti a styku s odbornou i laickou veřejností se zřejmě dále umocní.

Adaptační zákon počítá také s řadou změn ve složení a kompetencích ÚOOÚ. Co tedy bude jeho neschválení do 25. 5. v praxi znamenat pro práci vašeho úřadu?

Vzhledem k tomu, že nařízení je přímo účinné, jeho účinnost nastane automaticky. Tam, kde obecné nařízení předpokládá přijetí vnitrostátní právní úpravy, dojde k odkladu. Kromě změn v mezinárodní spolupráci se práce úřadu nabytím účinnosti adaptačního zákona podstatně nezmění, pokud ovšem nemáme na mysli hmotně právní úpravu ochrany osobních údajů. A na tu se připravujeme interním školením zajišťovaným samozřejmě vlastními silami. Aktuálně probíhají vnitroúřadové semináře, které spočívají v podrobném školení pracovníků.

A bude přechodné období, během kterého bude úřad při kontrolách shovívavý?

Musím vás zklamat. Za prvé: pro žádné přechodné období není dán prostor. Za druhé: základní povinnosti platí již bezmála 18 let a na nové povinnosti - tedy provádět před zahájením zpracování z vlastního rozhodnutí správce posouzení jeho vlivu na práva a svobody ostatních lidí, povinnost hlásit bezpečnostní incidenty (což je institut informační povinnosti známý z jiných oborů) a případně jmenovat pověřence pro ochranu osobních údajů - měli ti, na které povinnosti dopadají, dost času se připravit od dubna 2016. Argumentace čekáním na adaptační zákon zde není, snad s výjimkou pověřence působícího u jiného veřejného subjektu, než je orgán státní moci, namístě. Tím je řečeno, že pro jakékoli přechodné období skýtající úlevy od některých povinností, jež sledují naplňování jednoho ze základních, ústavně zakotvených práv každého z nás, není žádný důvod. Pokud se ptáte, zda tento přístup není příliš přísný, chci důrazně upozornit na to, že řada subjektů požaduje shovívavost, ale činí tak proto, že nejsou schopni rozlišit pokuty ukládané na základě čl. 83 odst. 7, které se budou ukládat veřejným orgánům způsobem a ve výši, jak tomu bylo dosud, a ony skutečně vysoké pokuty podle obecného nařízení, o kterých se mluví od jeho přijetí jako o pokutách zvlášť odrazujících, které však budou ukládány opravdu velkým hráčům závažně porušujícím ochranu osobních údajů, viz aktuální případ zneužití dat uživatelů Facebooku.

Jak probíhají přípravy na GDPR na úrovni WP29? Stihne se projednat do května vše podstatné?

WP29, tedy expertní orgán pro řešení otázek v oblasti ochrany osobních údajů, si v poslední etapě své existence v tomto ohledu stanovil plán práce, který přihlížel ke kapacitním možnostem tohoto poradního sboru, jehož členové především plní úkoly z titulu své funkce vedoucích dozorových úřadů doma v národním státě, a nadto se připravují na platnost nových předpisů, tedy nejen GDPR. I WP29 současně s přípravou na svou institucionální změnu, která bude znamenat novou podobu, musí plnit všechny své úkoly. Tedy poskytovat poradenství komisi ve vztahu k otázkám ochrany osobních údajů v rámci EU a reagovat na nové závažné problémy v ochraně osobních údajů - ať už jimi byly masivní úniky, zjevné nedodržování existujících pravidel nebo nové technologie zpracování osobních údajů. V poslední době je to například kauza Cambridge Analytica, která přináší spoustu závažných otázek k analýze a řešení. Plán přípravných prací na ukončení své činnosti a na vznik Evropského sboru pro ochranu osobních údajů se daří plnit. Souběžně se připravují a zveřejňují metodické a názorové dokumenty určené i veřejnosti a "interní" dokumenty pro vzájemnou spolupráci dozorových úřadů ve všech členských státech EU. Jsou však úkoly, které WP29 plnit jaksi v předstihu pro jiný subjekt prostě nemůže, byť by zájem o ně byl. Takovými jsou například úkoly související s kodexy chování. Jiná část přípravných prací pak bude muset být novým unijním orgánem - sborem formálně akceptována, což také nebude jednoduchá záležitost.

Řada lidí si neuvědomuje roli, kterou v souvislosti s GDPR máte. Co vše děláte nad rámec vaší agendy?

Je to tak, že do své agendy jsme zařadili ve významně větším rozsahu osvětovou a vzdělávací činnost. Na hranici únosnosti se zúčastňujeme odborných akcí s preferencí těch, které jsou pořádány kolektivními reprezentacemi různých skupin správců, jako jsou komory, svazy, spolky, asociace. Ostatně, všimla jsem si, že někteří takto aktivní lidé naše názory přijímají a šíří je dále. Jen v loňském roce zaměstnanci úřadů vystoupili bezplatně na devadesáti odborných akcích. Letošní trend není jiný, činnost je snad ještě intenzivnější. Zvýšenou pozornost věnujeme i naší vlastní rubrice GDPR na webových stránkách úřadu. Pravidelně je aktualizujeme a snažíme se, aby obsahovaly dokumenty vhodné pro různé skupiny návštěvníků.

Jak vás osobně GDPR vytěžuje?

Musím říct, že přiměřeně významu problematiky, tedy maximálně. Je to jedna z klíčových oblastí, jíž se osobně v každodenní činnosti věnuji. Rozsáhlost a složitost činností, kterými se zabývám, ještě naroste s účinností obecného nařízení. To se bude promítat především v rozhodovací druhoinstanční činnosti, jež je mým úkolem jako předsedkyně úřadu. Budu také členkou Evropského sboru pro ochranu osobních údajů, který nově získá právní subjektivitu, přestane být pouze poradním orgánem komise a bude mít samostatné rozhodovací pravomoci. Z toho budou také vyplývat značné nároky na mé osobní zapojení; patrně to bude znamenat ještě častější cesty do Bruselu.

Související