Baví mě hledat přesahy ochrany osobních údajů a dalších témat
16. 1. 2023
K jakým změnám došlo v oblasti ochrany osobních údajů v posledních letech? Jak přistupují k osvětové činnosti různé dozorové úřady v době, kdy přibývá nástrojů pro využití dat, s čímž souvisí i rostoucí hrozby, resp. rizika zneužití osobních údajů? Nejen o tom jsem si povídala s Františkem Nonnemannem, který ochraně osobních údajů věnuje už 16 let, v této oblasti také publikuje a přednáší, a to nejen v České republice, ale i v zahraničí.
V oblasti ochrany osobních údajů se pohybujete už dlouhá léta. Baví vás to stále?
Ano, pořád mě baví. Jsou dokonce dny, kdybych řekl, že mě téma zpracování a ochrany dat baví stále víc a víc.
Jak se za tu dobu tato oblast změnila? Objevila se nějaká nová aktuální témata, o kterých by ochránce dat před lety ani nenapadlo uvažovat? Lze odhadnout, kam se bude vývoj ubírat?
Změn vidím spoustu. Vybral bych tři nejdůležitější.
Po přijetí obecného nařízení o ochraně osobních údajů (GDPR) začala být pravidla pro zpracování osobních údajů brána více vážně. Samozřejmě ne vždy a všemi, v soukromé sféře i na straně státu či samospráv, najdeme řadu momentů, kdy šla ochrana údajů a soukromí více či méně stranou. Ale obecně je ochrana osobních údajů téma, kterému je v praxi věnována významně větší pozornost, než tomu bylo třeba před 10 lety.
S tím souvisí skutečnost, že teorii i praxi ochrany osobních údajů se věnuje daleko více lidí. Roste znalost, zkušenost a profesionalismus. I v České republice už máme poměrně velkou skupinu lidí, kteří se dennodenně zabývají relativně složitou právní úpravou využití informací. Ti se mohou hodit, až začneme řešit přicházející velmi komplexní regulaci sdílení a využití dat, jejich zpracování prostřednictvím nástrojů umělé inteligence atd.
A třetí výrazná změna je spojena s technickým rozvojem. Získání, utřídění, využití nebo zpřístupnění velkého počtu (osobních) údajů je dnes nesmírně snadné a levné. Skoro každý z nás nosí v kapse velmi kvalitní kameru spojenou s počítačem, množství zpracovávaných dat se násobí a přibývá také dostupných nástrojů pro využití dat. S tím souvisí i rostoucí hrozby, resp. rizika zneužití osobních údajů. Ať už ve formě útoku na jednotlivce, obchodní společnost, veřejnou korporaci, nebo na stát. A takovýchto útoků bude stále více.
Velmi aktivně seznamujete veřejnost s novinkami v oblasti ochrany osobních údajů, upozorňujete i na rozhodování jiných dozorových úřadů. Jaký je váš názor na diametrálně odlišné výše pokut v jiných státech? Český dozorový úřad obvykle uděluje pokuty řádově ve výši deseti tisíců korun, zatímco například francouzský úřad se neobává udělovat pokuty ve výši několika milionů eur.
A nejen francouzský. Pokuty dosahující stovek tisíc či milionů euro udělují i úřady v Rakousku, Polsku, Německu, Itálii, Nizozemí atd.
Proč český úřad takto vysokou pokutu zatím neudělil? Nevím, zjevně k tomu nebyl důvod. Pokuty jsou jen jednou z možných reakcí na zjištěný nedostatek, porušení GDPR. Neméně důležité, často důležitější, je uložit vhodné nápravné opatření, aby k porušování pravidel dále nedocházelo.
Nepochybuji o tom, že pokud by Úřad pro ochranu osobních údajů zjistil závažné porušení regulace s výrazným negativním dopadem do práv a svobod většího počtu lidí, pokutu v řádu desítek či stovek milionů korun by také „uměl“ uložit.
V současné době pracujete jako poradce a konzultant v oblasti compliance a řízení rizik, zejména v projektu Partners Banky. Jak do toho zapadá ochrana osobních údajů?
Baví mě hledat přesahy ochrany osobních údajů do dalších oblastí a témat.
Jinak řečeno, baví mě hledání možností, kdy lze jeden postup, řešení nebo proces využít vícekrát, a to v oblastech od ochrany osobních údajů přes kybernetickou bezpečnost až po obecné řízení rizik nebo nastavení konkrétního compliance programu ve finanční instituci.
To zní velmi prakticky…
Ano. Je to jednak zajímavé a také praktické. Organizace by se měla chránit před řadou rizik a plnit mnoho právních a regulatorních povinností. Stojí to čas, kapacity a energii. Proto se snažím hledat cesty, jak to dělat chytře a efektivně.
Ale abych zodpověděl celou otázku, ochranu osobních údajů je možné, nebo spíše nutné, zasadit do celkového kontextu toho, jak chce ta která organizace zajistit ochranu informací, chránit své klienty a zaměstnance, plnit právní požadavky a řídit rizika, kterým čelí. Izolované řešení různých, zdánlivě nesouvisejících oblastí (ochrana osobních údajů, kybernetická bezpečnost, ochrana spotřebitele, řízení dodavatelů atd.) je nutně drahé, komplikované a plodí chyby. Platí to jak pro velkou obchodní korporaci, tak pro začínající firmu, start-up, obec, zdravotnické zařízení či školu.
Má právní úprava ochrany osobních údajů v České republice nějaké nedostatky? Často se zpochybňuje „osvobození“ veřejného sektoru od finančních sankcí. Kam by měla mířit případná novela zákona o zpracování osobních údajů, abychom „drželi krok“ s jinými státy?
V zákoně o zpracování osobních údajů, který doprovází GDPR a také transponuje směrnici o zpracování osobních údajů při bezpečnostních agendách, najdeme jistě několik zajímavých a pozitivních bodů. Plošné vyjmutí veřejného sektoru z možnosti ukládání finančních sankcí mezi ně ale neřadím.
Proč?
Tato obecná „imunita“ nebyla při legislativním procesu racionálně odůvodněna. Je nekoncepční, takto obecné vyjmutí veřejného sektoru z možnosti uložit správní sankci v České republice neexistuje v žádné jiné oblasti práva. Je nespravedlivá a značně na pomezí ústavní zásady rovnosti. A neodpovídá ani naší zkušenosti, když historicky nejvyšší pokuty za nejzávažnější porušení pravidel pro zpracování osobních údajů český úřad velmi často ukládal právě státu, resp. různým ministerstvům.
Pokud bych měl jmenovat jednu věc, kterou bych rád v českém právu v oblasti ochrany osobních údajů změnil, tak by to bylo právě tato.
Před několika týdny jste se spoluautory vydal knihu Kybernetický bezpečnostní incident 3D: IT, právo a compliance. Proč právě toto téma?
Kybernetické incidenty a útoky se týkají úplně každého, každé veřejné i soukromé organizace, velké i malé, i každého jednotlivého člověka. A mají řadu různých souvislostí a přesahů, od technických přes právní až po procesní dopady. Proto jsme publikaci pojali jako komplexní 3D pohled. Proto jsme s dalšími autory, Vlastimilem Červeným a Dominikem Vítkem, pojali téma předcházení a řízení kybernetických bezpečnostních incidentů právě z těchto tří hlavních úhlů pohledu. A snažíme se nabízet praktická řešení, jak kybernetické incidenty řešit i s omezenými zdroji a jak třeba využít další nástroje, postupy a procesy, které už daná organizace zavedla.
Strávil jste s ochranou osobních údajů mnoho let. Od doby, kdy se lidé na první právní úpravu dívali s nedůvěrou, až po současnost, kdy zkratka GDPR je jednou z nejpoužívanějších ve všech oborech. I přesto se na ochranu osobních údajů mnoho lidí dívá s despektem jako na zbytečnou věc. Kdybyste se mohl vrátit v čase, věnoval byste se této oblasti znovu nebo byste zamířil jinam?
Určitě nelituji, že jsem si před lety vybral ochranu osobních údajů jako své téma. Je to široká a zajímavá oblast, ovlivňuje mnoho situací v lidském životě, má přesah do řady dalších oblastí práva, týká se každé organizace, má silný vztah k moderním informačním a komunikačním technologiím.
Ve zkratce – praxe v oblasti zpracování a ochrany dat obsahuje řadu možností, novinek a výzev. A právě to je ten důvod, proč bych neměnil.
František Nonnemann: Pracoval deset let na Úřadu pro ochranu osobních údajů, naposledy v pozici vedoucího právního oddělení. V letech 2016–2019 působil v MONETA Money Bank, a.s., kde vedl tým zabývající se především ochranou osobních údajů včetně implementace GDPR do všech procesů Skupiny MONETA. V letech 2019–2021 působil ve společnosti MallPay, s.r.o., kde zajišťoval celou oblast compliance a řízení nefinanční rizik. Na konci roku 2021 se zapojil do projektu založení nové banky (Projekt Partners Banka) a podílí se na vytvoření procesů pro řízení compliance a dalších operačních rizik. Věnuje se i publikační a přednáškové činnosti, a to jak v České republice, tak i v zahraničí. Je mj. spoluautorem prvního českého komentáře k obecnému nařízení o ochraně osobních údajů (GDPR), komentáře k novému zákonu o zpracování osobních údajů, monografie Kybernetický incident 3D: IT, právo a compliance a řady odborných článků.
Zdroj: Dpopro.cz Premium