Vážená paní předsedající, vážené paní senátorky, vážení páni senátoři, dovolte mi, abych vám jako předseda nezávislého dozorového orgánu na dodržování právních předpisů v oblasti ochrany osobních údajů, či v širším slova smyslu ochrany soukromí, svobodného přístupu k informacím a částečně i základních registrů ČR prezentoval Výroční zprávu Úřadu pro ochranu osobních údajů za rok 2021.
Bojíte se Vladimira Putina?Anketa
Výroční zpráva tak jako již v uplynulých letech přináší především podrobný přehled o kontrolní činnosti Úřadu, a to včetně konkrétních příkladů z provedených kontrol a z nich plynoucích poznatků. Oproti předchozím výročním zprávám jsme se ji opět snažili napsat čtivější a stručnější. Naším cílem je, aby Výroční zpráva přinesla využitelné informace o rozhodování Úřadu a také o tom, jak Úřad interpretuje evropské obecné nařízení ochrany osobních údajů, stejně jako český zákon o zpracování osobních údajů, zejména pak jeho hlavu III.
Podobně jako v roce 2020, vyvstala i v loňském roce nemalá rizika pro zajištění odpovídající ochrany osobních údajů. To se dělo především ve vztahu k dobře míněným opatřením na ochranu přijímaným na ochranu životů a zdravím obyvatelstva. Veškerá preventivní opatření, jejichž cílem je zabránit šíření nakažlivé nemoci, totiž už ze své podstaty obsahují určitou formu vyhodnocení a označení lidí či skupin lidí jako rizikových. A předpokládají tedy nakládání s osobními údaji těchto osob spojené s přiřazeným určitých kategorií.
Se zařazením do kategorií dle zdravotního stavu navíc byla spojena značná ingerence do ústavních práv a svobod občanů. Právě v okamžiku prvotního rozhodování o přijetí tohoto typu opatření logicky dochází ke střetu dvou chráněných zájmů. Tedy ochrana života a zdraví na straně jedné a ochrana soukromí jakožto nedílné složky svobody jednotlivce na straně druhé. Úkolem Úřadu tak bylo poskytnout odbornou podporu a pomoc správcům i zpracovatelům osobních údajů s cílem minimalizovat negativní dopady protipandemických opatření na nejnižší možnou úroveň. A to při zachování efektivity těchto opatření.
Citlivé nastavení prvotních podmínek rozřazení do kategorií, pokud je to tedy vůbec nutné a oprávněné, má zprostředkovaně pozitivní dopad i na snížení zásahů do ostatních práv a svobod, a to jak zúžením okruhu osob, na které dopadne, tak i z hlediska míry intenzity takového zásahu. Věřím, že se nám v této oblasti jistých úspěchů dosáhnout podařilo.
Úřad poskytoval maximální možnou součinnost a podporu všem subjektům, které krizovou pandemickou situaci řešily. Byl to Úřad pro ochranu osobních údajů, kdo zpracoval doporučení pro zaměstnavatele pro testování zaměstnanců na pracovištích včetně vzorů dokumentů, poskytovali jsme informace ministerstvu zdravotnictví včetně nastavení interoperability, aplikace eRouška tak, aby mohla být využívána při cestách do zahraničí.
Zpracovali jsme věcné doporučení k zavedení tzv. očkovacích pasů. Co je podstatné, vždy jsme ale upozorňovali na faktická úskalí mimořádných opatření z hlediska zpracování a ochrany osobních údajů. Postavení jasného a trvalého právního rámce zpracování osobních údajů podle článku 6 obecného nařízení jsme vždy považovali za prioritu.
Tím byly určovány naše kroky v době pandemie. Proto jsme několikrát upozornili, že neurčitý a mezerovitý text pandemického zákona řešení krize neusnadní. Bezbřehé a právně neomezené zmocnění bez odstupňovaných zákonných limitů nejen neúměrně přetěžuje orgány vykonávající konkrétní opatření, ale jejich akty nemohou z hlediska zákonnosti obstát před soudem.
Nejvyšší správní soud následně zrušil celou řadu opatření obecné povahy, která byla přijata k provedení pandemického zákona. Z této skutečnosti vyplývá, že uvedeného cíle, tedy postavení jasného a trvalého právního rámce zpracování osobních údajů, se pandemickým zákonem dosáhnout nepodařilo.
Ministerstvo zdravotnictví následně v prosinci loňského roku předložilo novelu pandemického zákona, kde jsme uplatnili věcné zásadní připomínky a rovněž připomínky ústavněprávního charakteru. Ty jsme potom uplatňovali i v celém legislativním procesu návrhu zákona. Jakkoli byla novela pandemického zákona nakonec Poslaneckou sněmovnou schválena, část našich výhrad však zůstává. Pokud nás na podzim tohoto roku čeká další vlna pandemie, bude nezbytně nutné přijmout novou právní úpravu, která snad už ty základní problémy vyřeší a nebudeme sahat pouze k prodloužení platnosti tohoto zákona, který nemohl v kontrole Nejvyššího správního soudu obstát.
Budeme se vždycky snažit k tomu být nápomocni tak, aby se tyto věci řešily dopředu. Teď na to je čas, měli by se tomu zákonodárci věnovat, zejména na úrovni vládní legislativy. My s tím rádi pomůžeme, než to potom řešit ex post, až přijde očekávatelná další vlna pandemie covid. Takto se nedá nakládat se soukromím občanů, ani s jejich svobodou.
Naše Výroční zpráva, jako již tradičně, představuje nejdůležitější výsledky dozorové činnosti Úřadu v oblasti zpracování osobních údajů, prezentovaných na všem. Jasně se ukazuje, že tyto kontroly se zaměřovaly především na zpracování osobních údajů v rámci boje proti covidu. Ať je to rezervační systém očkování, projekt chytré karantény nebo v zaměstnaneckých vztazích. Provedli jsme kontrolu předávání dat osob nacházejících se v karanténě a v izolaci policií, řešili jsme databázi osob, kterým byly rozesílány roušky, atd.
Ačkoli opatření proti pandemii představovaly mnohdy výrazné riziko pro naše soukromí, bylo by chybou pomíjet či podceňovat další rizika, která přináší současná doba. Díky všudypřítomné digitalizaci a přesunu stále většího množství aktivit, a to i ryze osobních, do online prostředí je stále jednodušší narušit soukromí člověka a zneužít jeho osobní údaje k manipulaci nebo dalšímu nekorektnímu jednání. Skutečnou hodnotu a také zranitelnost osobních údajů nám ukazují mj. stále častější kybernetické útoky. V blízké budoucnosti bude proto naprosto nezbytné zaměřit se na intenzivnější propojení ochrany osobních údajů a kybernetické bezpečnosti.
Jenom na okraj, minulý týden došlo k napadení internetových stránek jednoho města. Nebylo to takové to klasické shození webu, jak se s ním setkáváme každý den, ale přes něj se podařilo i získat osobní údaje o obyvatelích toho města, což už je potom podstatně závažnější problém. Budeme se s ním asi setkávat stále častěji. Koneckonců naše stránky ještě nikdo nenapadl, tak jsme si je zkusili napadnout sami v rámci penetračního testu, spadly za jednu minutu. Myslím, že v tomto smyslu nejsme jediní, kdo jsou takovémuto problému vystaveni.
Veřejná správa neměla dostatek prostředků na to, aby do svých webových prezentací investovala dostatečně masivně. Prohlubujeme spolupráci s Národním úřadem pro kybernetickou bezpečnost, proškolili jsme kolegy z NÚKIBu v oblasti ochrany osobních údajů, oni nás naopak z kybernetické bezpečnosti.
Jak se ukazuje, kybernetické útoky přestávají mít povahu prosté kriminální činnosti. Ruská agrese vůči Ukrajině a s ní související hybridní válka vůči svobodnému světu nám stále jasněji ukazuje, že ochrana osobních údajů a soukromí jednotlivců musí být chápána jako nedílná součást ochrany společnosti před vnějším ohrožením, jakož i ochrana demokratických hodnot obecně.
Dalším tématem, jemuž jsme se v rámci činnosti Úřadu věnovali, byla změna právní úpravy elektronických komunikací, čili tzv. cookies, a nová pravidla pro marketingové hovory. Oboje se podařilo nějakým způsobem snad uspokojivě vyřešit.
Další činnosti, kterým jsme se intenzivně věnovali, je nová kompetence Úřadu od roku 2020. A to je kompetence v oblasti svobodného přístupu k informacím. Máme již poměrně dost poznatků, které ukazují, že ta novela se do jisté míry právně vyčerpala a je třeba na některé věci reagovat. Postavení Úřadu, které je zcela specifické zejména v tom, že jsme právním nástupcem velkého množství povinných subjektů, a stejně tak rozhoduje o cca 15 000 povinných subjektech v přezkumném řízení, to neodpovídá těm povinnostem, které máme. Jsou i problémy procesního charakteru, kdy k té zákonné 15denní lhůtě musíme reagovat i v oblastech, které jsou velice specifické a kde jsme nuceni si vyžadovat stanovisko věcně příslušných ústředních orgánů státní správy.
Takže pokud bude příležitost novelizovat technicky zákon č. 106, jistě bychom měli mnoho námětů, jak to vylepšit. Problematika ochrany osobních údajů je také stále komplexnější a stále více je vázána na technologie. Situace našeho Úřadu je specifická tím, že my nepotřebujeme obecně znalce v oblasti IT, my potřebujeme znalce v oblasti IT, kteří budou mít zároveň povědomost o ochraně osobních údajů a o tom, jak jsou nastaveny informační systémy. V našich rozpočtových možnostech pochopitelně není, abychom těchto znalců měli nadbytek.
Koneckonců, tak, jak je to v naší Výroční zprávě, náš rozpočet se od roku 2019 každý rok nominálně snižuje. V této době již byly rezervy vyčerpány.
Vážené paní senátorky, vážení páni senátoři, jsem si jist, že postoj Senátu má a v budoucnu nepochybně bude i nadále mít významný dopad na ochranu soukromí občanů České republiky. Mohu-li si dovolit hodnotící soud z hlediska ochrany soukromí a osobních údajů, tak právě v tomto období se Senát projevil mj. při zamítnutí novely pandemického zákona jako ten, kdo je s nejvyššími orgány justice schopen a ochoten svobodu efektivně bránit.
Dovolte mi vyjádřit přesvědčení, že Úřad pro ochranu osobních údajů bude i nadále institucí s maximálním nasazením bránící právo na soukromí, na ochranu osobních údajů a svobodu občanů. Děkuji vám za podporu, jíž se Úřad ve své činnosti těší, a děkuji za pozornost, kterou jste věnovali naší Výroční zprávě.
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: PV
FactChecking BETA
Faktická chyba ve zpravodajství? Pomozte nám ji opravit.
