Článek
Úřad pro ochranu osobních údajů eviduje 130 podání na zveřejnění osobních údajů. Co na to říkáte?
Také mi vadí, když někdo nakládá s mými daty jinak, než jsem si myslel. Otázkou je, jestli s nimi nakládá v rozporu se zákonem. Což podle mě není tento případ. Pokud zákonná povinnost hovoří o zveřejňování seznamu schránek se všemi informacemi, tak je zákonná povinnost špatně nastavena a musí se to změnit. Měli bychom být v informovanosti občanů velmi důslední.
Co přesně budete upravovat v novele, aby bylo lépe chráněno soukromí fyzických i právnických osob?
Do konce dubna bychom chtěli předložit novelu zákona. Bavil jsem se se zástupci opozice a věřím, že by to mohlo projít rychle. Bude to drobná změna, aby došlo k jisté redukci u právnických osob. Jediný údaj, který u nich určitě musí být zveřejňován, je IČO. U fyzických osob jsou možnosti různé. Prvním krokem by bylo, aby fyzické osoby tam vůbec nebyly a byla tam možnost „opt-in“.
Tedy možnost zvolit si, zda chcete v seznamu být?
Ano, pokud chcete, aby váš záznam byl v seznamu majitelů datových schránek, tak byste měl říci, že to tak chcete. Pak zredukovat údaje přinejmenším podle toho, jaké jsou potřeba k identifikaci majitele každé jednotlivé datové schránky.
Třeba obchodní rejstřík zveřejňuje trvalé bydliště, a dokonce i datum narození. Ale to jsou pak věci, které jsou v gesci jednotlivých resortů, a pak by ta změna musela být výrazně větší.
Lidé už napadají zveřejnění jmen a adres držitelů datových schránek
Proč jste zákon neupravili dřív? Zveřejňování v menším měřítku je tu od roku 2009.
Do té doby to nikdo nevnímal jako problém. Třeba rejstřík ARES u podnikajících osob ty informace v sobě má taktéž. Datové schránky jako takové, které provozuje Česká pošta (spadající pod ministerstvo vnitra), pod svou správu od dubna převezme Digitální informační agentura (DIA). Takže i z pohledu mě jako místopředsedy vlády pro digitalizaci to do té doby nebylo zcela resortní, že bych kromě implementace řešil všechny aspekty datových schránek.
U zveřejňování údajů tu byla zákonná povinnost už dlouho, jen v té masovosti to ukázalo, že může mít negativní aspekty. Ty chceme řešit, jakmile to bude možné.
Budete režim opt-in, tedy možnost zvolit si, zda chci v nějakém rejstříku být, převádět i na další podobné seznamy?
Když se projednávala legislativa, která umožňuje sdílení lékových záznamů i lékárnám, bylo prosazeno, že se to automaticky zveřejňuje a vy se z toho můžete vyvázat. Já si myslím, že ten princip je špatný. Ostatně jsem proti němu tenkrát jako opoziční politik vystupoval i hlasoval.
U lékových záznamů to může mít jisté dopady, protože někdo nemusí chtít, aby lékárník, ke kterému chodil, věděl, že zároveň bere nějaké prášky na chorobu, která je například stigmatizovaná. Člověk by měl informovaně souhlasit a je na těch, co to zavádí, aby dobrou argumentací občany přesvědčili, aby do toho šli. Princip dobrovolnosti by měl být jeden z hlavních principů, byť z pohledu čísel, kolik lidí do systému v danou chvíli dostanete, bude výrazně menší.
Bylo zveřejnění údajů fyzických osob v souladu se zákonem?
Podle informací, co mám, jsem přesvědčen, že to nebylo v rozporu se zákonem. Spíš si lidé neodklikli, že si nepřejí, aby ve zveřejněném seznamu byli. Na to bude mířit ta revize a uvidíme, jaké jsou ty údaje, které jsou nezbytně nutné. Určitě jdou udělat i rychlé úpravy v přístupu k celým datovým sadám. Uděláme brzy patrně další technické úpravy.
Jak by stát měl dosáhnout kompromisu mezi větší otevřeností a digitálností dat, ale zároveň ochranou soukromí, aby nedocházelo k bezpečnostnímu riziku?
Stát i po implementaci GDPR si je vědom nutnosti ochrany osobních dat a nenakládá s nimi ledabyle. Rozhodně bych tak neoznačil tu věc s datovými schránkami. Spíš je to nešťastné nastavení celého systému.
Pokud je občan osoba podnikající nebo má eseróčko, má povinnost pro dané rejstříky poskytovat některé informace, a některé z nich jsou vyhledatelné a je to správně. Ať jsou to sídla firem, to, kdo je jejich jednatelem, majitelé nemovitostí, a další.
Není to vždy optimální, ale na stát by měla být větší přísnost i ve věcech GDPR. Komerční subjekty jsou mastně pokutovány, což je správně, ale instituce státu, které nakládají třeba s daleko většími objemy dat, u nich, v případě zcizení nebo nedodržení povinností GDPR, byly pokuty nízké. Přitom povaha osobních dat je stejná.