Jiří Kaucký: Ochrana osobních údajů v digitální době je i ochranou proti vnějšímu ohrožení

Je mi velikou ctí spoluzahájit tuto konferenci, která se věnuje ochraně jednoho ze základních práv uznávaných v neustále narůstajícím počtu států – právu na ochranu osobních údajů, jehož faktická emancipace od ústavního práva na ochranu soukromí pokračuje globálním postupem digitalizace veřejného a i soukromého života.

Setkáváme se s tím všichni. Rozvoj výpočetní techniky reálně přesouvá významnou část komunikace do virtuálního prostoru a směřuje tak k dominantně digitální komunikaci spojené zčásti nevyhnutelně, zčásti arbitrárně s ohromným a neustálým zpracováním osobních údajů. Podstatná část veřejnosti si dlouho neuvědomovala, že jejich soukromí nezačíná nejpozději za dveřmi jejich bytu. Co jsme ochotni o sobě často psát na internetu bychom si patrně na vývěsku v domě, v němž bydlíme, nenapsali a už vůbec nevyvěsili podepsané. Zneužití velkého množství osobních údajů jak v důsledku kriminální činnosti, tak samotnými správci těchto údajů a s tím související skandalizace některých platforem v zahraničí vedly k zásadnímu zintenzivnění ochrany osobních údajů na úrovni orgánů Evropské unie i národních dozorových úřadů.

Ochrana soukromí a osobních údajů ale paradoxně začala opravdu zajímat ty, jichž se především týká, tedy subjekty údajů, ve velké míře až v okamžiku, kdy vlivem pandemie onemocnění COVID 19 enormně vzrostl tlak veřejných institucí i soukromých subjektů na objem a kvalitu osobních údajů, včetně osobních údajů zvláštní kategorie, které jsme všichni byli povinni poskytovat, nebo jejichž poskytování se nám alespoň doporučovalo. Ještě neskončila pandemie covid 19 a začala ruská agrese proti Ukrajině. Hybridní válka, dezinformace, kybernetické útoky. I to vše velmi úzce souvisí s ochranou osobních údajů.

Skutečnou hodnotu a také „zranitelnost“ osobních údajů nám všem ukazují právě stále častější kybernetické útoky. Hybridní válka vůči svobodnému světu prokázala, že ochrana osobních údajů a soukromí jednotlivců musí být chápána jako nedílná součást ochrany společnosti před vnějším ohrožením jakož i ochrany demokratických hodnot obecně. Stojíme tak – a to nejen Úřad a další orgány státní správy, ale v zásadě celá společnost – před zásadními úkoly v oblasti kybernetické bezpečnosti a ochraně osobních údajů a soukromí. Pokud si včas neuvědomíme nebezpečí institucializovaných útoků zneužívajících naše osobní údaje, může to mít vážné dopady nejen na konkrétní oběti, ale také na celou společnost v podobě dezinformací, manipulací nebo dokonce rozvratu určitých sektorů společnosti, např. masovou manipulací veřejnosti nebo krádežemi identit (např. deep fakes, kde dochází ke zneužití umělé inteligence k podvodu pomocí realistických foto nebo videomontáží), může dojít k zahlcení a zhroucení některých služeb, zdravotnických zařízení, ale také celé digitalizované státní správy.

Tím se dostávám k tématu dnešní konference. Jakákoli digitalizace státní správy musí nezbytně jít ruku v ruce s kybernetickou bezpečností a zejména s ochranou osobních údajů těch, jejichž údaje jsou státem spravovány. A to se v dobře míněném nadšení občas přehlíží. Opatření proti zneužití osobních údajů je třeba vždy plánovat od počátku legislativního projektu. Jednoduše řečeno. Stát má mít jen tolik údajů, které k plnění svých zákonných povinností potřebuje a má je zpracovávat jen k účelu, pro který je má. Opendata jsou možná k datům státu o sobě a své činnosti, nikoli o subjektech údajů. Osobní údaje nota bene svěřené pod hrozbou sankce státu se například ani nepřímo nemohou stát objektem jejich monetizace.

Abych hovořil konkrétně. V rámci pandemie covidu byla logická tendence minimalizovat osobní kontakt mezi lidmi a zavádět důsledná režimová a karanténní opatření. Od roku 2020 se náš Úřad nejen k těmto otázkám mnohokrát vyjadřoval a pokud o to jiné správní orgány i soukromé osoby požádaly, snažili jsme se jim poskytnout maximální součinnost v tom smyslu, aby jimi přijímaná opatření zachovala svou efektivitu při maximálním šetření práva na soukromí a ochranu osobních údajů. Jako příklad toho, kde se v daném čase uspokojivé řešení nalézt nepodařilo, lze uvést, že nejen v České republice nezískala aplikace „typu“ eRouška právě z tohoto důvodu dostatečnou důvěru obyvatel.

Pro nás všechny je důležité, abychom dokázali analyzovat situaci v ochraně osobních údajů, predikovat její další vývoj v důsledku opatření na ochranu veřejného zdraví a v – doufejme – „post COVIDovém“ světě najít místo ochrany osobních údajů. Úkol je to většinou obtížný, vyžadující značné úsilí, odhodlání chránit osobní údaje a soukromí lidí jako jejich ústavní práva a (někdy především) vytrvalost. Nyní máme druhou šanci věnovat ochraně osobních údajů odpovídající pozornost a brát ji jako činnost, která je cíleně orientována na prospěch pro občana, a nikoli (jen) jako nepříjemná administrativní zátěž. Ochrana osobních údajů a soukromí je něco, co je jedním z garantů fungování České republiky jako demokratického právního státu založeného na úctě k právům a svobodám člověka a občana, jak vyplývá z článku 1 Ústavy České republiky.

Úřad se soustředí i na nejdůležitější legislativní změny spojené s aktuálními společenskými potřebami. K problémům ochrany osobních údajů při řešení pandemie evidentně přispívala i nestandardně prováděná připomínková řízení, např. k návrhu pandemického zákona, kdy nebyl Úřad vůbec osloven, a k jeho novele nebyly řádně vypořádány jeho připomínky. Obecným nešvarem v legislativních návrzích bohužel bývá absence řádně zpracovaného posouzení vlivu na ochranu osobních údajů, jehož zpracování je podle čl. 35 obecného nařízení povinné. I z tohoto důvodu se nyní projednává změna Legislativních pravidel vlády, ve které je podrobněji rozpracována oblast posouzení vlivu na soukromí a ochranu osobních údajů. Touto změnou však nebudou vyřešena úskalí překládání iniciativních nebo pozměňovacích návrhů, která často s Úřadem nebývají vůbec projednávána, což je z hlediska ochrany osobních údajů nežádoucí stav. Příkladem může být novela zákona o léčivech, která samotná se osobních údajů netýkala. Načten byl k ní však pozměňovací návrh, který se týkal očkování fyzických osob, a ve zkratce představoval vyjmutí těchto údajů z eReceptu a nově zapisování do Informačního systému infekčních nemocí. Stanovisko Úřadu bylo k pozměňovacímu návrhu negativní, zejména z důvodu absence zákonné úpravy pro ISIN. Následným jednáním s Ministerstvem zdravotnictví se podařilo docílit toho, že ISIN bude legislativně ukotven, čímž dojde k naplnění zásad zpracování osobních údajů.

Úřad si je vědom, že díky tomu, že zpracování osobních údajů je přeshraniční, musí být přeshraniční i ochrana osobních údajů, pokud má dosahovat zamýšleného účinku. Za nejvýznamnější počin posledního roku lze v tomto smyslu považovat společné koordinované vymáhání ochrany osobních údajů podle pravidel obecného nařízení.

Dne 15. února 2022 se Úřad zapojil společně s dalšími 21 úřady do první takové akce Evropského sboru pro ochranu osobních údajů. Tematicky je tato dosud probíhající akce zaměřena na využívání cloudových služeb veřejnými subjekty. Volba tématu, které jsem osobně preferoval, se opírala také o zjištění Eurostatu, že využívání cloudových služeb v EU se za posledních šest let zdvojnásobilo. Využívání cloudových služeb doprovází nové problémy, jimž musí odpovídat nároky na ochranu osobních údajů.

Členské národní dozorové úřady vstoupily do projektu s deklarovaným cílem prověřit nejméně 75 veřejných institucí v Evropské unii a dalších státech Evropského hospodářského prostoru. Naše část práce spočívala ve vstupním dotazníkovém šetření u Ministerstva práce a sociálních věcí, Ministerstva vnitra a Národní agentury pro komunikační a informační technologie. Výběr tří centrálních institucí byl společným parametrem těch úřadů, které tuto formu zvolily. Po vyhodnocení odpovědí jsem rozhodl o provedení kontroly u jednoho z těchto subjektů, která byla zahájena v září. Souhrnnou zprávu o výsledcích celé koordinované akce zveřejní Evropský sbor pro ochranu osobních údajů pravděpodobně na přelomu roku.

Jelikož je konference spoluorganizována Asociací pověřenců ČR, dovolím si zmínit, že Úřad pro ochranu osobních údajů vždy maximálně podporoval pověřence pro ochranu osobních údajů v jejich často nezáviděníhodné roli. Když jsme byli osloveni, velmi jsme to uvítali, protože role pověřenců v rámci veřejného sektoru je jednak velmi odpovědná a – dovolím si tvrdit – odpovědnější než v sektoru soukromém, protože prostředky veřejné moci ke shromažďování osobních údajů jsou nesrovnatelné se soukromým sektorem, jednak postavení pověřenců v orgánech uvedených v čl. 37 odst. 1 písm. a) obecného nařízení je nesrovnatelně horší než v soukromém sektoru. Na jedné straně sice můžeme říci, že veřejný sektor není ovládán ziskem, na druhé straně je ale jasné, že každá organizace řeší nějaký model řízení rizika. A pokud z ochrany osobních údajů na první pohled žádné přímé finanční riziko pro veřejný sektor neplyne, nemůže to nemít nezaslouženě negativní vliv na prestiž jejich pověřenců. Domnívám se, že – dovolíte-li tu zkratku – klamný pocit beztrestnosti části veřejnoprávních správců a zpracovatelů vedl k pozvolnému úpadku zájmu o ochranu osobních údajů ve veřejném sektoru, což sekundárně mělo vlivem jisté nápodoby negativní vliv i na část ostatních správců a zpracovatelů. Je především zásluhou pověřenců, že tento přístup je okrajový.

Před 4 lety, kdy institut pověřence vznikl, bylo jedním z důležitých cílů i posílení obecného povědomí o potřebě a významu ochrany osobních údajů. Role pověřenců tedy není jen výkonem kompetencí a dozoru podle obecného nařízení. Smyslem výkonu funkce pověřence je také určitá forma popularizace významu ochrany osobních údajů. Pověřenec by proto měl být, podle mého názoru, také jakýmsi ‚ambasadorem‘ ochrany osobních údajů, tím, kdo pomáhá nastavit dobrou praxi i v okamžiku, kdy za rohem nečíhá náš Úřad, protože ten tam většinou není.

Součástí odborného působení pověřence pro ochranu osobních údajů, a to nejen ve veřejné správě, ale i v privátním sektoru, by proto měl být i aktivní osvětový přístup. Nelze se spokojit jen s přesným plněním povinností daných obecným nařízením. Každý pověřenec (pro ochranu osobních údajů), ať už působí ve veřejné správě anebo soukromém sektoru, by měl v rámci svého prostoru působení pomáhat všeobecnému pochopení, proč formální aplikace principů ochrany osobních údajů je nejen špatná z pohledu přístupu ke společensky odpovědnému a udržitelnému rozvoji toho, pro nějž jako pověřenec působí, ale může být i velmi nebezpečná a v posledku mít pro správce nebo zpracovatele osobních údajů i fatální důsledky. Pokud naše široká účast může alespoň poněkud pomoci tento zcela nežádoucí trend zastavit, nechť je podobných konferencí, pokud možno, co nejvíce.

Vážené dámy, vážení pánové,

děkuji za pozvání zástupců našeho úřadu na tuto akci, děkuji za vaši pozornost a přeji dnešní konferenci úspěch a spokojené a pro ochranu osobních údajů ještě nadšenější účastníky.