ÚOOÚ: Projev předsedy úřadu před Senátem ČR

Výroční zpráva – tak jako i v minulých letech – přináší především podrobný přehled o kontrolní činnosti Úřadu, a to včetně konkrétních příkladů z provedených kontrol a z nich plynoucích poznatků. Oproti předchozím výročním zprávám jsme se ji opět snažili napsat čtivější a stručnější. Naším cílem je, aby výroční zpráva přinesla využitelné informace o rozhodování Úřadu a také o tom, jak Úřad interpretuje evropské obecného nařízení o ochraně osobních údajů, stejně jako český zákon o zpracování osobních údajů.

Podobně jako v roce 2020, vyvstávala i v loňském roce nemalá rizika pro zajištění odpovídající ochrany osobních údajů. To se dělo především ve vztahu k dobře míněným opatřením přijímaným pro ochranu životů a zdraví obyvatelstva. Veškerá preventivní opatření, jejichž cílem je zabránit šíření nakažlivé nemoci, totiž už ze své samotné podstaty obsahují určitou formu vyhodnocení a označení lidí či skupin lidí, jako „rizikových“ a předpokládají tedy nakládání s osobními údaji těchto osob spojené s přiřazením určitých kategorií. Se zařazením do kategorií dle zdravotního stavu navíc byla spojena značná ingerence do ústavních práv a svobod občanů.

A právě v okamžiku prvotního rozhodování o přijetí tohoto typu opatření logicky dochází ke střetu dvou chráněných zájmů. Tedy, ochrana života a zdraví na straně jedné a ochrana soukromí (jakožto nedílné složky svobody jednotlivce) na straně druhé. Úkolem Úřadu tak bylo poskytnout odbornou podporu a pomoc správcům i zpracovatelům osobních údajů s cílem minimalizovat negativní dopady protipandemických opatření na nejnižší možnou úroveň, a to při zachování efektivity těchto opatření. Citlivé nastavení prvotních podmínek rozřazení do kategorií, pokud je to tedy vůbec nutné a oprávněné, má zprostředkovaně pozitivní dopad i na snížení zásahu do ostatních základních práv a svobod, a to jak zúžením okruhu osob, na které dopadne, tak i z hlediska míry intenzity takového zásahu. Věřím, že se nám v této oblasti jistých úspěchů dosáhnout podařilo. Úřad poskytoval maximální možnou součinnost a podporu všem subjektům, které krizovou pandemickou situaci řešily. Byl to Úřad pro ochranu osobních údajů, kdo zpracoval doporučení pro zaměstnavatele pro testování zaměstnanců na pracovištích včetně vzorů dokumentů, poskytovali jsme konzultace Ministerstvu zdravotnictví ČR ve věci nastavení interoperability aplikace eRouška, zpracovali jsme věcné doporučení k zavedení tzv. očkovacích pasů a co je, myslím, podstatné, vždy jsme upozorňovali na faktická úskalí mimořádných opatření z hlediska zpracování a ochrany osobních údajů.

Postavení jasného a trvalého právního rámce zpracování osobních údajů podle čl. 6 obecného nařízení Úřad považuje za prioritu. Tím byly určovány naše kroky v době pandemie. Proto jsme několikrát upozornili, že neurčitý a mezerovitý text pandemického zákona1 řešení krize neusnadní. Bezbřehé a právně neomezené zmocnění bez odstupňovaných zákonných limitů nejen neúměrně přetěžuje orgány vydávající konkrétní opatření, ale jejich akty nemohou z hlediska zákonnosti obstát před soudem. Nejvyšší správní soud následně zrušil celou řadu opatření obecné povahy, která byla přijata k provedení pandemického zákona Z této skutečnosti vyplývá, že uvedeného cíle, tedy postavení jasného a trvalého právního rámce zpracování osobních údajů, se pandemickým zákonem dosáhnout nepodařilo. Ministerstvo zdravotnictví následně v prosinci loňského roku předložilo novelu pandemického zákona, kde jsme uplatnili zásadní věcné a ústavně-právní připomínky, které uplatňoval i v dalším legislativním procesu tohoto návrhu. Jakkoli byla novela pandemického zákona nakonec Poslaneckou sněmovnou schválena, část našich výhrad však zůstává a pokud bude na podzim tohoto roku Česká republika zasažena další očekávatelnou vinou COVIDu, nelze, než doufat, že příští legislativní návrh již konečně největší problémy stávající legislativy vyřeší. My jsme vždy připraveni být v této činnosti nápomocnými. Považujeme za nezbytné, abychom společným úsilím napříště dokázali řešit otázky ochrany soukromí a minimalizace zásahů státu do práv občanů na samotném počátku přípravy jakékoli právní regulace vztahů a aby nebyly do návrhů legislativních předloh doplňovány ex post pod tlakem ostatních ústavních institucí, případně veřejnosti.

Naše výroční zpráva jako již tradičně představuje nejdůležitější výsledky dozorové činnosti Úřadu v oblasti zpracování osobních údajů prezentovaných na příkladech vybraných kontrol. Dozorová činnost se v roce 2021 soustředila zejména na zpracování osobních údajů v rezervačním systému k očkování, projektu tzv. Chytré karantény a v neposlední řadě i v zaměstnaneckých vztazích. Provedli jsme kontrolu předávání dat osob nacházejících se v karanténě a v izolaci Policií ČR a negativně jsme se vymezili i proti využívání databází osob pro rozesílání roušek ze strany Ministerstva práce a sociálních věcí, České zprávy sociálního zabezpečení a Ministerstva vnitra.2

Ačkoliv opatření proti pandemii představovala mnohdy významné riziko pro naše soukromí, bylo by chybou pomíjet či podceňovat další rizika, která přináší současná doba. Díky všudypřítomné digitalizaci a přesunu stále většího množství aktivit – a to i ryze osobních – do online prostředí, je stále jednodušší narušit soukromí člověka a zneužít jeho osobní údaje k manipulaci nebo dalšímu nekorektnímu jednání. Skutečnou hodnotu a také „zranitelnost“ osobních údajů nám ukazují mimo jiné stále častější kybernetické útoky. V blízké budoucnosti bude proto naprosto nezbytné zaměřit se na intenzivnější propojení ochrany osobních údajů a kybernetické bezpečnosti. V této souvislosti prohlubujeme spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost, proškolili jsme kolegy z NÚKIBu v oblasti ochrany údajů a z jejich strany jsme byli seznámeni s aktuálními trendy v oblasti kyberbezpečnosti. Jak se ukazuje, kybernetické útoky přestávají mít povahu „prosté“ kriminální činnosti. Ruská agrese vůči Ukrajině a s ní související hybridní válka vůči svobodnému světu nám všem jasně ukazuje, že ochrana osobních údajů a soukromí jednotlivců musí být chápána jako nedílná součást ochrany společnosti před vnějším ohrožením jakož i ochrany demokratických hodnot obecně.

Dalším tématem, jemuž jsme se v rámci činnosti Úřadu věnovali, byla změna právní úpravy elektronických komunikací, včetně tzv. cookies, a dlouho očekávaných nových pravidel pro marketingové hovory. Snažili jsme se dostát osvětové a metodické roli Úřadu a ve spolupráci s Českým telekomunikačním úřadem a Ministerstvem průmyslu a obchodu jsme připravili společné výkladové stanovisko s odpověďmi na nejčastější otázky týkající se nových pravidel pro marketingová volání, která stanovuje novela zákona o elektronických komunikacích. K tématu souhlasů s cookies udělovaných prostřednictvím tzv. cookie lišty se Úřad vyjádřil na svých webových stránkách.

Při hodnocení činnosti Úřadu proto nelze odhlížet od toho, že kromě systémového a obecného dozoru nad zpracováním osobních údajů patří do jeho působnosti zásadní agenda svobodného přístupu k informacím dle zákona č. 106/1999 Sb. Od 1. ledna 2020 se tak Úřad stal nadřízeným orgánem pro řádově stovky povinných subjektů, což zahrnuje rozhodování o odvolání a o stížnostech proti povinným subjektům a dále přezkumným orgánem pro cca 15 000 povinných subjektů. Tato agenda se vzhledem ke svému významu a dynamickému nárůstu objemu a závažnosti projednávaných případů stává agendou v zásadě srovnatelnou s ochranou osobních údajů. Pokrytí agendy svobodného přístupu k informacím lidskými zdroji však bohužel muselo být do značné míry zajištěno přeskupením existujících personálních kapacit, čímž byly tyto personální kapacity Úřadu vyčerpány. Po dvou letech aplikace této novely se projevují poměrně vážné aplikační problémy vyplývající z mezerovitosti právní úpravy svobodného přístupu k informacím, tedy v nedostatečném provázání s obecnou úpravou správního řízení a správního soudnictví, stejně jako s přechodnými ustanoveními novely, která Úřad postavila do role odvolacího orgánu a žalovaného, aniž mu poskytla dostatečné kompetence a procesní prostředky k tomu, aby mohl garantovat efektivní uplatnění práva na svobodný přístup k informacím.

Problematika ochrany osobních údajů se stává stále více komplexní a náročnou, a to jednak z hlediska odborného právního posouzení, jednak z hlediska technických znalostí a dovednosti osob provádějících kontrolu, zejména specificky vzdělaných odborníků v oblasti informačních technologií. Odborníků v oblasti IT, kteří by byli schopni propojit svou odbornost v oblasti informačních technologií s ochranou osobních údajů není mnoho a jejich získání je bohužel mimo aktuální rozpočtové možnosti Úřadu. O tom svědčí i skutečnost, že schválený rozpočet Úřadu minimálně od roku 2019 nominálně stále významně klesá. Ocitáme se v době, kdy bychom měli naopak naše činnosti v oblasti ochrany soukromí i svobodného přístupu k informacím významně posílit. Naopak stojíme před složitou finanční situací umocněnou vzrůstajícími náklady na provozování informačního systému ORG (jako klíčové součásti systému základních registrů).

Restrikce rozpočtu Úřadu pro ochranu osobních údajů mohou přinést zásadní omezení dozorové činnosti a tím i faktické oslabení právní ochrany osobních údajů v České republice, stejně jako poškození odborné reputace České republiky v mezinárodním prostředí.

Vážené paní senátorky, vážení páni senátoři, jsem si jist, že postoj Senátu má, a v budoucnu bude nepochybně nadále mít, obrovský význam i dopad na ochranu soukromí občanů České republiky. Mohu-li si dovolit hodnotící soud z hlediska ochrany soukromí a osobních údajů, tak právě v tomto období se Senát projevil mimo jiné při zamítnutí novely pandemického zákona jako ten, kdo je s nejvyššími orgány justice schopen a ochoten svobodu efektivně bránit. Dovolte mi vyjádřit přesvědčení, že i Úřad pro ochranu osobních údajů nadále bude institucí s maximálním nasazením bránící právo na soukromí, na ochranu osobních údajů a svobodu občanů.

Děkuji vám za podporu, jíž se Úřad v této činnosti těší, a za pozornost kterou jste věnovali naší výroční zprávě.

1 Zák. č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19

2 Ohledně rozesílání roušek a respirátorů osobám starším 60 let bylo Ministerstvu vnitra nařízeno ve smyslu čl. 58 odst. 2 písm. d) obecného nařízení, aby uvedlo operace zpracování do souladu s tímto nařízením. Nedisponovalo totiž řádnou zákonnou oporou pro vytvoření seznamu těchto osob z informačního systému evidence obyvatel za účelem distribuce ochranných pomůcek. Stejný postup jsme zvolili též v případě Ministerstva práce a sociálních věcí a České správy sociálního zabezpečení, protože ani jedna z těchto institucí nedisponovala žádným zákonným titulem pro vytvoření seznamu osob zdravotně postižených (osob, které jsou poživateli invalidního důchodu pro invaliditu 3. stupně a osoby mladší 18 let, kterým byl přiznán průkaz osoby se zdravotním postižením ZTP nebo ZTP/P) z integrovaného informačního systému ČSSZ a z jednotného informačního systému práce a sociálních věcí.