Ceska Pozice

Větší bezpečnost nemusí vždy být na úkor ochrany osobních údajů

Nová evropská legislativa ochrání lidi, říká v rozhovoru šéfka Úřadu pro ochranu osobních údajů Ivana Janů. A dodává: „Lidé pochopili, že s rozvojem technologií ztrácejí své soukromí.“

Ivana Janů, předsedkyně Úřadu pro ochranu osobních údajů. foto: Foto Dan MaternaMAFRA

Ivana Janů, předsedkyně Úřadu pro ochranu osobních údajů.

Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů v rozhovoru mimo jiné říká: „Obecné nařízení o ochraně osobních údajů(GDPR) se může zdát revoluční, je to náročný a obsáhlý předpis. Ve skutečnosti je to ale evoluce – výsledek 20 let, během kterých se ochrana osobních údajů vyvíjela a formovala, masově se za tu dobu rozšířil internet a vzniklo mnoho nových technologií. Je to nezbytná součást ochrany společnosti, její první stupeň. Další stupně pak jsou kybernetická bezpečnost a kybernetická obrana.“

LIDOVÉ NOVINY: Jak hodnotíte stav příprav na Obecné nařízení o ochraně osobních údajů (anglicky General Data Protection Regulation neboli GDPR)?

JANŮ: K dnešnímu dni je znát velký posun. Vůči ministerstvům jsme proces příprav zahájili už koncem minulého roku, protože ve hře je i náš národní zákon, který musí být do 25. května 2018 v účinnosti a český právní řád se na něj musí poměrně rozsáhle adaptovat. Na to navazovala celá série našich výjezdů do všech krajů, kde jsme kromě krajských úřadů navštívili i vybraná gymnázia.

Na to, jak je úřad malý, jsme udělali poměrně masivní útok na veřejnost a její seznámení s ochranou osobních údajů a GDPR. V současnosti pořádáme semináře a účastníme se i akcí organizovaných Svazem průmyslu a dopravy ČR, Hospodářskou komorou a mnoha dalšími.

Na to, jak je úřad malý, jsme udělali poměrně masivní útok na veřejnost a její seznámení s ochranou osobních údajů a GDPR. V současnosti pořádáme semináře a účastníme se i akcí organizovaných Svazem průmyslu a dopravy ČR, Hospodářskou komorou a mnoha dalšími.

LIDOVÉ NOVINY: Zajímá českou veřejnost ochrana osobních údajů?

JANŮ: Soudě podle účasti na našich akcích se zájem o tuto problematiku probouzí, respektive již probudil. Lidé pochopili, že rozvoj technologií jim vnáší do života pohodlí, ale vidí i tu druhou stranu, a to že ztrácejí své soukromí a přehled, co se s jejich osobními údaji děje. Osmdesát procent občanů Evropské unie není spokojeno s tím, jak jsou jejich data zabezpečena a zpracovávána, což o něčem vypovídá.

LIDOVÉ NOVINY: Firmy jsou už také připraveny?

JANŮ: Ročně dostáváme více než tři tisíce dotazů a žádostí o konzultace. Z jejich obsahu, ale i z interakcí na seminářích pro firmy, které spolupořádáme, můžeme usuzovat, že to s přípravou není tak špatné. Přece jen je vnímáno, že termín se blíží. Ale samozřejmě vždycky se najdou i výjimky.

LIDOVÉ NOVINY: Bylo na přípravu tak složitého nařízení dostatek času?

Osmdesát procent občanů Evropské unie není spokojeno s tím, jak jsou jejich data zabezpečena a zpracovávána, což o něčem vypovídá

JANŮ: Dvouleté období končící květnem 2018, které firmy a instituce na přípravu měly, bylo určitě dostačující. GDPR se může zdát revoluční, je to náročný a obsáhlý předpis. Ve skutečnosti je to ale evoluce – výsledek 20 let, během kterých se ochrana osobních údajů vyvíjela a formovala, masově se za tu dobu rozšířil internet a vzniklo mnoho nových technologií.

Je to nezbytná součást ochrany společnosti, její první stupeň. Další stupně pak jsou kybernetická bezpečnost a kybernetická obrana. Kdo doposud plnil zákonné požadavky, ten nemůže být ničím překvapen. I kdyby s přípravou na GDPR začal až teď, termín stihne.

LIDOVÉ NOVINY: Budete na začátku při posuzování prohřešků shovívavější?

JANŮ: To bych nerada veřejně vyhlašovala, protože by to znamenalo, že 25. květen 2018 není mezníkem. Je to pro všechny závazný termín a my se na něj tak připravujeme. Sankce musejí být přiměřené a odrazující. Setrvale však opakuji, že by neměly být likvidační. Tím se budeme řídit.

LIDOVÉ NOVINY: Byla ochrana osobních údajů ze strany firem a úřadů v Česku zanedbávaná?

Kdo doposud plnil zákonné požadavky, ten nemůže být ničím překvapen. I kdyby s přípravou na GDPR začal až teď, termín stihne.

JANŮ: Nemyslím si, že bychom na tom byli podstatně hůř než ostatní evropské státy. Samozřejmě jsou země, které jsou napřed. Zde se ale chtě nechtě podepisuje i naše historie, kdy jsme takřka 50 let žili za železnou oponou. V lidském potenciálu, vzdělanosti a přístupu k problematice to je mnohdy i dnes problém. Například Velká Británie nebo Německo mají odborníky na všechna možná „zákoutí“, které my nemáme.

LIDOVÉ NOVINY: Potýkal se úřad kvůli GDPR s odlivem lidí do firem, kde problematiky znalí zaměstnanci chyběli?

JANŮ: Teď, když je poptávka po pověřencích pro ochranu osobních údajů, tedy lidech, kteří budou v organizacích „mozkem“ ochrany osobních údajů, úřad ztrácí lidi a přetahují je už nejen firmy, ale i ty části veřejného sektoru, které jsou platově výše. Moje asi nejdůležitější aktuální poslání proto bylo vyjednat vyrovnání s ministerstvy. Pro klíčové pozice, kterých není mnoho, pak zajistit mzdovou úroveň odpovídající obdobným pozicím v bankách a podobně.

LIDOVÉ NOVINY: Podařilo se s tím vypořádat?

Pro všechny je závazný termín 25. květen 2018 a my se na něj připravujeme. Sankce musí být přiměřené a odrazující. Setrvale však opakuji, že by neměly být likvidační.

JANŮ: Nemyslím, že jsem dosud byla plně úspěšná, ale ještě nejsme na konci. Není to však problém jen Česka. V tomto smyslu už jednala i evropská komisařka Věra Jourová, do jejíž gesce GDPR spadá. Rozeslala dopis vládám zemí evropské osmadvacítky, aby toto zohlednily v rozpočtech. Úřady nemohou být z pohledu odbornosti úplně „odkrveny“, protože by pak nemohly vykonávat své úkoly a kompetence podle nového právního rámce.

LIDOVÉ NOVINY: Jednou z nejvíce skloňovaných novinek, které GDPR zavádí, jsou vysoké pokuty vypočítávané z obratu firmy. Jak bude postihována státní správa?

JANŮ: Proto je v nařízení i horní hranice 20 milionů eur. Způsob postihování státní správy je ale v současnosti diskutován na evropské úrovni, protože některé země svoji státní správu netrestají. U nás se trestá. Jednou z úvah je, že by se pokuty zastropovaly částkou deset milionů korun, což platí nyní. Státní úřady, ministerstva a další zpracovávají obrovské množství osobních údajů, proto by zbourání dosavadní praxe podle mého názoru nebylo dobré. Koneckonců i sankce ukládané veřejnému sektoru byly doposud poměrně nízké, maximálně do jednotek milionů korun.

LIDOVÉ NOVINY: Není to ale jen přelévání peněz mezi úřady?

Při finančních postizích se vždy musí problém rozklíčovat a najít odpovědná osoba, která může být v rámci pracovněprávních vztahů dále postihována. Není to tedy přelévání, ale týká se to odpovědnosti a motivace.

JANŮ: Tak to není. Každý úřad má vlastní rozpočet a z toho musí sankci zaplatit. Až ta jde potom do státního rozpočtu. Co je ale hlavně důležité, při finančních postizích se vždy musí problém rozklíčovat a najít odpovědná osoba, která může být v rámci pracovněprávních vztahů dále postihována. Není to tedy přelévání, ale týká se to odpovědnosti a motivace. Proto budu bojovat za to, aby se v tomto ohledu nic neměnilo.

LIDOVÉ NOVINY: Protestují firmy, že jsou náklady příliš velké či zbytečné?

JANŮ: Vždycky když jde o byznys, a tady jde o velký byznys, se protestuje. Úřad pro ochranu osobních údajů (ÚOOÚ) musí také mít pověřence, GDPR se na nás vztahuje stejně jako na ostatní. Po technické stránce jsme převodníkem mezi různými registry, to třeba málokdo ví. Máme tedy přehled, jak náročná a nákladná implementace GDPR v praxi je.

Outsourcing obecně odvádí odbornost z organizace. Přílišné spoléhání na dodavatele či zpracovatele a přehnaný outsourcing vedou ke ztrátě přehledu a kontroly nad procesy.

Jak jsem říkala, kdo doposud postupoval podle zákona, unese to i finančně. Třeba společný rámec, tedy že firmy z různých států EU nemusejí vstřebávat různé národní právní rámce, přinese firmám úsporu 2,3 miliardy eur. O tom se bohužel moc nemluví.

LIDOVÉ NOVINY: Menší subjekty hovoří o tom, že si na zajištění požadavků GDPR najmou externí společnost.

JANŮ: Ne každá malá obec musí mít vlastního pověřence. Agendy jsou stejné, takže jich jeden pověřenec může obhospodařovat více. Důležitá je jeho dostupnost v případě, že by se třeba stal problém na více místech naráz. Někdo hovoří o tom, že si bude najímat odborné firmy, které to budou dělat jako službu. My tento názor nesdílíme. Myslíme si, že outsourcing obecně odvádí odbornost z organizace. Vidíme to i při kontrolách, že přílišné spoléhání na dodavatele či zpracovatele a přehnaný outsourcing vedou ke ztrátě přehledu a kontroly nad procesy.

LIDOVÉ NOVINY: Co přinese GDPR běžnému občanovi, který by se chtěl domáhat svých práv na ochranu soukromí?

Každý bude moci podat stížnost buď v místě sídla, pracoviště, nebo tam, kde byla porušena ochrana osobních údajů. Nebude tedy třeba volat třeba do Irska. Všechno půjde vyřídit ve vlastní zemi, ve vlastním jazyce.

JANŮ: Obrovská výhoda a úspora pro lidi je, že každý bude moci podat stížnost buď v místě sídla, pracoviště, nebo tam, kde byla porušena ochrana osobních údajů. Nebude tedy třeba volat třeba do Irska. Všechno půjde vyřídit ve vlastní zemi, ve vlastním jazyce.

LIDOVÉ NOVINY: Právě v Irsku sídlí mimo jiné Facebook. Jak chce ÚOOÚ přimět k součinnosti firmu, která je známá tím, že téměř nekomunikuje a nikomu se nezodpovídá?

JANŮ: Jednou ze skutečných novinek v ochraně osobních údajů, které GDPR zavádí, je sjednocený dozor. Stejně jako dnes bude hrát hlavní roli dozorový úřad v členském státě, kde má dotyčný správce sídlo či hlavní provozovnu. Nově však bude muset spolupracovat s dozorovými úřady členských států EU. V případě, že by vedoucí dozorový úřad nejednal, mohou jednat dotčené úřady samy, ale tak, aby bylo dosaženo spolupráce. Sporné případy pak bude řešit Evropský sbor pro ochranu osobních údajů, který vznikne dnem nabytí účinnosti GDPR.

LIDOVÉ NOVINY: Bude tedy moci ÚOOÚ zahraniční firmy sankcionovat?

Jednou ze skutečných novinek v ochraně osobních údajů, které GDPR zavádí, je sjednocený dozor

JANŮ: ÚOOÚ může cizí firmu sankcionovat za předpokladu, že k porušení požadavků o ochraně osobních údajů došlo na území ČR a že daná firma zde má svoji pobočku nebo alespoň zástupce.

LIDOVÉ NOVINY: Kde je pak zlepšení?

JANŮ: Zlepšení oproti současné situaci bude znatelné. Český občan bude moci v takovém případě podat podnět ve svém jazyce přímo ÚOOÚ, který navíc nebude muset k jednáním s irským úřadem nijak zmocňovat, jak tomu bylo doposud. Ušetří si tak mnoho času a papírování. Navíc bude mít jistotu, že při samotném prošetřování případu bude postupováno podle jednotného vzorce platného v celé EU.

LIDOVÉ NOVINY: Jak jde dohromady trend posilování ochrany soukromí se snahami vlád zavádět kvůli národní bezpečnosti opatření „Velkého bratra“?

GDPR říká, že kdo chce hodně dat, musí je získat se svolením nebo na základě jiného právního titulu a být schopen je ochránit. Anonymizace, šifrování a další technologie, které firmy používají, ochraně soukromí napomáhají.

JANŮ: Ten střet je tu patrný. Bohužel žijeme jednak ve věku digitálním, ale jednak ve věku terorismu. Všechno je třeba vyvažovat. Obecné nařízení k tomu právě svým citlivým přístupem otevírá cestu. Především neplatí, že větší bezpečnost a ochrana osob musí jít vždy na úkor ochrany osobních údajů. GDPR říká, že kdo chce hodně dat, musí je získat se svolením nebo na základě jiného právního titulu a být schopen je ochránit. Anonymizace, šifrování a další technologie, které firmy používají, ochraně soukromí napomáhají.

LIDOVÉ NOVINY: Po svém nástupu do vedení ÚOOÚ jste řekla, že chcete změnit pověst úřadu. S čím jste nebyla spokojena a jak se vám to daří měnit?

JANŮ: Pověst úřadu a jeho mediální obraz nebyl dobrý, především z hlediska jeho rozhodnutí. Za ně byl hodně kritizován. Já jsem přišla s tím, že úřad je sice nezávislý, ale ta nezávislost se týká nestrannosti při konání dozoru. Nejde o nezávislost na právních předpisech ani na soudních rozhodnutích. Jestli se nám to daří, to musí posoudit někdo jiný. Já jsem přesvědčena, že jsme na dobré cestě.

LIDOVÉ NOVINY: Řeší úřad ještě i věci, které se netýkají internetu a digitálního světa?

Ochrana na internetu stoupá s důležitostí internetu v životě lidí. S tím tedy logicky roste i prostor, který zabírá v agendě úřadu. Navzdory tomu stále řešíme i jiné věci, a není jich málo.

JANŮ: Ochrana na internetu stoupá s důležitostí internetu v životě lidí. S tím tedy logicky roste i prostor, který zabírá v agendě úřadu. Navzdory tomu stále řešíme i jiné věci, a není jich málo. Existují zde významné informační systémy ministerstev a úřadů, které zpracovávají významné objemy osobních údajů. Na to se chceme v budoucnu ještě více zaměřit.

Je nutno zmínit, že naše pozornost je často odváděna v důsledku vnějších stížností k takovým případům, jako jsou ztracené karty zdravotnické dokumentace nebo ukončení činnosti nějakého subjektu, kdy se spisy s různými údaji objeví někde u popelnice. Pak jsou tu i situace, kdy například sousedova bezpečnostní kamera zabírá i něčí dvorek. Ročně je předáno ke kontrole nebo správnímu řízení kolem sto padesáti podobných stížností.

Ivana Janů (71)

  • Vystudovala Právnickou fakultu Univerzity Karlovy v Praze, má doktorát v oboru mezinárodního práva veřejného.
  • V letech 1989 až 1993 byla poslankyní českého parlamentu. Do ČNR byla kooptována v únoru 1990, následně kandidovala a byla zvolena ve dvojích parlamentních volbách.
  • Od roku 1993 do roku 2014 působila v českém soudnictví jako soudkyně a místopředsedkyně Ústavního soudu České republiky.
  • V přestávce mezi roky 2001 až 2004 zasedala jako soudkyně Mezinárodního trestního tribunálu pro bývalou Jugoslávii (ICTY) v Haagu.
  • Předsedkyní Úřadu pro ochranu osobních údajů se stala v roce 2015.
zpět na článek


© 2022 MAFRA, a.s., ISSN 1213-1385 © Copyright ČTK, Reuters, AFP. Publikování nebo šíření obsahu je zakázáno bez předchozího souhlasu.