Igor Němec: Budeme se muset bránit světu mimo kontrolu lidí

* E15: Je Úřad pro ochranu osobních údajů vůbec potřeba?

Podobnou otázku mi kdysi položila i manželka. Zkusím vám odpovědět jako jí. Když mne zajímá konkrétní osoba, zaplatím si detektivní kancelář a ta mi zjistí možné i nemožné. Čili nejdříve byl zvolen subjekt, a pak se daly dohromady informace o něm. Kvůli takovému porušení soukromí není náš úřad potřeba.

Náš úřad, podobně jako v jiných zemích Evropy, vznikl proto, že hrozí opačný postup. Na základě databází a různých zdrojů se nejdříve dají dohromady informace, a následně se vygeneruje subjekt. Když to brutálně přeženu: když se dostanu k databázi citlivých údajů ze zdravotnictví a následně budu hledat vhodného dárce ledviny, tak ho najdu. Když se těchto infomací zmocní někdo s nekalými úmysly, výsledkem může být i to, že „dárce“ přejede auto.

Čili náš úřad je regulátorem v tom smyslu, aby se nesbíraly osobní údaje, ale aby se naopak chránily. Aby byl definován přístup k informacím, pokud je to už nezbytně nutné. Aby se nemohl někdo využít, pokud neexistuje argumentačně doložený účel. Čili aby se lidé nestali obětí jakéhosi virtuálního světa, a přitom to ani netušili. V zásadě jde o vytvoření pravidel, za jakých zákonných podmínek je vůbec možné shromažďovat osobní údaje. A náš úřad kontroluje, jestli se to v souladu se zákonem skutečně děje.

* E15: Čili hlídáte soukromí občanů, které už není schopen si kontrolovat občan sám? Nestačilo by však, aby úřad fungoval třeba jako odbor ministerstva spravedlnosti nebo vnitra?

Nemůže. Velkým „klientem“ našeho úřadu jsou právě orgány státní správy. Čili kontrolní funkce na ochranu osobních údajů musí být velmi přísně od takových orgánů oddělena. Protože pokud podle George Orwella někde hrozí riziko Velkého bratra, tak ve velké míře ze strany veřejné správy.

* E15: Přehnaně řečeno s Orwellem by nakonec i váš úřad mohl naplnit cíle Velkého bratra. Jak jste kontrolováni vy?

To je samozřejmě věčná otázka: Kdo kontroluje kontrolory? My ale nezpracováváme žádné osobní údaje. My s osobními daty na rozdíl od jiných orgánů veřejné správy nepracujeme.

* E15: Dokážu si ovšem představit i úplatného úředníka vašeho úřadu, jak si z kontrolovaných registrů dat vytvoří nějakou vlastní databázi osobních údajů. Jeho již nikdo nekontroluje. Co s tím?

Takové hypotetické situaci napomáhá zabránit komplikovaná konstituce našeho úřadu. Úřad má osm volených funkcionářů, které navrhuje Senát a schvaluje prezident. Volí se předseda a sedm inspektorů. Jejich činnost lze přitom dobře mapovat. Při kontrolní činnosti se musí takzvaně logovat. To znamená přihlásit se, takže se ví, kdo data kontroluje a za jakým účelem.

* E15: Přesto se zeptám ještě jednou: Existují ve vašem úřadu nějaké vnitřní kontrolní mechanismy?

V minulých letech jsem pověřil inspektory, aby zkontrolovali úřad, který vedu. Jestli neplatí, že pod svícnem je největší tma. Kontrola je přitom objektivní, protože inspektoři jsou voleni čili jsou z různých končin republiky, jsou nezávislí a neodvolatelní. Kromě toho jsou navrhováni různými politickými subjekty, takže i z tohoto pohledu jsou mezi nimi složitější vazby.

* E15: Kontroluje úřad jen problémy, které jsou známé, nebo dopředu vytipovává budoucí problémy v souvislosti s technickým pokrokem?

Obojí. Za prvé děláme běžnou operativní kontrolu na základě stížností. Problémem je, že jejich počet každoročně narůstá zhruba o 30 procent, takže se záhy budeme potýkat s tím, jak jejich vyřizování stihnout. Kromě toho si každý rok určíme jednu velkou oblast, například bankovnictví, a kontrolujeme, jak se zachází s osobními údaji v těchto organizacích, kde jde vždy o citlivou záležitost. Třetí činnost má výzkumný charakter. Odehrává se v součinnosti s ostatními evropskými ochrannými institucemi. Vyměňujeme si názory a diskutujeme, co se chystá. Které „hity“ se na nás řítí. Například „internet věcí“ (internet of things), což je téma budoucnosti.

* E15: To budete muset více přiblížit…

V budoucnu asi nebude největším problémem vznik databází, které si někdo založí, spravuje je a občas z nich citlivá data uniknou. Problémy nastanou v důsledku technologického pokroku. Pro příklad s technologiemi RFID čili jakousi čipovou identifikací. Člověk si koupí třeba kalhoty, ve kterých je čip, který něco vysílá. Díky této technologii budou všechny věci spolu komunikovat. Vznikne tak svět, jenž bude zcela mimo kontrolu lidí. Někdo se však do něj může dostat a dat využívat. I zneužívat. Zní to sice jako sci-fi, ale toto riziko je již aktuální. Proto vytváříme tlak na firmy, aby od samého počátku myslely na soukromí lidí. Aby nová technologie, která třeba umožňuje sledovat tok zboží, sama myslela na ochranu soukromí. Ne, jak je tomu dnes, kdy se něco vytvoří, a teprve zpětně se řeší problémy ochrany osobních údajů. Viz například problém s Facebookem.

* E15: Nebylo by principiálně lepší, aby šaty žádné čipy neměly?

To je velké téma. I to, jak čipy zabíjet. Mísí se zde několik cílů. Na jedné straně pohodlnost a bezpečnost, na druhé ochrana soukromí. Není žádným tajemstvím, že v USA a možná už i v Evropě existují ledničky, které dokážou pomocí čipu zboží majitele domácnosti informovat, kolik dnů zbývá do skončení záruční doby, co za potraviny v lednici chybí. Takže očipované zboží lidem slouží.

* E15: Čipy luxusních aut vysílající signál o jejich parkování mohou nekalým živlům pomoci k pohodlnějším krádežím…

Kvůli tomu se mnohé společnosti snaží, aby žádná taková citlivá data neunikla. Zvláště společnosti pracující s důvěrou klienta. Například banky.

* E15: Podle dostupných informací si s tím moc velkou hlavu nedělají obchodní domy. Máte s nimi i vy problémy kvůli ochraně soukromí?

Problém s RFID čipy zatím u nás tak rozšířen není. Nicméně se uvažuje, že budou fungovat zabijáci těchto čipů, takzvaní RFID killers. Jakmile zákazník vyjde z obchodu, činnost těchto čipů bude automaticky přerušena.

* E15: Jaký je v Česku největší a nejrozšířenější problém při ochraně soukromí?

Slabé povědomí o tomto problému. Jeden z největších nešvarů u nás je, že se sbírají data s pochybným nebo často s neujasněným cílem. Přitom o jasné účelnosti jejich pořizování hovoří zákon. Data lze zpracovávat jedině ke stanovenému účelu. Čili jedno ze základních hesel zní: Nezpracovávat data, která nepotřebuji. Mohou být totiž zneužita.

* E15: Máte vůbec dostatek kompetencí, abyste zneužívání osobních dat mohli účinně postihovat?

Určitě. Dokonce si myslím, že jsme vzorovým příkladem na tomto poli. Výhodou našeho úřadu je to, že vznikl teprve před deseti lety. V době, kdy se tvořila legislativa na ochranu osobních údajů. Mohli jsme se tak vyhnout dětským nemocem, kterými si musely projít úřady v jiných zemích. Například v nedostatečné vymahatelnosti ochrany.

* E15: Ve správním řízení můžete udělit až desetimilionovou pokutu. Postižený se však může odvolat k soudu. Jak u nich dopadáte?

Vyhráváme. Až na dva spory, které byly vráceny k dopracování kvůli procesním nedostatkům. Ve všech ostatních přích, kdy se pokutovaní bránili soudní cestou, jsme uspěli. Problém je, že tyto soudní spory trvají tři až čtyři roky.

* E15: Uplatnili jste už někdy maximální pokutu?

Ne. Nejvyšší pokuta byla dva a půl milionů korun jednomu bankovnímu ústavu.

* E15: Co by se muselo stát, abyste někomu dali maximální pokutu?

Jsme úřad, který dýchá s touto společností. Jsme si vědomi, že jde o úplně novou problematiku. Minulých deset let jsme tak trochu chápali jako výchovné období. S větším povědomím dojde i na větší kauzy a také větší pokuty. U nás však zatím nebyl skandál takového rozsahu, jako například s únikem obrovských databází dat v sousedním Německu.

* E15: Jaký je strop pokut v Německu nebo Anglii?

Česko v tomto srovnání patří k zemím, jež může dát jednu z nejvyšších pokut v Evropě. Ta je v případě Německa jednou ze slabin, kterou si tamní úřad nese stále z minulosti. Tedy z doby, kdy ochrana soukromí nepřipadala nikomu až tak důležitá.

* E15: Vracím se k vaší zmínce o Facebooku. Jaké riziko u něho hrozí, když jde o dobrovolnou záležitost?

Právě v té dobrovolnosti. Přístupové podmínky na síť Facebook jsou nejasné. A ne příliš přátelské pro uživatele, zejména pro děti. Už se ale podařilo s organizátory Facebooku dojednat, že se budou chovat ke svým uživatelům přívětivěji. A ne že hned na začátku každý odklikne souhlas s používáním osobních dat, aniž by byl řádně poučen, k čemu dává souhlas. Člověk musí souhlas dávat vědomě. V počátku lidé ani nevěděli, že například souhlasí, aby byly jejich údaje využity vývojáři systému nebo k dalším účelům, které úplně nesouvisí se sítí Facebook.

* E15: Bojujete i proti spamu. Proč?

Ze zákona máme povinnost bojovat s nevyžádaným obchodním sdělením. Což je spam specifického charakteru. Prodejní subjekty se dostanou k nějaké databázi s osobními údaji a tu potom v rozporu se zákonem použijí. Čili i zde jde o zneužití osobních dat. V těchto případech dáváme sice malé pokuty, ale je jich poměrně velké množství.

* E15: Ve Francii úřad pro ochranu osobních údajů řešil stížnost občana na majitele nudistických pláží. Ti si o něm vyměňovali informace a nezpracování chtěli ho na pláže pouštět. Byl na černé listině lidí, kteří se na těchto plážích nevhodně chovají. Úřad v tomto případě stížnost neuznal. Jak je to vlastně s používáním černých listin, takzvaných blacklistů?

Problém s blacklisty je. Může jít třeba o dlužníky. Ti jsou samozřejmě pod naší velmi přísnou kontrolou. Setkáváme se s tendencí lidi pranýřovat. Jenže v souvislosti s používáním osobních údajů jde o velmi nebezpečnou věc. Člověk, který se tam dostane neoprávněně, má pramalou šanci se bránit. A takové lidi musíme bránit.

* E15: Odsuzujete tedy existenci blacklistů? Nebo jim vytýkáte pouze nepřesnost?

Tu vytýkáme i těm seznamům, které vznikají ze zákona. Což se týká i zmíněné databáze dlužníků. Ta musí totiž evidovat pouze skutečně problémové dlužníky. Ale lidé, kteří se v této databázi ocitnou, musejí dát dopředu souhlas, že v ní mohou být. V tomto případě jde o klasické osobních dat, kdy musí být dodržen jeden ze základních principů: Buď vznikne na základě souhlasu, nebo ze zákona. Blacklist vytvořený bez souhlasu lidí je nezákonný.

* E15: Jak dopadají spory, které vedou po celé Evropě úřady na ochranu osobních dat se společností Google za projekt Street View. Tedy mapování měst a jejich prostředí? Kde bylo v tomto případě porušeno soukromí?

Společnost tvrdí, že cílem projektu je poznání měst a posílení cestovního ruchu. Nicméně kamery společnosti zabírají například i dvorky čili soukromý prostor lidí. Máme stížnost, že u jednoho domku zabírají boty před vchodem, takže si někdo může zjistit, zda v domě někdo je. Což je samozřejmě zpracovávání osobních údajů. Problematický projekt se řeší na mezinárodní úrovni. V nejbližší době kvůli tomu odjíždíme do Bruselu, kam jsou pozváni i zástupci Googlu. V Česku pak vedeme se společností Google správní řízení. Výsledek ještě není znám.

* E15: Tím se dostáváme k problému existence kamerových systémů obecně. Jsou pomalu tam, kam oko pohlédne. Nežijeme již díky nim v době Velkého bratra, kdy ale místo obrany krčíme rameny, protože například pomáhají chytit zločince?

Já v případě tohoto problému říkám: Krátkodobě přeceňován, dlouhodobě podceňován. Lidé si totiž na kamery začínají zvykat. Jenže se stačí podívat na internet, co všechno se dá natočit a co všechno je k vidění. Proto i v této oblasti děláme řadu kontrol. Zejména ve školách, v nemocnicích. Snažíme se hledat vyváženost mezi bezpečností a zároveň ochranou soukromí.

* E15: Jaká je hranice přípustnosti a nepřípustnosti kamerových systémů například na ulici či v nemocnici?

V každém případě jde vždy o zpracovávání osobních údajů. Rozdíl je v tom, je-li kamera v soukromých rukou, či vlastníli ji policie. Policie je v rámci bezpečnosti samozřejmě řízena striktními pravidly.

Igor Němec (51)

Vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy. V roce 1990 byl za Občanské fórum zvolen poslancem Federálního shromáždění ČSSR. V letech 1991–1993 byl ministrem české vlády premiéra Petra Pitharta. V letech 1993–1996 působil ve vládě Václava Klause. Zabýval se i přípravou zákona o Nejvyšším kontrolním úřadě. V roce 1997 se stal poslancem Parlamentu ČR, o rok později i zastupitelem Prahy. V červenci 2002 se dokonce na krátký čas stal primátorem hlavního města. Roku 2005 byl jmenován předsedou Úřadu na ochranu osobních údajů. Je ženatý a má čtyři děti. Jeho největší zálibou jsou šachy.