Poslední rozhovor ve funkci předsedy Úřadu pro ochranu osobních údajů pro časopis DSM

RNDr. Igor Němec

Vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy. Vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy. V letech 2005–2015 byl předsedou Úřadu na ochranu osobních údajů.

Jak se změnila ochrana osobních údajů za ty roky, kdy jste byl předsedou ÚOOÚ?

Když jsem nastupoval, téma ochrany osobních údajů v podstatě neexistovalo, ačkoli už úřad fungoval pět let. Mezi širší veřejnost téma proniklo až s rozvojem Facebooku, Internetu, StreetView od Googlu a podobných projektů. Zároveň se ale změnil přístup k ochraně soukromí. Pro mne dost překvapivě. Velmi dobře si pamatuji, jak obrovskou jsme měli po revoluci radost z toho, že skončil komunistický internet domovnic, udavačů, estébáků, a jak se lidem ulevilo, že už je nikdo nešmíruje. Uplynulo 25 let, je to ještě horší, než to bývalo, a skoro nikomu to nevadí.

Čím to je?

Možná díky pocitu, že stát najednou není zlý. Lidé mu důvěřují. Navíc pokud lidé něco nevidí, příliš je to nezajímá. Jednou jsem poskytl televizi Barrandov rozhovor, kde jsem se zmínil, že hned zjistím, pokud jsou v nějaké restauraci kamery, a že do takových restaurací nechodím. Že to považuji za nepřípustné a v rozporu se zákonem na ochranu osobních údajů, neboť jejich účel je minimálně sporný. Televize Barrandov pak připravila takový experiment: šla v poledne do těch restaurací a začala točit lidi. Nastala vřava a kameramani to málem nepřestáli ve zdraví. Přitom ti stejní lidé seděli pod kamerami a nevadilo jim to.

Změnil se přístup velkých organizací k osobním údajům?

Velké organizace většinou toto téma berou velmi vážně. Nedělá jim problém vypořádat se s povinnostmi, které nařizuje zákon pro ochranu osobních údajů. Zpracovávání osobních údajů není trestným činem, ale má to svá pravidla a organizace vesměs skutečně hledí, aby se dodržovala.

Narážíte často na názor, že ochrana osobních údajů je zbytečná, že jen lidem bráníte v práci?

Laici to často říkají. Jenže pak se člověku stane, že se neoprávněně dostane do registru dlužníků, banka mu nechce dát úvěr a nastane nekonečný kolotoč problémů. A najednou se zjišťuje, že není možné jen tak vést černé listiny a že i sofistikované informační systémy obsahují chyby. Pak se na nás lidé obrací. Jenže ostatní často netuší, jaké problémy mohou nastat.

Jaké hlavní úkoly stojí před vaší nástupkyní? Co bude nejdůležitější pro to, aby byla v úřadě úspěšná?

Jedním z velkých úkolů předsedy je udržet úřad pohromadě. Systém vedení je velmi komplikovaný, neboť existuje nezávislý předseda a sedm nezávislých inspektorů, kteří jsou voleni senátem a jmenováni prezidentem. Zabránit tomu, aby se úřad rozpadl na osm kousků, je velkou úlohou pro diplomata a politika. A co se týče budoucnosti, téma ochrany osobních údajů se stává tématem celoevropským, narůstají konflikty se Spojenými státy. Pokud vím, jedním z hlavních důvodů, proč dosud nebyla podepsána dohoda TTIP, je právě ochrana osobních údajů. Safe Harbor vůbec nefunguje. Jde o velký konflikt, kde Evropa musí uhájit svůj přístup. Hraje v tom roli i náš úřad, jeden z nejprestižnějších v Evropě.

Jaká je v tomto sporu vaše pozice?

Evropa hájí své hodnoty a princip ochrany osobních údajů. To znamená, že osobní údaje lze zpracovávat buď na základě zákona, nebo na základě souhlasu těch, kterých se to týká. Ale v žádném případě bez jejich souhlasu. Amerika zastává úplně opačný princip. Vychází ze zásady opt-out: každý si může s vašimi údaji dělat, co chce, a vy to případně můžete reklamovat. Pokud se Evropa vzdá svého přístupu, bude to faktický konec ochrany osobních údajů.

Jak se díváte na ukládání osobních dat mimo region EU?

Je to nezákonné, pokud s tím lidé nevyjádří výslovný souhlas. Lidé ale dávají souhlas, aniž by podmínky opravdu četli. To je samozřejmě nešvar, se kterým se setkáváme poměrně často. Může to být také tím, že provozovatelé podmínky schválně prodlužují a píší složitě. Je nějaká naděje to změnit? Některé změny k lepšímu už jsou vidět. Během mého předsednictví se třeba podařilo trochu zcivilizovat Facebook. Změnily se podmínky, se kterými vyjadřujete souhlas, dnes už explicitně zaškrtáváte „souhlasím s tím“ a „chci být tam“.

Je možné podle vás definovat také spodní hranici ochrany osobních údajů? Když třeba vyfotím souseda, měl bych podléhat regulaci? Jak stanovit hranici, co už by se mělo chránit zákonem?

Zákon říká, že pro osobní potřebu je možné téměř cokoli. Takže když něco máte ve svém zařízení, není to problém. Jakmile by se to ale objevilo třeba v televizi, už to není pro vaši osobní potřebu a vy se dostanete do problému se zákonem.

Neměly by se konat nějaké osvětové akce, aby si lidé více uvědomovali nutnost chránit svoje soukromí?

Určitě. Především by se o tom ale mělo učit na základních školách, možná už ve školkách. Protože je až děsivé, že si děti vůbec neuvědomují nebezpečí. Už když si na mobilu pořídíme fotku, jdeme do určitých rizik. Stopa, kterou po sobě v mládí zanecháte, vás psychologicky doprovází celý život. Dnes mnohem více než v dobách převážně papírových médií. Kdyby před lety existoval Internet, Joschka Fischer by se nestal vicekancléřem, protože by se hned vědělo, jaké jsou jeho názory.

Jak se díváte na právo být zapomenut?

Dobrá myšlenka, ale nerealizovatelná. Je možné zákonem ošetřit, aby se za vás někdo nevydával na sociálních sítích? Třeba i s použitím vaší fotografie a jména? To by měl řešit především Facebook. Jde o jednu z potíží a snižuje to jeho cenu i sílu. Ale zákonem? Nevím, co by se tam mělo napsat.

Jak se díváte na centrální registry?

Myslím, že je to dobrá věc. Z hlediska ochrany dat tento systém skutečně odpovídá 21. století. Kdyby opravdu fungoval, tedy jej všichni používali a dodržovali pravidla, opravdu by přispěl k ochraně dat. Vytrácí se význam rodného čísla, zůstávají tzv. agendové identifikátory, které spolu komunikují za správných podmínek. Nemůžete propojovat databáze a každý identifikátor je vždy pro jednu agendu. Geniální myšlenka.

Je možné nějak regulovat Big Data?

Jedná se o zpracování osobních údajů v rozporu se zákonem. Máte data, která byla pořízena za určitým účelem, ale používáte je k jinému. To je jednoduchá věc. Nicméně Big Data mají obrovskou cenu a zvláště v USA si to uvědomují. My tu diskutujeme o tom, zda prolomit těžební limity, ale Američané už dávno těží jiné zlato: osobní údaje.

Dokážete si představit úpravu, která by tomu bránila

Nebránil bych tomu. Pokrok nikdy nelze zcela zastavit. Ale je možné upravit zákonný rámec, za jakých podmínek mohou být Big Data využívána. Aby např. někdo neměl software, kterým by těžil a sestavoval informace o Petru Hamplovi.

Co říkáte na novou evropskou úpravu osobních údajů?

Je ve velmi pokročilém stádiu. Už vše rámcově schválil Evropský parlament a je také rozhodnuto, že to nebude směrnice, ale nařízení. Na rozdíl od směrnice, kterou musí každý implementovat podle vlastností kraje, nařízení platí přímo. Myslím, že to bude první evropské nařízení týkající se přímo každého občana. Jde o úplně nový fenomén. Dosud jsme museli znát zákony a nařízení ČR, teď budeme muset znát ještě evropské. Myslím, že v ČR to nezpůsobí příliš velkou změnu, protože mnohá nařízení už jsou implementována v naší legislativě. V zemích, kde nejsou úřady pro ochranu osobních údajů tak pokročilé, se budou muset výrazněji přizpůsobit. Jsou tam zajímavé novinky. Třeba že každý podnik s více než 4 000 klienty musí mít svého komisaře pro ochranu osobních údajů. Obávám se ale, že to bude spíše byrokratické než efektivní. Až praxe ukáže, jak to bude fungovat. Zda firmy nesplní zákon tím, že přiřadí vrátnému další úkol.

Myslíte, že nové technologie, jako chytré hodinky a chytré televize, nás postaví před nutnost řešit ochranu osobních údajů jinak než dnes?

Jsem o tom přesvědčen. Třeba chytrou televizi bych si nepořídil ani náhodou. Nejprve se musí ukázat, jestli některé tyto technologie nejsou jen slepou uličkou. Pamatuji si třeba, jak obrovským hitem byly kdysi RFID čipy. Řešily se na konferencích, nasazovaly se do továren a mluvilo se o tom, že jednou bude RFID čipem označen každý kus zboží, každé zavazadlo atd. Jenže výrobcům se nepodařilo cenu snížit tak, jak předpokládali, navíc prosazování této technologie narazilo na bariéru ochrany osobních údajů. Takže nejdřív vyčkejme, zda se ta nová zařízení opravdu prosadí.

Vypadá to, že ochrana osobních údajů je v defenzivě. Že zájem lidí o tuto oblast klesá. Myslíte, že se to otočí?

Myslím, že se to už i otáčí. A až bude postižených víc, bude se to otáčet ještě rychleji.

Jak se projevuje postižení?

Krádež identity řeší úřad každou chvíli. Jejím důsledkem může být třeba to, že se dostanete do databáze dlužníků.

Velcí zpracovatelé typu bank mají ochranu osobních údajů dobře pokrytou. Menší podniky si s tím ale často nevědí rady. Jaké jsou nejčastější chyby, kterých se dopouštějí?

Nejčastěji podceňují lidský faktor. Zpracovávají třeba důležitou databázi obsahující osobní údaje a vy přijdete do prázdné kanceláře, kde je puštěný počítač. To jsou nejčastější chyby, ze kterých pramení úniky informací. Firmy se vlastně ani nesnaží si své zaměstnance hlídat.

Ptal se Petr Hampl.