PŘEDSEDA ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ KAREL NEUWIRT: „Úřady a instituce nesmějí chtít víc údajů, než potřebují,“ říká předseda Úřadu pro ochranu osobních údajů. A všechny firmy, které nemají ze zákona povolení k využívání rodných čísel klientů a obchodních partnerů, je budou muset ze svých databází vymazat.
Předseda Úřadu pro ochranu osobních údajů Karel Neuwirt „Ani úřady a instituce nesmí chtít víc údajů, než potřebují“ říká předseda Úřadu pro ochranu osobních údajů. A všechny firmy, které nemají zákonné zmocnění k využívání rodných čísel, budou muset do konce roku ze svých databází rodná čísla klientů vymazat. * Proč města nesmí zveřejňovat seznamy neplatičů nájemného? Neumožňuje jim to žádný právní předpis. Ani zákon o ochraně osobních údajů, ani zákon o obcích. A není možné, aby si kdokoli, ať už obec nebo někdo jiný, vymáhal právo nějakým vlastním opatřením. I v obchodním styku platí, že pokud se věřitel nedostane k pohledávce, musí se obrátit na soud. * Je takto nezákonné i zveřejnění dalších seznamů dlužníků, které si vedou třeba banky nebo jiné instituce?Takový seznam včetně osobních dat si nepochybně mohou vést pro vlastní potřebu, ale nesmí ho zveřejnit na internetu, nějaké veřejné vývěsce, na billboardu či ve výkladní skříni. * Jak je možné, že například v obchodním rejstříku nebo na katastru nemovitostí, což jsou veřejně přístupné dokumenty, stále ještě najdeme jména, adresy i rodná čísla zapsaných osob?Tyto registry jsou zřízeny zvláštními zákony. Tyto zákony přesně stanoví, jaké údaje v nich mají být a k jakému účelu slouží. * Není v nich rodné číslo zbytečné?Jeho uvedení stanovil zákon, takže občan musí respektovat, že se rodné číslo v těchto registrech objeví. Náš úřad se přesto domnívá, že by bylo lepší, kdyby některé údaje, mezi nimi například rodné číslo, nebyly veřejně přístupné. Aby se k nim zájemce dostal pouze a teprve v případě, kdy prokáže určité oprávnění - právní zájem, proč je chce zjistit. To je ale složité. K tomu, aby k takové změně došlo, by bylo potřeba změnit zákon, a náš úřad nemá legislativní iniciativu, a tedy pravomoc takovou změnu zákona navrhovat. * Které další údaje by tam podle vašeho názoru neměly být?Bylo by žádoucí, aby všechny veřejné rejstříky, seznamy, které vznikly už dřív, se nyní z pohledu ochrany osobních údajů revidovaly. Pro úřady, například živnostenské, jsou samozřejmě uváděné údaje potřebné, pokud chtějí odpovědně udělovat oprávnění k podnikání. A ani my nenavrhujeme, aby se některé údaje z registrů vyřadily, ale aby byly skryté. Čili aby nebyly v celém svém rozsahu volně přístupné pro širokou veřejnost. * Je ve světě běžné, že existují veřejně přístupné databáze s osobními daty?V zemích, které můžeme z hlediska ochrany osobních dat považovat za vyspělé, to obvyklé není. Databáze tam nejsou tak široce přístupné jako u nás. K podrobnostem o majiteli nemovitosti, kterou kupujete, se tam například dostanete jedině prostřednictvím příslušné právní kanceláře. * Jakými pravidly se tyto databáze řídí?Shromážděné údaje především nelze použít k jinému účelu, než pro který byly získány. U katastru nemovitostí je například lze využít jen pro uspořádání majetkoprávních vztahů k nemovitosti. Čili nikoli jak je častou praxí v Česku také ke zjištění majetkových poměrů vlastníka nemovitosti. Z principu ochrany osobních dat je to špatná praxe, protože mohou posloužit k dehonestaci, účelovému poškození dané osoby. * Narážíte na to, jak tyto veřejné rejstříky „vytěžili“ novináři při zjišťování majetkových poměrů čelních politiků?Ani ne, protože i ve světě mají novináři obecně přístup k větší množině informací než běžný laik. Jisté výjimky pro žurnalistiku uvádí i evropská směrnice o ochraně dat. * Neprovinila se některá média, když zveřejnila Grossovu směnku s čitelnými údaji včetně rodných čísel aktérů?To, že tam rodné číslo je, není v rozporu se zákonem. Neodporuje mu ani zveřejnění směnky v médiích, protože šlo o fotografii dokumentu (předpokládám, že legálně získaného). Zřetelná rodná čísla v novinách nebo na obrazovce, jsou spíše otázkou etiky a podle našeho názoru by zveřejněný dokument nijak nepozbyl svou vypovídací schopnost, kdyby ta čísla a případně i adresy byly znečitelněné, jak tomu koneckonců v některým médiích i bylo. * Jak hodnotíte úroveň ochrany osobních dat v ČR?Příslušný zákon platí od roku 2000 a za tu dobu nepochybně nastal pokrok ve vnímání jeho potřebnosti, budování ochrany soukromí i respektování osobních údajů. V rámci Evropské unie jsme možná mezi přístoupivšími zeměmi nejdál, ale situace stále ještě není ideální. Proto nyní probíhá osvětová kampaň Úřadu; chceme znovu lidem vysvětlovat, jak je pro ně důležité, aby si svá osobní data chránili. * Zákon je nechrání dostatečně? I když máme jeden z nejpřísnějších zákonů, je třeba změnit myšlení lidí. Například úřadům a institucím jsou zvyklí poskytovat vyžádané údaje bez větších protestů, protože byli vychováni v totalitním režimu, který nerespektoval právo na soukromí a ochranu jednotlivých osob.Změnit chování lidí není snadná ani krátká procedura. A ani úřady, které shromažďovaly a uchovávaly mnohá osobní data třicet, čtyřicet let nejsou ochotny je nyní vymazat nebo omezit jejich počet. * Mohlo by se v zahraničí stát, že by někdo přišel s nápadem, aby vězni přepisovali zvukové záznamy ze soudních jednání?Požádal o to pražský městský soud, který uvádí jako důvod snahu o zrychlení těch přepisů a finanční efekt. My jsme se k tomu vyjádřili v tom smyslu, že by šlo o velké riziko porušení ochrany osobních údajů, protože nelze technicky ani organizačně zajistit, aby přepisované údaje nemohly být jakkoliv zneužity. * Které instituce podle vás vyžadují zbytečně mnoho osobních údajů?Máme praktické zkušenosti, že řada institucí či státních orgánů shromažďuje obsáhlé databáze o žadatelích o nějaké dotace, příspěvky nebo podpory. Přitom pro rozhodnutí o přidělení této podpory požadují naprosto nepodstatné informace. Zabývali jsme se například stížností, že na dotazníku o přidělení pomůcky pro zdravotně postiženého vyžadovala příslušná instituce velmi detailní údaje o soukromí. Přitom bylo z jeho zdravotní dokumentace evidentní, že jde o neslyšícího a že tím je jeho žádost o naslouchátko zcela oprávněná. V dotazníku přitom musel vyplnit například, jaké má doma obrazy, a organizace se dokonce dožadovala vstupu do jeho bytu. * Kde na zbytečné požadavky narážejí podnikatelé?Zákon o ochraně osobních údajů chrání soukromé osoby, tedy nikoli právnické osoby či podnikatelské subjekty. Čili informace o firmách zákon neupravuje. Ale měl by zamezit, aby někdo požadoval detailní informace o osobách, které jsou reprezentanty firem, informace o jejich soukromém životě. A to je například problém obchodních nebo živnostenských rejstříků, kde by měla být chráněná například soukromá adresa podnikatele. * Dostáváte stížnosti na banky?Banky mohou ze zákona shromažďovat osobní údaje o klientech, aby mohly posoudit bonitu klientů a předešly rizikům při poskytování úvěrů. My jsme docílili pouze toho, že nesmí evidovat takzvané citlivé údaje, tj. například o zdravotním stavu nebo náboženském vyznání klientů. A bojujeme proti tomu, aby shromažďovaly informace o třetích osobách a ponechávaly si v databázích údaje o osobách, kterým nakonec požadovaný úvěr nebo službu neposkytly. Tady vidíme, že je třeba finanční sektor ještě kultivovat a nastavit ve vztahu poskytovatel služby – klient vyváženější, nebo řekněme čestnější prostředí. Nicméně se setkáváme s tím, že banky pro konkrétní službu vyžadují po klientech nepřiměřený rozsah osobních informací. * Co znamená vyváženější vztah?Když si třeba vezmete leasing za padesát tisíc a oni po vás chtějí údaje vašich příbuzných do třetího kolena, tak samozřejmě těžko hovořit o vyváženosti nastavovaného vztahu. Nebo se dovolávají eliminace svých rizik, ale druhé straně, klientovi sami neposkytují informace o tom, jak budou údaje zpracovávány. Čili finanční instituce si lustruje klienta ze všech stran, ale on sám tuto možnost, získat poznatek o korektnosti finanční instituce, prakticky nemá. * Vystavuji se nebezpečí postihu, když bance sdělím osobní údaje společníka ve firmě?Nevystavujete, protože se zákon netýká právnických osob. I když jde o osobu jako takovou, nevystupuje jako ryze soukromá, ale jde o představitele firmy. Musíte si však dát pozor, abyste o něm neposkytla jiné informace než ty, které souvisejí s jeho činností pro firmu. Vysvětlím to na svém vlastním příkladu: také za svou osobu nemohu vždy říct, že nic neřeknu. Jako předseda úřadu jsem představitel určité instituce, takže veřejnost má právo na nějaké informace o mé osobě. Ale nemusím jí svěřovat údaje o své rodině, příbuzných nebo dětech. * Jaké riziko podstupuji, pokud někomu lehkomyslně předám své osobní údaje?Poskytnete je třeba pro nesmyslné důvody, třeba když některý obchodní řetězec provádí průzkum spojený s ochutnávkou nebo rozdává marketingové dárečky. A chce „jen to“, abyste vyplnila nějaký dotazník. Vy dostanete hrníček, ale ta firma získá mnohonásobně víc. Pak se divíte, proč vás obtěžují nabídky firem, u kterých nevíte, jak na vás získaly kontakt. Neuvědomíte si, že si firmy vyměňují informace, poskytují databáze. * To může samozřejmě obtěžovat, ale vy mluvíte přímo o riziku…Jako příklad můžeme uvést společnost Vegas: Rozesílá nabídky s upozorněním, že jste vyhráli a o výhru se musíte přihlásit na určitém telefonním čísle. Samozřejmě vás nikdo korektně, tedy např. normálně čitelným písmem, neupozorní, že minuta vašeho hovoru stojí šedesát korun - a vy pak provoláte třeba tisícovku. A o žádné výhře samozřejmě nemůže být řeč. * Dá se dohledat, odkud vzala kontakty?Tady jsem zjistili, že to bylo z různých marketingových akcí. Horší ovšem je, že ta firma je skrytá, nelze ji najít a tím pádem ani potrestat. * Jsou tady i vážnější rizika, pokud někomu sdělím své rodné číslo?Rodné číslo je český národní identifikátor, kterým můžete propojovat různé databáze. Vezměte si, že nepotřebuji nic víc než toto číslo a mohu na jeho základě vytáhnout odjinud informace o vašem zdravotním stavu, o financích nebo o majetku. Některé marketingové kampaně jsou tak promyšlené, že si rizika ani neuvědomíte. Pokud při nich například poskytnete informace o vybavení domácnosti a někdo je získá a spojí je s tím, kde trávíte dovolené, nebo zda používáte bankovní kartu stříbrnou či zlatou a jaké potraviny nakupujete, je to pro vás nesmírně nebezpečné. * Myslíte, že jsou Češi tak důvěřiví?Když se vás někdo zeptá, jestli máte raději pivo nebo minerálku, máte pocit, že o nic nejde. Ale těch dotazů lze poskládat celou řadu a sestavit z nich profil dotazovaného. A to jsou věci, které jsou zneužitelné. Lidé by si skutečně měli dávat větší pozor, co komu o sobě sdělují. Měli by se naučit vážit si soukromí, což je obrovská hodnota, stejně cenná jako například zdraví. Boj za právo na soukromí se vede už několik století. Právo na soukromí vám zajišťuje,že nejste majetkem ani rukojmím státu, že s vámi nemůže manipulovat. I státní úřady se proto musejí naučit, že některé údaje o občanech mít nebudou. * Přesto detailní údaje požadují, například při sčítání lidu.Ano, vedli jsme spor se statistickým úřadem při posledním sčítání lidu domů a bytů. V dotazníku byla řada detailních informací, a byť ČSÚ se zaručujee, že je nezneužije ani nikomu neposkytne, zkušenosti z minulosti ukazují, že toto riziko nikdy nelze úplně vyloučit. Stalo se to i u nás: citlivé osobní údaje - konkrétně náboženské a národnostní informace ze sčítání z roku 1936 posloužily fašistům k identifikaci Židů. * Co jsou citlivé osobní údaje?Kromě již zmíněného zdraví vypovídají o národnostním, rasovém nebo etnickém původu, politických postojích, náboženství, členství v odborových organizacích atd. Přesně jsou vymezeny v zákoně. Na jejich zpracování se vztahují přísnější pravidla, a pokud to nedovoluje speciální zákon (třeba o poskytování zdravotní péče) je obecně zakázané je shromaždovat. * Rodné číslo nebo bydliště mezi ně nepatří?Ne. „Nebezpečnost“ rodného čísla je dána tím, že je to národní identifikátor, jak bylo řečeno, že se jeho prostřednictvím dají propojovat informace získávané z různých rejstříků a registrů. Vloni byla přijata změna zákona o evidenci obyvatel a rodných číslech, která zpřísnila pravidla, kdo a za jakých okolností smí rodné číslo vyžadovat a zpracovávat. Pokud by tedy někdo požadovat tento údaj ve vrátnici nějaké instituce, jak tomu bývala dříve běžně, dnes by už porušil zákon, a za to samozřejmě hrozí postih. Novela navíc stanovila, že organizace, které dosud rodná čísla ve svých evidencích využívaly a nyní nemají ze zákona výjimku je zpracovávat, je musí do konce letošního roku ze svých databází vymazat. * Týká se tato povinnosti i malých firem a podnikatelů?Vztahuje se na všechny firmy, protože rodná čísla nesmí podle zákona být například na smlouvách o nákupu zboží. * Jenže evidenční údaj DIČ, který živnostník uvádí na každé faktuře, je přece jeho rodné číslo…To je nepříjemné, ale zatím se nám to nepodařilo změnit. Snažili jsme se , aby Ministerstvo financí pochopilo obavy podnikatelů, aby strukturu DIČ změnilo, nebo aby tam alespoň nebylo celé rodné číslo, ale neuspěli jsme. Zákonodárci to vyřešili po svém – bez našeho vědomí a předchozího projednání uzákonili DIČ v původní podobě při projednávání zákona o správě daní a poplatků. Poslanec, který s návrhem přišel, argumentoval tím, že DIČ nikomu nevadí. * Budete s tím ještě něco dělat?Náš úřad nemá zákonodárné pravomoci, nemůže zákony měnit ani navrhovat. Může pouze upozornit na chybu, na rozpor s principy ochrany osobních údajů. V případě DIČ může například při opakovaném projednávání zákona o daních přesvědčit některého z poslanců nebo senátorů, aby navrhnul zrušení toho sporného ustanovení o konstrukci DIČ. * Za jakých podmínek mohou běžné firmy rodné číslo evidovat? Tedy, jak už bylo řečeno, pokud jim to umožňuje zvláštní zákon. Jinak jen tehdy, pokud mají od klientů souhlas. Není prostě možné, aby po vás někdo vyžadoval rodné číslo, když se třeba hlásíte do nějaké televizní soutěže. * Jaké sankce jim hrozí, pokud by rodná čísla ze svých firemních databází nevymazaly?Úřad začne od příštího roku provádět kontroly, na základě stížností občanů i vlastních zkušeností. V té době už může udělovat sankce, které v případě porušení zákona , mohou dosáhnout až 10 milionů korun.
RNDr. KAREL NEUWIRT - Je prvním předsedou českého Úřadu pro ochranu osobních údajů (ÚOOÚ) a tuto funkci zastává od 1. září 2000. Narodil se 7. října 1947 v Ostravě, v rodině středoškolského profesora. Vystudoval přírodovědeckou fakultu Univerzity Palackého v Olomouci, obor numerická matematika. V roce 1984 složil rigorózní zkoušky (RNDr.) z oboru informatika. Ochraně osobních údajů se věnuje dlouhodobě. Od roku 1995 je zástupcem země v expertní skupině pro ochranu dat Rady Evropy ve Štrasburku, v říjnu 2002 se stal jejím místopředsedou. Na konci roku 2003 byl zvolen prvním místopředsedou Poradního výboru, tedy nejvyššího orgánu Rady Evropy zabývajícího se ochranou osobních údajů. Před svým nástupem do funkce předsedy ÚOOÚ byl ředitelem odboru ochrany osobních údajů v Úřadu pro státní informační systém. Není a v minulosti nebyl politicky organizován.
*** ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ
Nezávislý orgán, který dohlíží na dodržování povinností při zpracování osobních údajů, vede registr povolených dat, přijímá podněty a stížnosti občanů na porušení zákona a poskytuje konzultace v oblasti ochrany osobních údajů. Jeho činnost se řídí zákonem o ochraně osobních údajů, který má zabránit neoprávněnému shromažďování, zveřejňování nebo jinému zneužívání těchto informací. Úřad uvádí, že při současném rozvoji informačních technologií je právo občana na soukromí dané Listinou práv a svobod stále více narušováno.