Ministerstvo práce a sociálních věcí, ministerstvo vnitra a Česká správa sociálního zabezpečení porušili zákon o ochraně údajů, když odeslali balíčky s rouškami a respirátory do několika milionů českých domácností. Za hromadné porušení zákona ale žádná pokuta nepadne. Zákonodárci totiž pokutování orgánu veřejné správy v minulosti zakázali zákonem. Hostem Radiožurnálu byl Jan Vobořil, výkonný ředitel a advokát organizace Iuridicum Remedium.

Tento článek je více než rok starý.

Rozhovor Praha 20:02 29. října 2021 Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít

Jak závažné porušení zákona to z vašeho pohledu bylo?
Tam je samozřejmě zajímavé především to množství těch lidí, kterých se to týkalo. Skutečně šlo o miliony lidí. Jejich údaje byly zapsány v evidenci obyvatel a z evidence obyvatel byly neoprávněně předány za účelem rozesílání roušek. To znamená - nejsou to zase tak citlivé údaje, ale týká se to opravdu velkého množství lidí.

Roušky a respirátory rozesílala vláda seniorům a zdravotně hendikepovaným. Tím způsobem vytvořila databázi lidí, kteří spadají do těchto kategorií a tu pak poskytla české poště. Vidíte v tom nějaké nebezpečí? Dalo by se taková databáze nějak zneužít?
Je to samozřejmě databáze, která částečně vypovídá o věku těch lidí, částečně vypovídá třeba i o tom, že mají nějaké zdravotní postižení, což je samozřejmě ještě citlivější údaj.

V čem vidím riziko, je především způsob, jakým k tomu ta ministerstva, respektive Česká správa sociálního zabezpečení, přistoupila. Prostě neřešili, jestli tady mají nějaký právní důvod a jestli je to podle zákona, a ta data poskytli. To je podle mě velmi varující zejména do budoucna. V kombinaci s tím, že zákon skutečně neumožňuje tyto státní instituce, respektive orgány veřejné správy pokutovat, to považuji za velmi nešťastné. Zejména pokud porovnáme ty pokuty, které hrozí za porušení GDPR v soukromém sektoru.

Milionové pokuty

Kdyby toto udělala soukromá firma, jaký postih by jí hrozil?
Tam se to samozřejmě odvíjí také od velikosti té firmy a podobně, ale nepochybně by padly nějaké milionové pokuty.

Rozesílání roušek před volbami bylo v rozporu se zákonem. Úřady neoprávněně použily osobní údaje

Číst článek

Co by musely úřady a ministerstva udělat a doložit, aby mohly takto rozsáhlou databázi vytvořit a akci spustit?
Především musí mít každé zpracování osobních údajů nějaký právní důvod, respektive musí být založeno na nějakém právním titulu. Může to být souhlas, ale obvykle to bývá spíše plnění jakési zákonné povinnosti, případně zpracování za účelem plnění něčeho, co ukládá danému úřadu zákon.

V tomto případě Úřad pro ochranu osobních údajů nic takového nenalezl, takže tam právní titul chyběl. Zde si dokážu představit, že zřejmě v té době mohlo být vydáno například nějaké mimořádné opatření ministerstva zdravotnictví, které by toto řešilo, ale nic takového se nestalo.

Když tedy chce stát něco dát nějaké skupině lidí a pošle jim to poštou, tak to u nás nemá právní základ?
Tam jde o to, že vytvořil novou databázi, kterou vytěžil ze svých stávajících databází a vymyslel úplně nový účel, ke kterému tu databázi bude vyvíjet. Zde prostě nebyla žádná právní úprava, která by toto upravovala a to je v rozporu s GDPR.

Česká pošta svěřené údaje už smazala a dál s nimi nepracuje. Je toto dostatečné opatření?
Samozřejmě pokud jde o nějaká rizika do budoucna a databáze už v tuto chvíli neexistuje, tak je to dostatečné opatření. Nic to ale nemění na tom, že k tomu porušení došlo v minulosti.

Amazon dostal od Evropské unie pokutu 746 milionů eur kvůli předávání osobních údajů

Číst článek

Ojedinělý případ?

Proč vlastně nelze orgánům veřejné moci za takové porušení zákona udělit sankci tak jako by jí dostala třeba soukromá firma?
Toto bohužel vyplývá z toho, co schválili zákonodárci v rámci zákona o zpracování osobních údajů, kdy vlastně veškerou veřejnou správu vyjmuli z možnosti ukládat jí sankce za porušení.

Původně záměr plynul z toho, že měly být vyjmuty obce, ale nakonec se to zřejmě jakýmsi nedopatřením vztáhlo na všechny orgány veřejné správy. Teď bohužel sklízíme plody této dle mého názoru velké chyby a skutečně například i chyby ministerstva vnitra, které má nepochybně odborný aparát k tomu, aby dokázalo zhodnotit legálnost takových kroků.

Jaké to mělo zdůvodnění, že z toho měly být vyjmuty obce a nakonec jsou z toho vyjmuty úřady?
To původní odůvodnění bylo u menších obcí, kterému já celkem rozumím, protože v tu chvíli malé obce neměly odborný aparát na to, aby se popasovaly se všemi požadavky GDPR. Vysoké sankce, které jim hrozily za porušení, mohly být vnímány velmi negativně.

Rok s GDPR: přetrvávající nejistota, víc stížností na porušování pravidel a osm pokut

Číst článek

Nicméně myslím, že už máme dva roky od doby, kdy začala účinnost GDPR a není důvod, aby tato situace dál trvala.

Byl to ojedinělý případ nebo úřady zákony porušují častěji, speciálně tedy zákony o ochraně osobních údajů?
Zrovna právě u ministerstva vnitra došlo před dvěma lety k velkému úniku dat, rovněž z evidencí, kterou ministerstvo vedlo. Byly to desítky tisíc lidí. Nepochybně by to byla zase věc, která by byla sankcionována milionovými pokutami, ale už tehdy nebylo možné ministerstvo sankcionovat. Myslím, že toto je skutečně velký problém, který by se měl řešit.

Věra Štechrová Sdílet na Facebooku Sdílet na Twitteru Sdílet na LinkedIn Tisknout Kopírovat url adresu Zkrácená adresa Kopírovat do schránky Zavřít