Mezi státními úřady byl dosud brán za popelku, o které se moc nemluví a příliš se do ní neinvestuje. S pátečním startem nových pravidel ochrany soukromí v rámci GDPR se ale důležitost Úřadu pro ochranu osobních údajů (ÚOOÚ) podstatně zvyšuje. Všechny firmy a státní organizace mu budou muset doložit, že zabezpečení dat berou vážně, údaje lidí nezneužívají a jejich možné úniky se nesnaží ututlat. Jinak jim hrozí až stamilio­nové pokuty.

Mnohé podniky se proto dosud přehlíženého úřadu obávají. Jeho šéfka Ivana Janů se je ale snaží uklidnit. "Nebude to tak, že bychom 26. května ráno rozjeli sérii kontrol v nějakých vytipovaných firmách. Naše práce se nijak zásadně nezmění," říká Janů, která dodává, že podniky, které už dosavadní český zákon na ochranu osobních údajů dodržují, se nemají čeho bát.

Janů v sobě nezapře dlouholetou ústavní soudkyni. Připomíná, že právo na soukromí je jedním ze základních lidských práv a po aféře se zneužitím milionů dat na Facebooku bychom ochranu údajů neměli podceňovat.

Ivana Janů (72)

Vystudovala Právnickou fakultu Univerzity Karlovy, za komunismu působila jako podniková právnička. Mezi lety 1990 a 1992 byla poslankyní za KDU-ČSL. Poté se stala soudkyní Ústavního soudu. Na něm pracovala mezi lety 1993 až 2002 a dále od roku 2004 do roku 2014. Úřad pro ochranu osobních údajů řídí od roku 2015.

HN: Proč nyní Evropská unie ochranu dat posiluje?

Současná pravidla ochrany osobních údajů v zemích EU platí necelých 20 let a každý stát si je do značné míry stanovuje sám. To ale dosud komplikovalo bezproblémový pohyb přes hranice.

Obecné nařízení neboli GDPR evropskou legislativu v ochraně dat sjednocuje. Lidé i firmy putující přes hranice se už nebudou muset seznamovat se specifickými pravidly každé země. Postačí jim znát jednotné celounijní nařízení. Málo se mluví o tom, co tím získá byznys, ale úspory se odhadují až na 2,4 miliardy eur.

HN: Podniky si ale stěžují na zvýšené náklady, které jim GDPR přináší.

Firmy si vždycky budou na něco stěžovat. Já si ale myslím, že případ Facebooku a společnosti Cambridge Analytica ukazuje, že GDPR přichází v pravou chvíli. Není přece možné, aby se v nechráněném internetovém prostoru zneužívaly údaje lidí k ekonomickým a politickým účelům. Firmy o vás nesmí vědět všechno, aby vás byly schopné zblbnout, přesvědčit vás o něčem na základě vašich slabin.

Zástupcům byznysu musím připomenout, že pravidla pro ochranu soukromí v Česku platí už od roku 2000. Málokdo o nich ale věděl a dodržoval je.

HN: Jak se díváte na připravenost českých společností? Průzkumy ukazují, že řada z nich ještě o GDPR ani neslyšela.

Deklarace o nepřipravenosti nahrávají podnikání, které se na GDPR navěsilo. Normálně by nebylo nic špatného na tom podat pomocnou ruku a firmy školit, ale ochrana osobních údajů je tak specifická a tak málo se doposud řešila, že tu nejsou poradenské podniky, které by byly schopné firmy v této oblasti náležitě školit.

Mnohdy proto žasneme, co se za drahé peníze společnostem nabízí. Různí poradci jim často jen předčítají komplikovaný text GDPR, v čemž žádná přidaná hodnota není.

Firmy by se především měly podívat, zda má poskytovatel služeb nějakou znalost v této oblasti. No a pak také sledovat, za kolik své služby nabízí a zda nejde o přehnanou sumu.

Za jedno školení k GDPR se běžně platí třeba čtyři a půl tisíce korun. Lidé z našeho úřadu je dělali zadarmo a museli v nich přitom korigovat různé nepřesnosti, které se zástupci podniků a dalších organizací od komerčních školitelů dozvídali.

HN: Mluvili jsme o nepřipravenosti firem. Mají ještě čas udělat nějaké rychlé změny, aby dokázaly nové podmínky ochrany dat naplnit?

Pokud se nezačaly připravovat s předstihem, tak teď už to nedoženou. Nařízení sice vstupuje v účinnost zítra, je ale třeba dodat, že v platnosti je už dva roky. To je doba, která byla na přípravy vyhrazena, takže času byl dostatek. Nicméně lépe pozdě než nikdy.

HN: Co mohou podniky očekávat od vašeho úřadu?

Naše práce se nijak zásadně nemění. Myslím si, že úřad je považován za seriózní instituci. Uvědomujeme si obtížnost GDPR, na druhou stranu ti, kteří dodržovali dosavadní zákon na ochranu osobních údajů, nemohou mít s evropským nařízením problém.

HN: Takže se od vás nedá očekávat větší shovívavost k těm, kdo nebudou zcela připraveni? Velké obavy vzbuzují maximální pokuty, které z GDPR vyplývají. Mohou dosahovat až 20 milionů eur. Budete takové sankce udělovat?

Lidé, kteří si text nařízení ani neprostudovali, se najednou začali bát, že firmám budeme dávat i takto vysoké pokuty. Osmnáctiletá praxe tohoto úřadu je ale jiná. Maximální sankce, kterou zmiňujete, se bude týkat velkých nadnárodních společností. Běžně ale dáváme nižší částky. Loni jsme na pokutách udělili celkem 6,5 milionu korun.

My jsme nikdy firmy či obce neničili pokutami. Spíše jsme jim ukládali nápravná opatření, aby se s ochranou osobních údajů naučily pracovat.

Sankce proto budeme dávat podle toho, zda ve firmách bude snaha včas oznámit únik dat jak nám, tak poškozeným, aby se eventuální škoda snížila. Budeme se dívat na to, zda se společnost snažila takovému incidentu zabránit dostatečným zabezpečením. Pokud ale žádné zabezpečení neměla, tak je pak těžké pokutu neudělit. GDPR nově stanovuje, že sankce mají být pro ostatní výstrahou.

HN: Několikrát jste zmínila, že dosavadní pravidla ochrany dat se příliš nedodržovala. Možná proto jsou teď někteří z GDPR zaskočeni. Není ale chybou vašeho úřadu, že současný zákon dostatečně nevymáhal?

Stát vytvořil tento úřad, vybavil jej určitými kompetencemi a rozpočtem a úřad podle toho koná. Zdá se, že v minulosti bylo pohodlnější mít úřad spíše slabší než silnější. Já jsem se snažila, abychom získali nějakou pořádnou finanční injekci, ale marně.

HN: Čili jste neměli dost peněz na kontroly. Jak to bude teď po startu GDPR, kdy důležitost úřadu vzroste?

Řeknu to tak: irský úřad na ochranu údajů, který dohlíží na srovnatelný počet obyvatel, dostal na GDPR 100 milionů eur, rozpočet mu navýšili o 55 procent. Já jsem si řekla o navýšení rozpočtu 4,5 milionu v korunách a na letošek jsem dostala 3,5 milionu a pět lidí k tomu. Příští rok bychom měli navíc dostat jeden milion.

To jsou ale všechno peníze, které nám slouží hlavně k tomu, abychom zvedli platy a udrželi naše lidi. V soukromé sféře si jako pověřenci pro ochranu osobních údajů mohou vydělat i dvojnásobek, což je nabídka, které pochopitelně každý neodolá.

HN: Nehrozí s nedostatkem peněz, že úřad nebude stíhat provádět preventivní kontroly a některá zneužití dat zůstanou nepotrestaná?

To ukáže až čas. Možná, že ještě nějaké peníze a lidi navíc získáme. Úřad zatím kolem GDPR udělal maximum možného, faktem ale je, že jedeme z posledních sil.

HN: Jak velký je problém, že český zákon, který má nová pravidla ochrany dat zpřesnit, ještě nebyl schválen?

Myslím si, že to není problém pro firmy, zvláště pro ty, jež neprovádí rizikové zpracování osobních údajů. Problém to bude především pro náš úřad v oblasti udělování pokut.

GDPR umožňuje, aby národní zákonodárci uznali, zda a jaké pokuty může stát uvalovat na obce, ministerstva a další státní úřady a také neziskové organizace. Dokud ale národní zákon nebude, tak mohou v této oblasti panovat nejasnosti. I to se ale dá vyřešit tím, že pokuty pro veřejné instituce zatím ukládat nebudeme.

HN: V Česku zaznívají hlasy, že zvýšenou ochranu soukromí nepotřebujeme. Není zavádění nařízení jako GDPR přehnaným paternalismem?

Soukromí je základní lidské právo. To znamená, že i kdybychom na jeho ochranu neměli GDPR nebo tento úřad, musely by se jím zabývat soudy.

Vezměte si třeba obec, která bude své občany neoprávněně sledovat kamerami. Lidé se mohou cítit poškozeni, dát věc k soudu a tam si mohou nějaké odškodnění vysoudit. Jenže v takovém případě vyplatí tisícové náklady za advokáty a celé se to bude táhnout i několik let. Když ale máme GDPR a úřad, který na ochranu soukromí dohlíží, tak se lidé obejdou i bez právníka. Mohou k nám stížnost podat bezplatně a posouzení se dočkají relativně rychle v řádu měsíců.