Necelé dva měsíce před účinností nového obecného nařízení o ochraně osobních údajů zvaného GDPR se konečně pohnuly i přípravy českého adaptačního zákona. Vláda minulý týden poslala do sněmovny návrh zákona o zpracování osobních údajů. Podle šéfky Úřadu pro ochranu osobních údajů Ivany Janů jde ale jen o poměrně malý soubor doplňků k evropskému nařízení. Podoby pravidel, která začnou platit už 25. května, se český zákon nedotkne.


HN: Jak jste s doprovodnými pravidly pro nakládání s osobními údaji, která schválila vláda, spokojena?

Návrh byl výsledkem zhruba roční přípravy, na níž se Úřad pro ochranu osobních údajů podílel jako spolupředkladatel. Vláda přijala moje argumenty a provedla dílčí změny v otázkách, které jsme setrvale navrhovali a hájili. Se stávající podobou jsem pochopitelně spokojena, ovšem s tím, že konečné slovo bude mít zákonodárce.


HN: O jaké změny šlo?

Například jde o věkovou hranici, od níž může dítě samostatně rozhodovat o svěření svých údajů správcům, kteří mu nabízejí a budou nabízet služby. Jde typicky o účty na sociálních sítích.

Ivana Janů (72)

Dříve působila jako soudkyně Ústavního soudu, od srpna 2015 je předsedkyní Úřadu pro ochranu osobních údajů. Na její instituci přitom nejvíce dopadá nejnovější evropská úprava, která má zajistit lepší kontrolu citlivých dat a informací o lidech. Jako ústavní soudkyně získala Janů pověst právničky, která se opakovaně výrazně bila za práva lidí. Nejednou měla při verdiktech Ústavního soudu jiný názor než kolegové. Před svou justiční kariérou byla lidoveckou poslankyní a podílela se na tvorbě ústavy.


HN: Tedy až od 15 let.

Ano, nedospělci nedokážou odpovědně nahlédnout na všechny důsledky svého pohybu na sociálních sítích.

HN: Jak se díváte na snahy některých politiků omezit výši pokut pro státní správu, někdy dokonce i neziskové organizace?

Vzhledem k tomu, že pokuty za porušení ochrany osobních údajů jsou ukládány úřadem téměř dvě desetiletí bez jakýchkoliv námitek, vnímám to jednoznačně jako politickou otázku. Současná praxe ukládání pokut se přitom osvědčila.

Seriál HN k ochraně dat GDPR

◼ 4.4. – Mýty o GDPR
◼ 11. 4. – Za co (ne)utrácet

HN: Jak vysoké pokuty jste v minulosti uložili?

Pokud jde o obce, nejvyšší uložená pokuta byla 80 tisíc korun pro Brno a 50 tisíc pro Prahu 13 v souvislosti se špatnou ochranou osobních údajů. Vůbec nejčastěji však bylo uloženo napomenutí. A je také třeba vidět druhou stranu mince…


HN: Tedy?

Pokud nebude možné uložit pokutu ministerstvům, která spravují veřejné registry, ty se navíc propojují a mnohdy jsou považovány za stěžejní, bylo by z tohoto pohledu až nebezpečné vzdát se nástroje, který vede k disciplíně a odpovědnosti.

HN: Neobáváte se další vlny populismu či hysterie v souvislosti s nařízením?

Ne, neobávám se, poněvadž s takovými vlnami jsme konfrontováni déle než rok. To ovšem neznamená, že mě to neznepokojuje.

HN: Co s tím úřad může dělat?

Snažíme se trpělivě vysvětlovat, co je vlastně ochrana osobních údajů, vyvracet omyly a možná i záměrně šířené nepravdy. Dokonce jsem v reakci na stále se opakující nepravdivé informace nechala na web umístit své prohlášení, ve kterém upozorňuji, že přestože se blíží den nabytí účinnosti obecného nařízení a proběhlo ohromné množství osvětových a vzdělávacích akcí, stále neubývá nesprávných kategorických tvrzení o jeho obsahu a negativních důsledcích pro správce a zpracovatele působící v České republice. Není ale v silách úřadu ohrazovat se jednotlivě proti každému takovému tvrzení.


HN: Jaké to má řešení?

Doporučuji každému, kdo je konfrontován se sdělením o dramatických změnách, enormních finančních nákladech a jednoznačně negativních důsledcích pro něj nebo někoho v jeho okolí, aby využil rubriky GDPR na našich internetových stránkách. Případně se mohou lidé obrátit na můj úřad jako na spolehlivý zdroj informací.

HN: Jak budou po 25. květnu probíhat kontroly dodržování nových pravidel?

Kontroly budou probíhat podle stejných procesních předpisů jako dnes. Tedy podle správního a kontrolního řádu. A po 25. květnu budou řízení zahájená před tímto dnem samozřejmě dokončena podle stávajících předpisů. To je obecně platná a obecně známá zásada.


HN: Bude zde nějaké přechodné období, během kterého bude úřad při kontrolách shovívavý?

Musím vás zklamat. Zaprvé: pro žádné přechodné období není dán prostor. Zadruhé: základní povinnosti platí již bezmála 18 let a na nové měli ti, na které dopadají, dost času se připravit od dubna 2016.


HN: A co argument, že ještě nejsou hotové doprovodné zákony?

Argumentace čekáním na adaptační zákon zde není, snad s výjimkou pověřence působícího u jiného veřejného subjektu, než je orgán státní moci, namístě. Tím je řečeno, že pro jakékoli přechodné období skýtající úlevy od některých povinností, jež sledují naplňování jednoho ze základních, ústavně zakotvených práv každého z nás, není žádný důvod.


HN: Není tento přístup přísný?

Chci důrazně upozornit na to, že řada subjektů požaduje shovívavost, ale činí tak proto, že nejsou schopni rozlišit pokuty ukládané na základě čl. 83 odst. 7, které se budou ukládat veřejným orgánům způsobem a ve výši, jak tomu bylo dosud, a ony skutečně vysoké pokuty podle obecného nařízení, o kterých se mluví od jeho přijetí jako o pokutách zvlášť odrazujících, které však budou ukládány opravdu velkým hráčům závažně porušujícím ochranu osobních údajů, viz aktuální případ zneužití dat uživatelů Facebooku.


HN: Co vše souvislosti s GDPR vlastně úřad dělá nad rámec své agendy?

Je to tak, že do své agendy jsme zařadili ve významně větším rozsahu osvětovou a vzdělávací činnost. Na hranici únosnosti se zúčastňujeme odborných akcí. Ostatně, všimla jsem si, že někteří takto aktivní lidé naše názory přijímají a šíří je dále. Jen v loňském roce zaměstnanci úřadů vystoupili bezplatně na devadesáti odborných akcích. Letošní trend není jiný, činnost je snad ještě intenzivnější.


HN: Jak vás osobně GDPR vytěžuje?

Přiměřeně významu problematiky, tedy maximálně. Rozsáhlost a složitost činností ještě naroste s účinností obecného nařízení. Patrně to bude znamenat ještě častější cesty do Bruselu.

Související