GDPR zavedlo pověřence. Ten nejlepší v Česku se vybíral v Národním muzeu |
LN: Jak budete vzpomínat na první rok po účinnosti GDPR?
Byla to velmi hektická doba. Úřad musel zvládat nápor násobků prostých dotazů i složitých podnětů. Celkem jsme přijali 3851 podnětů, což je oproti předchozímu roku asi o tisíc pět set více, a to ve stejném počtu pracovníků. Bylo to velké období změn, kdy se správcům i veřejnosti muselo například vysvětlovat, proč musí opustit zažité nesprávné návyky v oblasti práce s informacemi, a to často v naprosto běžných životních situacích. Bylo to také období čekání na změnu, kterou přinese adaptační zákon.
LN: Je adaptační zákon kvalitně zpracovaný?
Srdce ochránců dat patří obecnému nařízení. Adaptační zákon zasahuje do řady oblastí zejména veřejného sektoru. Je potřebný pro to, aby v některých oblastech byla ochrana údajů vůbec uvedena v život, ale nejvíc v něm najdou experti na bezpečnost, justici, zpravodajské služby a část veřejné správy než běžní správci. Pro většinu soukromoprávních agend naprosto postačuje obecné nařízení. Troufám si říci, že v něm ale nejsou všechny změny, které česká společnost potřebuje. V některých oblastech měla být provedena širší revize pravidel, například ve zdravotnictví.
LN: Myslíte, že už si veřejnost zvykla, jak s nařízením pracovat? Před rokem vládl poměrně značný chaos, kdy řada subjektů nevěděla, jak se k GDPR postavit. Nastávaly tak absurdní situace, kdy školy sundávaly z nástěnek podepsané výkresy žáků a podobně.
Pokud jde o běžné občany, kteří nařízení vnímají jako zákazníci nebo zaměstnanci, ti mohou z nařízení čerpat především základní principy ochrany údajů. Díky popisnému textu nařízení si řada lidí uvědomuje, že právo je na jejich straně, a že by s jejich osobními údaji nemělo být kupčeno a neměli by být obtěžováni, třeba jen telemarketingem nebo skrze přeprodávání údajů. Pro občany jsme vydali návod, jak takové situace řešit. Ať už nabídku dostane zákazník po telefonu, po mailu nebo jestli je na pozadí databáze s osobními údaji. Po vydání návodu viditelně poklesl počet lidí, kteří si stěžují a chtějí přes úřad problém řešit, protože zjistili, že si i bez úředních procedur mohou poradit sami. Lidé jsou stále více citliví na zacházení s jejich daty. Ještě před sedmi lety pojem krádež identity většině lidí nic neříkal. Dnes už je to jinak. Lidé se o bezpečnost svých údajů více zajímají.
LN: A co odborná veřejnost?
Předně tu dnes máme osoby, jež mají mít odbornou péči o ochranu osobních údajů, tzv. pověřence pro ochranu údajů. Zjednodušeně lze přirovnat ochranu údajů k řemeslu. Stejně jako bezpečnost práce má svého technika a stavba má stavební dozor. Pověřenec je člověk, který může výrazně kultivovat prostředí a zacházení s daty u správce. Žádný ředitel škol ani starosta či zastupitel plně neobsáhne právní a technické požadavky týkající se ochrany informací a dat a dopadů technologií do života lidí. A šéf IT či marketingu je často zjevně ve střetu zájmů, je pod tlakem nebrat ohledy na nutnou a účelnou minimalizaci zpracování dat a potřeby lidského soukromí. Proto tato pozice vznikla, byť byla ze začátku hodně zpochybňována.
LN: Z jakého důvodu byla zpochybňována?
Lidé si mysleli, že to bude udavač pro ÚOOÚ, že to bude práskač, který nenese žádnou odpovědnost, kterému se však všechno musí hlásit a on všechno odnese na úřad. Tak to ale obecné nařízení neupravuje, naopak stanoví úkoly pro pověřence. Pověřenec musí mít přístup ke všem informacím, protože řeší novinky, rizika, problémy a incidenty. Velká debata se strhla také kolem toho, zda mají mít pověřence malé subjekty, to je řešeno sdílením jednoho pověřence. Dnes je pověřenců přes 16 tisíc. Někteří jsou ale zatím „spící“, někteří byli jmenováni dobrovolně.
LN: Úřad po zavedení GDPR zřídil konzultační telefonickou linku, jak je vytížená? A pro koho je určená?
Za rok jsme vyřídili cca. 6500 hovorů. Kromě pestrých dotazů k obecnému nařízení přetrvával zájem o rady ohledně kamerových systémů. Linka je určena pro základní orientaci laiků, tedy veřejnosti a malým správcům. Pro osoby dotčené zpracováním. Tato část poradenství, které ÚOOÚ poskytuje, hodně pomohl rozjitřenou atmosféru uklidnit.
LN: Jaké třeba?
Každodenní problémy lidí. Jednomu pánovi někdo škrábnul auto na parkovišti před supermarketem, plocha byla střežena kamerovým systémem. Poškozený se ale nemohl domluvit s místním bezpečnostním technikem, který chtěl záznam vydat pouze policii. Ani malý incident na silnicích však dnes policie šetřit nemusí, stačí to jen vyřídit přes pojišťovnu. Šlo tedy o to, zda ochrana dat je překážkou řešení problému nebo může poskytnout nějaký přiměřený nástroj pro řešení takové situace. Správce sám deklaroval, že kamerový systém na parkovišti mají zřízený pro ochranu zákazníků, může jim vydat potřebnou část kopie záznamu, a to i v případě že tam jsou zachyceny i procházející třetí osoby.
LN: V takovém případě ale stejně není jasné, jak se k tomu postaví pojišťovna. I pro tyto subjekty to je něco nového, s čím se musí naučit pracovat.
Vůbec to nemusí být jednoduchá situace. Někdo může zpochybnit, že je to sestříhané nebo nečitelné, nebo že pouhý záznam nestačí. Měli bychom ale nechat prostor tomu, aby život sám ukázal, kde jsou vážná rizika pro zpracování dat a zákon je potřeba držet striktně. V tomto případu není možné upírat slušným lidem aktivitu a obecně tvrdit, že nelze poskytnout záznam k řešení škody. Neotevíráme tím však stavidla pro to, aby lidé začali záznamy lidé hromadně dávat na Facebook nebo internet. Souvisí to s právem na informační sebeurčení každého z nás. Neměli bychom být zajatci systémů ani byrokracie ochrany údajů, ta by nám naopak měla sloužit. Snažíme se to nastavit rovnovážně, aby si nikdo nebral ochranu data jako rukojmí, ani aby tím neřešil zástupné problémy, ale abychom si zvykli žít s technologiemi i s tím, že kolem nás je spoustu osobních údajů a že je všichni můžeme korektně a férově zpracovávat.
LN: Jaké informace o praxi GDPR přinesly realizované kontroly?
Zkušenosti se projeví až s odstupem let. Je to moc čerstvé. Teprve jsme začali řešit první bezpečnostní incidenty. Pokud jde o porušování povinností, vlastně řešíme typové případy, které byly trestané ještě před GDPR. Příští rok budeme schopni říci více. Podle nového systému GDPR jsme dosud udělili 8 pokut. V adaptačním období jsme více vsadili na poradní a konzultační roli. Pokud to situace dovoluje, preferujeme například informační dopisy správcům údajů, které někdo může vnímat jako „nápravné“ dopisy, pokud si myslíme, že je věc řešitelná jiným způsobem než represí.
LN: Hovořilo se o hrozbě astronomických pokut dosahující desítek milionů korun. V jaké výši byly ty, které jste udělili?
V celkové výši 370 tisíc korun. Pokuty jsou úměrné situaci, okolnostem porušením i poměrům správce, nemohou být likvidační. Pokut se lidi hodně báli, ale neuvědomovali si právní, často soudem potvrzená pravidla, pro jejich udělování. Všeobecně je u nás totiž velmi malé povědomí o tom, jak státní správa pracuje. Obavy z nové ochrany údajů byly značné, čímž že jsme byli zařazeni do ranku „novinek“ jako EET a postupy ÚOOÚ byly srovnávány se zvláštními procesy dle daňového řádu. ÚOOÚ je ale klasický správní a kontrolní úřad, jehož postup je přezkoumatelný soudem a vztahují se na nás veškeré zásady obecné správy i zásady správního trestání. Výše pokut se pak odvíjí nejen od způsobených škod, ale například od rozpočtu podnikatelů a správců. Pokuty v obecném nařízení jsou nastavené tak, aby obsáhly celé spektrum, včetně globálního celosvětového prostředí. Pokud budou v ČR více usazeni globální hráči, budou také jistě častěji a přímo zkoumány českým ÚOOÚ. V opačném případě budeme větší kauzy často primárně řešit skrze dozorové úřady zemí, kde jsou tyto velké firmy usazeny, jako Irsko či Francie.
LN: Jak se díváte na to, že veřejný sektor dostal obrovskou výjimku a nevztahuje se na něj udílení pokut?
Vznikl tím nevyvážený stav, kterým se sice odstranilo jedno diskutabilní opatření, kdy převážil zjednodušený pohled, že stát, resp. veřejný sektor sám sobě ukládá pokutu. Není tu ale žádná viditelná doprovodná úvaha a jiné dostatečné záruky, jaká budou jiná adekvátní opatření, aby veřejné instituce zacházely s údaji pečlivě. Přitom stát je obrovský shromažďovatel údajů a je nemalý porušovatel jejich ochrany. Z ukládání pokut byly vyňaty nejen malé obce a školy, výjimka dopadla i na ministerstva, které mají obrovské systémy s dodavateli informačních systémů. Pokud se stát rozhodl tyto subjekty netrestat, tak by měl vymezit alternativní způsoby, jak co nejšetrněji zpracování dat občanů provádět a zajistit, aby zbytečně nevznikala rizika při zpracování údajů. Řada správců z veřejného sektoru dnes bohužel hodnotí výjimky z trestání tak, že si pověřence nemusí díky absenci trestání vůbec pořizovat. Tohle však každodenní problémy bezpečnosti, vhodnosti a správnosti zpracování dat občanů nevyřeší, týká se to však ne vždy plně ujasněných otázek, zda mohou být data českých občanů v zahraničních cloudech nebo do jaké míry může být státní správa obsluhována přes wi-fi spojení, třeba na malých obcích. To vše považuji za málo projednané, myslím si, že bezpečnostním aspektům musí být vždy věnována velká pozornost.
LN: Proč je situace takto podceňována?
Svým způsobem jsme ve veřejném sektoru usnuli na vavřínech a vyčerpali dynamiku rozvoje eGovermentu z minulých letech. Zůstali jsme u nástrojů, který sice tehdy byly a dosud jsou účinné, ale nejdou s dobou. Ochrana dat je velmi dynamická agenda a musí být spolu technologiemi neustále revidována. Bezpečnost dat i ochrana soukromí ve velkých a složitých systémech stojí mnoho prostředků i úsilí. Česko zaspalo a nereaguje na výzvy dnešní doby. Důsledkem toho je také kauza Huawei, v jejímž pozadí působí otevřené otázky, přitom ve státech bylo možno se inspirovat vzory pro bezpečné komunikační sítě státu. Na tom je nutno pracovat více let, obecné nařízením s principem bezpečnosti osobních údajů zde je velkým impulsem.
LN: Takže varujete před spoléháním na zahraniční řešení?
Spoléhat pouze na široké globální řešení může být paradoxně velmi svazující. Data a informace jsou naším zlatem a stříbrem. Můžeme se rozhodnout, jestli ho budeme mít doma nebo v zahraničí a jestli podpoříme zpracování údajů a rozvoj našeho průmyslu v tomto sektoru, zda nebo jestli budeme jen přebírat ta globální schémata. Zda budeme soběstační v základní ochraně údajů a budeme v tom tak moci přispět, tedy být vzájemnou oporou i svým sousedům v EU.
