Proč se zajímat o zákon o ochraně osobních údajů? (Část 1)

V Čechách prozatím upravoval ochranu osobních informací zákon č. 256/92 Sb., proslulý zejména tím, že neobsahoval prováděcí a sankční klauzule, a tím pádem bylo jeho dodržování víceméně dobrovolné. Nicméně čas oponou trhnul, státní správa zapracovala, a od 1. června platí nový zákon č. 101/2000 o ochraně osobních údajů. Tento zákon nebyl přijat, jak si asi spousta paranoiků bude myslet, ze svévole zlé vlády, ale kvůli integraci s EU. Vychází z direktivy 96/94/EC platné v Evropské unii a díky tomu se jeho obsah hodně blíží obdobné legislativě, která platí ve většině států EU.

Novinek, které s sebou tento zákon přináší je řada. Jednou ze změn je například vznik nového Úřadu, tentokrát pro ochranu osobních údajů, který se bude starat o reálné prosazení tohoto zákona.

Hlavní přínosy tohoto zákona nejsou ale ve vytváření nových úřednických míst, ale v ochraně soukromí individuálních osob. Když například zjistím, že existuje databáze s informacemi o mé osobě, mám právo dozvědět se od provozovatele, o jaké informace se jedná, kde je získal, k jakému účelu je používá, a co s nimi zamýšlí. Na požádání musí provozovatel tyto informace z databáze také vyřadit. To je samozřejmě velmi příjemné. Vadí mi například množství reklamních materiálů, které se mi objevují ve schránce od firmy, u které jsem kdysi koupil ledničku? Prostě požádám o zrušení mého záznamu v databázi a pokud nebudou chtít riskovat porušení zákona, musí poslechnout. Zadávám někde, řekněme při sjednávání pojištění, své jméno, adresu a telefon? Druhá strana mi musí sdělit k čemu a jak budou tyto informace používány.

Avšak každá mince má svůj rub – z výše uvedeného je zřejmé, že pro právnické osoby vznikne řada velmi nepříjemných povinností. Všechny organizace, které zpracovávají osobní údaje, se musí do konce tohoto roku registrovat na Úřadě a do roka musí splnit omezení a podmínky uložených tímto zákonem. Z definice pojmu osobní údaje vyplývá, že zákon postihne státní organizace a zejména komerční společnosti. Osobní údaje znamenají data, z nichž je možné zjistit identitu osoby jíž se týkají, typicky tedy půjde třeba o jméno, adresu, telefon, rodné číslo, číslo občanského průkazu, řidičského průkazu, SPZ. Největší koncentrace těchto dat tedy asi bude ve veřejné správě. Zkuste ale popřemýšlet, jaká data se sbírají v kterékoliv komerční společnosti. Každá firma udržuje v nějaké podobě informace o svých zákaznících. „Dobře,“ řeknete si, „to se týká třeba Telecomu (dobře mu tak), u nás jsou zákazníky jenom další firmy, takže nás se to netýká.“ Kromě databáze zákazníků, ať elektronické nebo papírové, má ale každá společnost zpravidla také databázi vlastních zaměstnanců, což jsou překvapivě také osobní údaje. Z toho vyplývá, že zákon platí téměř pro všechny firmy, co v Čechách jsou, ať mají jakoukoliv právní formu.

Kromě povinnosti oznamovat zpracování osobních údajů Úřadu, a komunikace s individuální osobou jíž se informace týkají, musí zajistit provozovatel databází také přiměřenou ochranu. Zejména jde o ochranu před v Čechách asi nejpravděpodobnější hrozbou – vykecáním, pardon, prozrazením, ale také zneužitím těchto informací pracovníky, kteří k nim mají oprávněný přístup vyplývající z jejich pracovních povinností. Jak asi tušíte, těmto hrozbám žádná přístupová práva či šifrování moc zabránit nemohou, takže nastupuje nejklasičtější způsob ochrany – smlouva a interní firemní legislativa. Zachování důvěrnosti těchto informací by si měl provozovatel zajistit smlouvou o mlčenlivosti (anglicky nazývanou non disclosure agreement). Zneužití údajů by pak mělo být pokryto vydáním závazných pravidel (provozního řádu, směrnic) upravující práci s tímto druhem dat.

Shrneme-li to, co bylo řečeno, zákon se bude velmi líbit soukromým osobám, které se starají o své soukromí, a nebude se velmi líbit většině firem, protože bude představovat dodatečné administrativní a zejména i finanční náklady.

Jaký bude skutečný dopad zákona se neodvažuji odhadovat. Je zde jistě větší pravděpodobnost, že bude uplatněn v praxi, než tomu bylo u předchozí právní úpravy; pokuty pro organizace nedodržující tento zákon mohou dosáhnout až 10 miliónů. Na druhou stranu je zjevné, že jeho prosazení bude záležet na způsobu reálného fungování Úřadu pro ochranu osobních údajů. Úřad má ze zákona poměrně hodně pravomocí, takže jde o to jestli bude dostatečně zajištěn technicky a personálně. Protože podle znění zákona se osobní údaje zpracovávají opravdu ve velké většině organizací, otázkou bude, jaké kapacity bude například Úřad mít na kontrolu těch, kteří se neregistrovali, a přesto je u nich více než pravděpodobné, že tyto informace zpracovávají. Může se lehce stát, že se registruje kupříkladu 10% velkých podniků, a protože úřad nebude mít dostatek lidí, dostaneme se do stavu (v Čechách dobře známého), že sice něco platí, ale většina subjektů to stejně nedodržuje. To je už ale jiný problém.

Jiří Ludvík