Co přinese nový zákon o ochraně osobních údajů?

Nový zákon o ochraně osobních údajů je na nejlepší cestě ke svému přijetí. Až se tak stane, budeme kompatibilní s EU, pokud jde o ochranu osobních údajů. Ale zlepší se díky zákonu i faktické nakládání s našimi osobními údaji?

Minulý týden, v době pro tiskové konference velmi netradiční (v pátek odpoledne), se na půdě ÚSISu (Úřadu pro státní informační systém) konalo setkání s novináři k problematice nového zákona o ochraně osobních údajů. Jen pro uvedení do problematiky - jde o zákon, který by měl nahradit dnes již nevyhovující zákon č. 256/92 Sb., který nevyhovuje zejména pro svou nekompatibilitu s požadavky EU. Nový zákon vypracoval ÚSIS, vláda jej schválila již v září (svým usnesením č. 968 z 22. 9. 1998) a v Poslanecké sněmovně Parlamentu ČR tento zákon prošel již počátkem listopadu prvním čtením (viz zde). V plném znění jej lze najít buď na serveru ÚSISu, nebo na parlamentním web-u.

Místopředseda Mertlík na tiskovce

Účelem páteční tiskové konference bylo seznámit novináře se zmíněným zákonem na ochranu osobních údajů - s jeho podstatou, způsobem vzniku i očekávanými důsledky. Hlavní proslov měl místopředseda vlády Mertlík, který je také předkladatelem zákona (formálně: zástupcem navrhovatele, neboť jde o vládní návrh). Vystoupení pana Mertlíka se však neslo spíše v obecné rovině a týkalo se celkové potřebnosti nového zákona a jeho kompatibility s direktivami EU. Skutečně novou informací v jeho projevu byla pro mne zmínka o tom, že ČR již mohla přistoupit k Úmluvě Rady Evropy číslo 108, o ochraně osob se zřetelem na automatizované zpracování osobních dat (přesněji: vláda na svém zasedání 29. 11. vyslovila s naším přistoupením souhlas). Stalo se tak zřejmě díky tomu, že nový zákon je na dobré cestě ke svému přijetí.

Jaký byl dosavadní stav

V souvislosti s přistoupením k Úmluvě č. 108 je ale dobré si zdůraznit jeden zajímavý aspekt - až dosud byla u nás problematika ochrany osobních údajů řešena zákonem č. 256/92 Sb., který se zabýval ochranou těchto údajů při jejich zpracování v informačních systémech. Měl ale několik vad na kráse - například tu, že nestanovoval žádné sankce za porušení pravidel, která definoval. Navíc předpokládal zřízení samostatného úřadu, který by bděl nad ochranou osobních údajů v informačních systémech, ale tento úřad dosud nevzniknul. Stávající zákon 256/92 Sb. svým lpěním na vzniku tohoto úřadu dokonce zkomplikoval život i samotnému ÚSISu, který kdysi předložil návrh zákona o své vlastní působnosti - a v něm si pro sebe chtěl vyhradit příslovečnou roli kozla i zahradníka současně (neboli: ÚSIS by současně fungoval jako úřad dohlížející nad ochranou osobních údajů a současně by s nimi také sám nakládal, neboť v té době chtěl také provozovat jednotný Státní informační systém, samozřejmě nakládající i s osobními údaji).

Dnes je situace jiná - ÚSIS již nechce budovat na zelené louce jednotný Státní informační systém (a místo něj se bude snažit o vzájemné propojení stávajících informačních systémů veřejné správy). Kromě toho již nemá ani ambice stát se nezávislým kontrolním úřadem, který by dohlížel nad nakládáním s osobními údaji. Nový zákon sice také předpokládá vznik takového úřadu, ale ten by měl vzniknout jako skutečně samostatný a nezávislý Úřad, jehož předseda a 7 inspektorů bude jmenováno přímo Senátem (a fakticky zřejmě vznikne odštěpením ze stávajícího ÚSISu).

Nový zákon však má i jednu další zajímavou odlišnost od stávajícího zákona 256/92 Sb. - zatímco tento stávající zákon se specificky týká nakládání s osobními údaji v informačních systémech, nový zákon se týká ochrany osobních údajů jako takových (a tedy není vázán na žádnou specifickou formu jejich zpracování, resp. nakládání s nimi). Obsahuje např. pravidlo o tom, že osobní údaje je možné zpracovávat pouze se souhlasem fyzických osob, ke kterým se osobní údaje vztahují (kromě taxativně vymezených případů, zejména jde-li o evidenci požadovanou zákonem).

A vida, přece jen to jde!

Stojící doc. Mates, sedící doc. Smejkal

Kromě vicepremiéra Mertlíka, šéfa ÚSISu pana Berky a dalších zástupců ÚSIS byli na tiskovce přítomni i dva právníci, pánové Mates a Smejkal. Ti zde vystupovali jako faktičtí autoři zákona, což usuzuji z toho, že odpovídali na většinu věcných připomínek a dotazů k zákonu, kterých nebylo málo. Zaujalo mne to nikoli proto, že jsem jejich jména pod tímto zákonem nikde napsaná neviděl - spíše mne to zaujalo z toho důvodu, že se na tomto případu názorně ukázalo, že spolupráce těchto dvou autorů s ÚSISem je možná (aspoň na tiskovce fungovala bezproblémově, samotný zákon to svou existencí také dokládá).

Ovšem jinde, konkrétně u zákona o elektronickém podpisu, se spolupráce stejných subjektů - tedy pánů Smejkala a Matese (spolu se SPISem) na straně jedné a ÚSISem na straně druhé, ukazuje jako nerealizovatelná.

Co říká nový zákon?

Přímo na tiskové konferenci se rozběhla poměrně rozsáhlá diskuse mezi novináři a autory o některých věcných aspektech nového zákona. Například o tom, co je (a co není) osobním údajem, a tudíž požívá (či naopak nepožívá) ochrany tohoto zákona. V samotném textu zákona se přitom píše, že:

...osobním údajem [se rozumí] jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřeného množství času, úsilí či materiálních prostředků.

Když jsem se na úvod zeptal, zda je e-mailová adresa podle tohoto zákona osobním údajem a zda by tedy šel tento zákon použít v boji proti spammingu, odpověděl mi doc. Smejkal, že podle jeho (již dříve publikovaného) názoru není e-mailová adresa osobním údajem, protože nemusí určovat konkrétního příjemce. Jako jeden konkrétní příklad uvedl svou e-mailovou adresu (tu zde jistě mohu bez obav citovat, když nejde o osobní údaj, tedy: vsmejkal@comp.cz) a řekl, že uživatelů stejného jména a příjmení, kteří zvolí stejný e-mailový alias (tedy: vsmejkal) a stejného providera (aby za zavináčem následovalo comp.cz) může být více. Po technické stránce by to sice nefungovalo (jeden konkrétní příklad dvojího zavedení stejné adresy z praxe je popisován zde), ale z právního hlediska to zřejmě postačuje k závěru, že z e-mailové adresy není možné efektivně určit konkrétního příjemce. Ono je to skutečně pravda, ale nikoli kvůli tomu, že by stejnou e-mailovou adresu mohli mít dva lidé - je to hlavně proto, že e-mailové adresy mohou být do značné míry anonymní (jako třeba honza@post.cz). Pak nastupuje ona formulace z definice osobního údaje v zákoně, kdy se "o osobní údaj nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřeného množství času, úsilí či materiálních prostředků".

S konkrétním příkladem přispěl i další z autorů, doc. Mates. Ten vyjádřil přesvědčení, že ani listovní adresa (neboli adresa, na kterou vám chodí běžná listovní pošta) není osobním údajem ve smyslu právě navrhovaného zákona. Zdůvodňoval to příkladem domu, ve kterém bydlí tři osoby stejného jména, například otec, syn a děd (což skutečně nemusí být až tak nemožné).

Pokud důsledky tohoto příkladu domyslím až do konce, nutně mi z toho vychází, že nově navrhovaný zákon o ochraně osobních údajů nedokáže postihnout právě ty nejkřiklavější věci, považované širokou veřejností za "zneužití osobních údajů" - třeba to, že někdo někde "vycucá" nějakou databázi, získá z ní listovní adresy nějaké specifické skupiny lidí a pak jim všem rozešle nějaké svoje specifické nabídky (třeba nabídky dětských plenek čerstvým maminkám, nabídky luxusního zboží osobám s vyššími příjmy apod.). Pokud bych zmíněný příklad vzal za bernou minci a vycházel z toho, že ani listovní adresa není osobním údajem, pak to skutečně nebude zákonem o ochraně osobních údajů postižitelné, protože se nebude jednat o nakládání s osobními údaji.

Podmiňovací způsob v předchozí větě jsem použil záměrně proto, že přímo na tiskovce jsme s kolegy narazili na jiný významný aspekt. Když jsme se totiž dále vyptávali přítomných autorů zákona na to, co je (a co není) osobním údajem, vyšlo nám, že uváděné příklady jsou skutečně myšleny jako výjimky, jejichž samotná existence postačuje proto, aby e-mailové adresy i adresy listovní V OBECNÉM PŘÍPADĚ nebyly osobními údaji. Tedy že neplatí automaticky, že každá e-mailová adresa či každá listovní adresa je vždy a za všech okolností osobním údajem. To mne zákonitě přivedlo k závěru, že některé údaje určitého typu (například některé listovní adresy a asi i některé adresy e-mailové) jsou osobními údaji, a jiné nikoli. Dokonce se tedy dá říci, že pro někoho jsou osobními údaji (pro toho, kdo ví a dokáže "bez nepřiměřeného množství času, úsilí či materiálních prostředků zjistit, komu skutečně patří), a pro někoho jiného nikoli. Dotaz na to, kdo bude v takovýchto případech rozhodovat a rozlišovat "jemné nuance" mezi osobním a ne-osobním údajem, přítomní právníci těžko mohli zodpovědět jinak než odkazem na soud. Z hlediska práva je to jistě v pořádku, ale z hlediska praktického použití zákona proti zneužívání osobních údajů to (aspoň podle mého názoru) v pořádku není. Obávám se, že vzhledem k notoricky známé rychlosti práce našich soudů to velmi zkomplikuje uplatňování tohoto zákona a povede to k tomu, že ten, kdo se nebude chtít tomuto zákonu podřídit, bude moci dlouho (a bohužel asi i úspěšně) argumentovat tím, že jím shromažďované a dále zpracovávané údaje nejsou osobními údaji (a opak mu zatím soud neprokázal).

První komplikace s posuzováním toho, co je (a co není) osobní údaj, by se mohly projevit již bezprostředně po vstupu zákona v platnost - zákon totiž předpokládá, že všechny subjekty, které chtějí zpracovávat osobní údaje, to musí oznámit Úřadu pro ochranu osobních údajů. Ten pak dotyčný subjekt buď zaregistruje jako správce osobních údajů, nebo rozhodne, že se zpracování nepovoluje. Stávající "zpracovatelé osobních údajů" (podle terminologie nového zákona "správci") pak mají šest měsíců na takovéto přihlášení.

Co mohou dělat kontroloři?

Jednou z kompetencí kontrolujících (hlavně asi inspektorů Úřadu pro ochranu osobních údajů) je podle návrhu zákona možnost

vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly

s tím, že

do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti.

To je opravdu silné oprávnění, omezené jen dosti vágním požadavkem na "souvislost" s předmětem kontroly. Tím se kontroloři osobních údajů dostávají na úroveň kontrolorů z berňáku, kteří také mohou vstoupit prakticky kamkoli a do čehokoli ( s výjimkou obydlí nepoužívaných pro podnikání). Podle mého laického názoru však jdou práva "údajových kontrolorů" ještě dále než pravomoci kontrolorů z berňáku: kontroloři mají podle zákona o ochraně osobních údajů oprávnění

pořídit kopie obsahu paměťových médií nacházejících se u kontrolovaného (§ 37 písm. f),

a to bez jakýchkoli omezujících podmínek typu "v odůvodněných případech" (či alespoň "oproti potvrzení").

Skutečnou perličkou je i ustanovení zákona, které kontrolujícímu dává právo požadovat zdrojové kódy programů (§ 37 písm. b), a to dokonce nejen po kontrolovaném, ale doslova i "po jiných osobách". Zde je naštěstí již omezující podmínka, že to musí souviset s předmětem kontroly (což je ale dosti vágní, dnes souvisí skoro všechno se vším) a že tyto zdrojové kódy dotyčný vlastní. Nicméně: kdo je onou "jinou osobou"? Co třeba výrobce programu, který kontrolovaný používá? Co když bude kontrolovaný vést část své evidence osobních údajů např. v Excelu, měl by pak kontrolující právo požadovat po Microsoftu poskytnutí zdrojového kódu tohoto spreadsheetu (když Microsoft určitě je "jinou osobou", zdrojový kód vlastní a s předmětem kontroly to souvisí). Je to jen moje bohapustá fantazie?