Rozhovor pro INSIDE

Váš úřad je často vnímán jako žába na prameni, jako instituce, která brání pokroku… Jak to vnímáte?

Samozřejmě, že mě to mrzí – jak osobně, tak kvůli kolegům, kteří jsou tady v mnoha případech prostě z přesvědčení, že chránit svobodu je správné… Jsme absolutně apolitický úřad, protože tady ani není možné hájit jakýkoli –ismus. Svoboda jde napříč politickým spektrem, napříč vším.

Ale obávám se, že jsme k tomu, být vnímáni negativně, odsouzeni. Tím, že pošlapávání práv a svobod tady má dlouhou tradici, a také tím, že chránit soukromí je složitější, než tupě sypat osobní údaje do databází.

A ještě něco hraje proti nám: my často hájíme mizivou menšinu občanů. A to je vždycky nepopulární. Podívejte, drtivá většina lidí na ten nejčastější obchod – vzdát se soukromí výměnou za výhody, třeba v podobě slevy – přistoupí. Je až neuvěřitelné, co jsou lidé schopni podepsat. Vidíme to tady dnes a denně: přijde stížnost, že člověka někdo otravuje nabídkami, a zneužívá k tomu jeho osobní údaje, rozjedeme složité vyšetřování – a na konci je typicky zjištění, že ten člověk své údaje opravdu dal k dispozici, a to prakticky neomezeně. V tomto případě nemůžeme dělat nic. Vždyť když někdo chce skočit z mostu, tak – je to smutné, ale je to tak – z něj dřív nebo později skočí… Ale abych se vrátil k té menšině, kterou hájíme: když už firmy mají naprosto legálně data o drtivé většině zákazníků, tlak na to, dostat se i k datům těch ostatních, je tím větší. No, a my jsme ti, kdo stojí v cestě – jak jste to říkal, pokroku? No, jestli má pokrok stát na masivním porušování svobody lidí – a často je to ten případ – tak takovému pokroku budeme bránit všemi dostupnými prostředky.

Vedle toho, že bráníte pokroku, také často ohrožujete společnost tím, že napadáte bezpečnostní opatření…

Víte, bezpečnost… Je potřeba hledat rovnováhu mezi individuální a kolektivní bezpečnosti. Po útocích z 11. září došlo v euroatlantické civilizaci k posunu ve vnímání rizik. Mimochodem, právě tohle byla ta nejtěžší rána, jakou teroristé zasadili západní civilizaci. Řekl by někdo, že bude stačit unést pár letadel, a celá civilizace dramaticky přehodnotí svůj vztah k něčemu tak zásadnímu, jako je svoboda?

Nicméně došlo k tomu: společnost, respektive vládnoucí elity, došly k závěru, že kolektivní rizika, tedy ohrožení společnosti, se zvýšila natolik, že to ospravedlňuje drastické omezení svobody jednotlivců. Takže máme čím dál víc systémů ochrany společnosti, a čím dál sofistikovanějších. A tyhle systémy mohou mít katastrofální individuální dopady. Bohužel platí, že čím sofistikovanější ochrana, tím drastičtější jsou dopady jakékoli chyby v daném systému na jednotlivce. Ale to není to nejhorší: vždycky se dají nastavit mechanismy nápravy chyb a omezení jejich dopadů. Nejhorší je, že ty ochranné mechanismy se často úplně míjejí účinkem.

Moment – i kdyby to byla pravda, tak přece vy tu nejste od toho, abyste hodnotili efektivitu bezpečnostních opatření…

Tak pozor, tohle je častý omyl. Je přece zásadní, hledat smysl těch opatření, nebo akcí, která mají negativní dopad na soukromí lidí. Říkáme tomu test proporcionality. My netvrdíme, že ochrana soukromí je absolutní priorita, že sbírat osobní údaje se prostě nesmí… Jde jen o to, jestli se náhodou osobní údaje nesbírají plošně, preventivně.

Takže k Vaší námitce: my tu efektivitu bezpečnostních opatření musíme hodnotit, protože jinak bychom nemohli vyhodnotit přiměřenost. A to je klíčový prvek v našem rozhodování, jestli je dané nakládání s osobními údaji akceptovatelné, nebo jestli máme zasáhnout.

Hezkým příkladem je aktuální debata o zveřejňování platů ve státní správě. Zastánci tohoto zveřejňování argumentují příklady typu „náměstek, byl tam pár měsíců, a dostal půl milionu – za co asi? To přece máme právo se dozvědět!“.

Samozřejmě, zní to logicky. Ale co říkáte argumentu proti plošnému zveřejňování v duchu „Co je komu do toho, kolik bere ta dáma, co už deset let pracuje na naší podatelně“?

Nezní to také logicky?

Z pohledu proporcionality je třeba vzít v potaz, že co se zveřejňování platů týče, společenský zájem je někde velký a někde nulový, zatímco zásah do soukromí to je vždycky nepříjemný. Tímto pohledem je třeba hodnotit, jestli v daném případě zásah do soukromí připustit nebo ne. A nakreslit čáru, u koho platy zveřejňovat, a u koho ne. Kdyby byla od počátku řeč pouze o jmenovaných funkcích, nikdo proti tomu neřekne ani slovo.

Tohle je také hezký příklad. Bojovníci proti korupci a vůbec za transparentnost veřejné správy se ve svém svatém zápalu vůbec neobtěžovali rozlišovat mezi tím náměstkem a tou dámou na podatelně. Prostě: zveřejnit všechno, a hned! Kdyby nebylo nás, věřte tomu, že teď bude státní správa žít debatami o tom, že někdo dostal na prémiích o stovku víc a někdo o padesát korun míň, v rodinách budou zajímavé spory o to, jaké tedy ty prémie doopravdy byly…

Tohle přece nikdo nechce – a přitom, nebýt nás, tak to tak skončí. To podle mě není malý rozpor, hnát věci k nezamýšleným koncům. Podle Vás je to normální?

No, požadavek na plošné zveřejnění platů úplně všech zaměstnanců ve státní správě je asi opravdu hloupý. Ale to je snad extrémní případ, ne?

Myslíte extrémně hloupý? Vůbec ne! Aspoň tedy pokud se shodneme, že měřítkem hlouposti je v našem oboru rozpor mezi užitečností osobních údajů, o něž jde, a škodami, které v souvislosti s jejich zpracováváním hrozí. V případě platů pomocného personálu na úřadech je užitečnost samozřejmě nulová, a právě to může svádět k dojmu, že je to největší hloupost pod sluncem. Ale, upřímně řečeno, škody, které by to způsobilo, by sice byly velké plošným rozsahem, nikoli však v jednotlivých případech fatální.

Chci tím říci, že zveřejňování platů je – nebo spíš byla, protože jsme spolu s ministerstvem vnitra dospěli k rozumnému kompromisu –jen taková nepříjemná epizoda. Tím spíš, že těžiště naší práce je v kontrole sběru osobních údajů a jejich zpracování. Ale i tam je klíčovým hlediskem pro naše rozhodování test proporcionality.

Vraťme se k té bezpečnosti: tvrdil jste, že opatření na ochranu společnosti se často míjejí účinkem…

Bohužel, až příliš často. Podívejte, když létáte do USA, dostane se do amerických vládních databází tolik údajů o vás, až se vám protočí panenky. Jsou to všechna data, co o vás má letecká společnost, včetně čísla kreditní karty a informace o tom, jaké jídlo jste si objednal během letu, nemluvě o biometrických údajích z pasu, takže samozřejmě otisky prstů… Když tato data Američané začali vyžadovat, doufal jsem, že to je jen záchvat v rámci zjitřené atmosféry v USA po útocích z 11. září. Ale, bohužel, vypadá to, že jde o trvalý posun v té rovnováze kolektivní bezpečnost versus individuální svoboda. A co hůř, k této náladě se přidává i Evropa. Přesně to, co se Evropské komisi na amerických požadavcích nelíbilo, teď sama chystá. Už je připravená evropská směrnice, která totéž vyžaduje od leteckých společností, přivážejících pasažéry do Evropy.

My, ochránci osobních údajů, od začátku upozorňujeme, že toto opatření nemůže fungovat, protože pomíjí teroristy, kteří by do EU cestovali jinak, než letadlem. Což budou všichni, až tahle direktiva vstoupí v platnost… Ale máme jen poradní hlas, takže můžeme s tou směrnicí nesouhlasit, můžeme proti ní protestovat, ale to je všechno, co s ní můžeme dělat.

To zní fatalisticky…

Upřímně řečeno, pro nás to je v té válce o svobodu jen jedna z bitev. Prohráli jsme ji, ale nejde o systémový zásah, tak škody budou jen omezené. Pro nás by bylo fatální, kdyby došlo ke zpochybnění těch základních principů, na nichž ochrana soukromí stojí. Z nich nejdůležitější je ten požadavek na přiměřenost zásahů do soukromí účelu, jehož má být dosaženo. Test proporcionality je pro ochranu soukromí opravdu zásadní; pokusím se ho ilustrovat blíže na ještě jednom docela aktuálním příkladu. Jsou to průkazky na městskou dopravu.

Když chcete někomu dát množstevní slevu, protože si prostě jako město nemůžete dovolit nechat ho na místní dopravě finančně vykrvácet, neexistuje žádný důvod, uchovávat o něm jeho osobní údaje. On si prostě za x tisíc korun koupí roční jízdenku, dostane kartičku, která tu jízdenku reprezentuje , a šmytec. Jediné, co má koho dál zajímat, je, jestli ta jízdenka není padělaná. Jak kdo tu ochranu zařídí, je nám jedno, ale vůbec žádné osobní údaje k tomu nepotřebuje.

Samozřejmě, pokud má město další podmínky, můžeme se bavit, jestli nějaké osobní údaje přece jenom nebudou třeba.

V Praze proběhla na toto téma velké debata. Že prý co když někdo tu permanentku ztratí, jak mají vystavit duplikát, když nevědí, jestli si vůbec kdy nějakou koupil. Tohle je krásný příklad: máme prostě nový účel do našeho testu proporcionality. Umožnit vystavení duplikátu má být pro občana volba: výměnou za narušení soukromí dostane tuto výhodu, a má se rozhodnout, jestli na ten obchod přistoupí. Pokud ne, v případě ztráty permanentky se samozřejmě ničeho nedovolá.

To zní natolik logicky, že by proti tomu neměla být žádná opozice…

Samozřejmě, takové uvažování by mělo být samozřejmé. Ale není, a důvody pro to jsou dva. Za prvé, lidé jsou líní dotahovat věci až do konce. Navrhnou systém, který bude nějak fungovat, a to jim stačí. Že ten systém předpokládá zbytečné porušování soukromí, to je vůbec netrápí. No, a, upřímně řečeno, pokud je nutné zavádět na ochranu soukromí do systému další mechanismy, zvedne to náklady. Což není úplně populární…

Tady byste mohl hledat spojence v IT byznysu: když ochrana soukromí zvyšuje složitost systému, znamená to pro dodavatele větší byznys, ne? Takže by vám mohli pomoci tlačit na zákazníky, ať tyhle funkcionality pro poptávané systémy vyžadují…

No, ono to je obráceně: ty systémy jsou už teď nejsložitější, jak to jen jde. Osobní data se sbírají jako o závod i proto, že IT podpora procesu jejich sběru, ukládání nebo třeba čistění dává další a další příležitosti fakturovat další a další služby.

Mimochodem: čistění dat. To je samostatná disciplína IT – a už její samotná existence ukazuje na to, jak perverzní ty systémy jsou. Čistění dat – to asi mám v systému velikost bot, ale to číslo se ztratilo, co? A já teď potřebuju ta data vyčistit, abych k tomu číslu našel odpovídající nohu, potažmo celého člověka. Ale najdu vždycky tu správnou nohu? Tohle přehazování obrovských objemů dat vidlemi přece nutně musí vést k chybám! A to, co je z pohledu inženýra chyba v rámci tolerance, může být nepříjemný osobní problém, nebo i tragédie…

Ale zpátky k tomu příkladu s pražskou Opencard: tam je to všechno naopak. Místo, aby vytvořili jednoduchý základní systém, k němuž se přidá modul pro řešení speciální problematiky ztráty karty, a to jen pro ty, kdo jsou ochotni vzdát se svého soukromí, vytvořili super drahý systém, a teď nám tvrdí, jak je drahé umožnit tu úplně základní funkcionalitu. Takže teď posouvají termíny spuštění toho, co by měla být základní nabídka, a vymlouvají se, jak náročné softwarové úpravy to vyžaduje.

Omlouvám se, že se vracím na samotný začátek: popisujete dramatický boj za ochranu soukromí, tlačíte firmy do drahých úprav systémů – ale jak velký zájem o tuhle ochranu vlastně lidé mají?

Já vím, kam míříte: jako jestli se to vůbec vyplatí… Jasně, ten zájem není závratný, ale není ani zanedbatelný. Ale pozor, momentální zájem přece není jediné kritérium správnosti. Dám vám příklad: udělat přechod na rušné ulici je správné, i když většina lidí šíleně spěchá, a bude dál přecházet, kde je napadne.

Pozorujeme, že citlivost občanů k osobním datům se zvyšuje, a my jsme tady od toho, abychom udrželi dveře otevřené i pro budoucí požadavky na ochranu soukromí. Ono totiž tady platí, že terén, který jednou ztratíte, už jen těžko získáte zpět. Když už někdo nějaká data sbírá, tak zastavit ho v tom dá víc práce, než na samém začátku nastavit ten systém rozumně. A myslím, že ten trend zajímat se víc o své soukromí a chránit si ho, je jasný. Roste počet lidí, kteří neplatí parkovné kartou typu Opencard, protože nechtějí, aby nějaký úředník na magistrátu věděl, kdy kde parkovali.

Ale ta otázka směřovala k samotným principům ochrany soukromí, tak dovolte menší teoretický exkurs.

Víte, my tu nejsme od toho, aby se policie – nebo žárlivá manželka – nemohli dozvědět, kde jste parkoval nebo tankoval. Když o někom konkrétním chcete zjistit informace, tak odjakživa vždycky byla jen otázka, jaké nástroje chcete a můžete použít, a třeba, jestli na to máte dost peněz – ale v podstatě vždycky bylo možné zjistit prakticky všechno. My se snažíme jednak, aby to nebylo tak snadné, jak by to informační technologie umožňovaly, ale hlavně nám jde o to, aby nebylo možné brouzdat záznamy, a hledat, jestli nevypadne nějaká zajímavá souvislost. A aby nebylo možné pročesávat záznamy a hledat lidi, kteří vyhovují zadaným kritériím.

To by se kolem vás třeba mohli najednou začít pohybovat divní lidé, a vy byste ani netušil, že jste vhodným dárcem ledviny. To asi nechceme, co?

To je drsný příklad. Ale trochu extrémní, ne?

Jistě, ale takových příkladů, kdy hledání osob podle zadaných parametrů by nebylo úplně společensky žádoucí, by se dala uvést spousta. A když už jsme u zdravotnictví, máme zajímavou kauzu okolo elektronických receptů a jejich Centrálního úložiště . Tenhle systém vznikl ve Státním ústavu pro kontrolu léčiv na základě přílepku k nějakému zákonu – ale za celý rok od spuštění v tom úložišti neměli jediný elektronický recept. Tak se lekli, a protože mají páky na lékárny, nařídili jim předávat do toho úložiště všechny recepty, které jim lidé – v papírové podobě – přinesli. Ale ti lidé nejen, že k tomu nedali informovaný souhlas – oni to vůbec nevěděli!

Ten systém ale přece deklaruje opravdu bohulibé cíle, například zabránit tomu, aby pacient spolykal tytéž prášky třikrát, protože mu je předepsali tři různí lékaři. Nestojí to za přimhouření oka?

Máte pravdu, klíčem k posouzení i tohoto případu je test proporcionality. Takže co najdete, když porovnáte deklarovaný cíl, a metody, jimiž ho má být dosaženo? Bohužel, narazíte na hrubý nepoměr.

Především, kdo bere tentýž lék třikrát, protože si ho nechal předepsat od tří různých doktorů, tak je sebevrah, a dřív nebo později se mu jeho úmysl skoncovat se životem stejně podaří. To je samozřejmě nadsázka – chci tím říci, že tyhle bohulibě vyhlížející efekty zdaleka neodpovídají tomu obrovskému ohrožení občanů, které by ten systém umožňoval. Jinými slovy, diskutabilní snaha chránit skupinku lidí před nimi samými nikdy nevyváží zničující dopady toho, že se před komunálními volbami roztrhne pytel s novinovými články o tom, jakými nemocemi ten který kandidát kdy trpěl.

A kdyby se někomu zdálo, že když nebude nikam kandidovat, tak se ho problém zneužití jeho zdravotních údajů netýká, tak je na omylu. Když už připustíme vznik takových databází, tak s rozvojem nástrojů pro genetickou analýzu dostane pojem diskriminace úplně jiný rozměr. Vzniknou rozsáhlé skupiny lidí druhé kategorie, které nikdo nepojistí, nikdo jim nepůjčí, nikdo je nezaměstná… A nebudou třeba ani vědět, proč. Samozřejmě, že se ke genetickým informacím nedostanou všichni. Stačí, když se k nim dostanou pojišťovny – a ti ostatní si jako podmínku dají, že musíte být pojištěn. A je vymalováno…

Tlak na získání a využití těchto dat bude obrovský, protože jde o obrovské peníze. Tohle je pro ochránce soukromí noční můra, tohle je v dlouhodobém horizontu hlavní téma, které řešíme. Připravujeme návrh zákona o databázích DNA…

Myslíte si, že se tenhle boj dá vyhrát?

Podívejte, přes to, jak silným protivníkem se zdá být byznys, tak největším hybatelem dějin je nakonec vždycky společenská poptávka. Ochrana soukromí byla dosud na vedlejší koleji, a taky to podle toho tak vypadá. Ale teď se lidé o své soukromí začínají starat. To kyvadlo se prostě začíná vracet. Dá se to pozorovat i na sociálních sítích, kde lidem už dochází, že nemusí být ideální, když o nich všichni všechno vědí. Mimochodem, horkým tématem ochrany soukromí je takzvané právo na zapomnění; na každé konferenci je k tomu separátní sekce…
Takže problematika osobních údajů a svobody zatím není celospolečenské téma, ale jednou bude. A víte, kdy? Až se dnešní teenageři dostanou v zaměstnání do manažerských pozic, a dožene je jejich facebooková minulost.

A co do té doby?

Možná, že nám pomůže ten všeobecný tlak na snižování nákladů a na efektivitu. Podívejte se na kamerové systémy: jejich budování je v řadě případů vedeno hlavně snahou utratit co nejvíc peněz, ale ty systémy ve velkém procentu případů vůbec nesplňují deklarovaný účel. Jen prostě generují data pro data. Dodavatelům to samozřejmě vyhovuje, ale škrty v rozpočtech snad ten kamerový mor trochu přibrzdí.

Další, co by mohlo omezit ten tlak na bezbřehé sbírání osobních dat, by mohla být rostoucí citlivost lidí na úniky dat. Příklad Sony (masivní krádež citlivých dat o hráčích online her, včetně čísel platebních karet, pozn. aut.) ukazuje, 100% bezpečnost není dosažitelná. Kde jsou data, tam je zájem se k nim dostat. Manažeři podle mě dluží koncovým uživatelům férové upozornění, že se o jejich data budou snažit postarat, ale že opravdu nemohou garantovat, že se se k nim nikdo nepovolaný nedostane. Architekti IT aplikací se přitom podle mého názoru nedostatečně snaží navrhovat systémy tak, aby se bez osobních dat mohly obejít. Jsem přesvědčen, že ve spoustě případů by to šlo.

Možná by také pomohlo, kdyby ukládání dat bylo hodně drahé. Nějaká brutální daň na úložná zařízení – ta by ochraně soukromí prospěla, co?

Doufám, že žertujete. I když…tenhle princip vlastně funguje v Anglii, kde firmy musí za registraci u tamní obdoby našeho úřadu platit. Ale u nás by to asi nešlo, tady by firmy a podnikatelé odešli do ilegality. A to je to poslední, co chceme.