Františku, ochraně osobních údajů se věnuješ dlouho, skoro 20 let. Jak jsi se s k tomuto tématu vůbec dostal?
Prakticky rovnou po škole (pražských právech) jsem nastoupil na Úřad pro ochranu osobních údajů. Byl to spíš náhodný výběr, k tomu tématu jsem předtím žádný vztah neměl. Myslel jsem, že na úřadě zůstanu tak rok, dva, ale nakonec jsem tam strávil 10 let. Sice jsem střídal útvary a činnost (analytický odbor, právní oddělení), ale i tak jsem si řekl, že 10 let je dost. A v roce 2016 jsem přešel do soukromého sektoru.
Takže vlastně po přijetí GDPR jsi odešel z ÚOOÚ do banky, je to tak?
Dá se to tak říct. Z ÚOOÚ jsem v roce 2016 odešel do banky, konkrétně Monety, kde sem měl zpočátku na starosti právě implementaci GDPR do celé finanční skupiny. Po třech letech jsem šel zase dál, ale ve finančním sektoru jsem zůstal.
Svůj profesní záběr ale rozšiřuješ. Jak je vidět z i tvých článků, přednášek nebo profilu na sociální síti, už to není jenom GDPR.
Přesně tak. Baví mě hledat přesahy a souvislosti. Zasazovat pravidla pro zpracování osobních údajů do komplexnějších postupů, ať už se bavíme o řízení rizik, nebo celkovém compliance management systému (CMS). A hledat možnosti, jak povinnosti podle různých regulací plnit jednotně a efektivně. Třeba ověřování dodavatelů, řízení bezpečnostních incidentů atd., což jsou a budou pro řadu společností povinné kroky jak podle GDPR, tak podle finanční regulace a zanedlouho i podle NIS2 a DORA.
Jaký je podle tvého názoru vztah informační bezpečnosti a ochrany osobních údajů?
Ochrana osobních údajů, resp. plnění GDPR a dalších předpisů, se bez informační bezpečnosti neobejde. Ale nejde o synonyma, jak to někdy bývá nepřesně vnímáno. Povinnost zabezpečit zpracovávané osobní údaje je jednou z devíti hlavních zásad a principů GDPR. Důležitou, ale „pouze“ jednou z devíti. Kdybychom to měli přiblížit na trochu extrémním případě, tak výborně zabezpečená databáze, která bude obsahovat nezákonně a tajně zpracovávané osobní údaje používané k diskriminaci klientů na základě jejich zdravotního stavu či etnického původu, bude z pohledu GDPR a jeho účelu větší problém než narušení bezpečnosti dat u zpracování, které je legitimní, zákonné, transparentní atd.
Hodně sleduješ legislativní novinky na úrovni Evropské unie i České republiky. Jaká z připravovaných změn, nových regulací, bude mít na uplatnění GDPR, a obecně pravidel pro zpracování a ochranu informací, největší dopad?
Na prvním místě asi musíme zmínit novou kyberbezpečnostní směrnici NIS2 a její transpozici do českého právního řádu prostřednictvím nového zákona o kybernetické bezpečnosti a jeho prováděcích předpisů. Ve finančním sektoru v širokém slova smyslu bude více rezonovat nařízení o digitální odolnosti, tzv. DORA.
No a pak tu je celý balík datové regulace. Různé směrnice a nařízení, které upravují některý dílčí aspekt práce s daty, často osobními. Ať už se jedná o AI Act (nařízení o umělé inteligenci), Data Act (zpřístupnění informací podnikatelům i spotřebitelům), Akt o digitálních trzích (DMA) a Akt o digitálních službách (DSA) atd. Vztah k GDPR v těchto nových předpisech bývá často řešen jednoduchým odkazem (ve stylu „touto směrnicí nejsou dotčena práva a povinnosti upravená v GDPR“), ale praktická aplikace všech nových předpisů a jejich zasazení do kontextu pravidel pro zpracování osobních údajů bude pro řadu organizací náročné.
Zapomínat nesmíme ani na další předpisy, které se primárně netýkají práce s daty nebo jejich ochranou, ale které i tak budou mít bezprostřední dopad na zpracování osobních údajů a plnění souvisejících povinností. Řadu otázek přináší vztah whistleblowing zákona a GDPR (může být pověřenec zároveň whistleblowing officerem?), důležitý bude i zákon o hromadných žalobách. Ten proto, že dotčené osoby, do jejichž práv bude zasaženo neoprávněným zpracováním v rozporu s GDPR, budou moci společně správce žalovat a chtít po něm náhradu způsobené škody. A i kdyby doložitelný škoda či újma jednotlivých lidí byla relativně malá, v řádu stokorun, pokud správce bude žalovat takovýchto klientů deset tisíc, tak už výsledná částka bude zajímavá.
A co ePrivacy nařízení? Nařízení pro ochranu soukromí online, které mělo být původně přijato spolu s GDPR?
To je pravda, původní záměr byl, že budou přijata spolu. To se ale nestalo a ePrivacy je zaseklé stále kdesi v legislativním procesu Evropské unie. Občas zachytíme zprávu, že se posunuje do další fáze, ale rychlost to opravdu není bůhvíjaká.
Čím by to mohlo být? Důvody mě napadají dva. Tím prvním je rozšíření pravidel pro ochranu důvěrnosti komunikací, online marketing atd. na další komunikační nástroje a kanály. A tedy na další velké hráče. A k tomu vysoké pokuty, obdobné těm v GDPR (tedy až 20 milionů euro nebo 4 % z ročního obratu celé skupiny). To samozřejmě vyvolává obavy a lobbistické tlaky.
Druhým důvodem může být skutečnost, že EU už tak trochu neví, co s návrhem dělat. Návrh ePrivacy už nutně zastaral, technologie za uplynulých několik let výrazně pokročila. Byť se např. europoslanci snaží napravovat různými pozměňovacími návrhy, zřejmě existuje obava, aby ePrivacy nebylo zastaralé, nefunkční či příliš přísné už v okamžiku, kdy bude přijato. Nedivil bych se, kdy byl původní návrh stažen a představen návrh nový, jakési ePrivacy nařízení 2.0.
Pravidla pro marketing, cookies atd. ale přece už máme i v českých zákonech.
Ano, jedná se především o zákon o elektronických komunikacích a zákon o některých službách informační společnosti. První jmenovaný předpis byl v roce 2022 novelizován a pro telemarketing i pro využití většiny cookies zavedl tzv. opt-in princip. Což je poměrně výrazná změna. No a zákon o některých službách informační společnosti upravuje pravidla pro zasílání obchodních sdělení („spamu“) elektronickými prostředky, zejména e-mailem, SMS atd.
A správný pověřenec pro ochranu osobních údajů by měl tohle všechno znát?
To vždycky záleží na velikosti, předmětu činnosti a struktuře organizace, pro kterou funkci pověřence vykonává. Jiné znalosti, ať už předpisů, procesů či technologií, potřebuje pověřenec na ministerstvu, jiné na obecním úřadě, jiné v nemocnici a ještě jiné v digitální bance či pojišťovně. Ale je pravda, že alespoň základní přehled o připravovaných předpisech, které se budou otázek spojených se zpracováním a ochranou osobních údajů, by měl pověřenec mít. Ať už si je získá sám, nebo bude využívat jiný zdroj či nástroj pro legislativní monitoring ve svojí organizaci.
Jaké ještě další znalosti by měl pověřenec mít, bez ohledu na sektor, kde působí?
Kromě znalosti současné i připravované regulace bych vypíchl důležitost toho, aby pověřenec znal „svoji“ organizaci, správce nebo zpracovatele osobních údajů, u kterého působí. Musí být rovněž schopen nezávisle posuzovat soulad s GDPR, nebát se tlaku a nepodléhat tlaku vedení či businessu. Proto jsou důležité i tzv. soft skills, jako samostatnost, nepodléhání kolektivnímu myšlení, schopnost vysvětlit a obhájit svůj názor. V řadě případů se také hodí znalost kontrolních či auditních postupů, typicky při prošetřování porušení zabezpečení osobních údajů.
A jak se to všechno naučí, kde má hledat informace?
Přece na našem webu GDPR.cz 😊
