Internet nezapomíná. Co tam vložíte dnes, bude tam i za deset let. Buďte opatrní

Chraňte si své osobní údaje. Na toto doporučení se klade stále větší důraz, zvlášť v době rostoucí popularity sociálních sítí. Jasná definice, která by vymezovala, co všechno se pod tímto pojmem skrývá, však neexistuje, a to navzdory existenci mezinárodních úmluv a národních zákonů věnujících se této problematice, jak upozorňuje JUDr. Jakub Morávek, Ph. D., z Právnické fakulty UK v rozhovoru pro časopis iForum. Ten vychází 28. ledna, který byl vyhlášen Dnem ochrany osobních údajů.

Kdy se ve světě začíná hovořit o potřebě chránit osobní údaje? A z jakého důvodu?

Současný koncept práva na soukromí, z nějž vyrůstá ochrana osobních údajů, vychází z principů prezentovaných v článku Samuela Warrena a Louise Brandeise The Right to Privacy, který vyšel na konci 19. století. Právo na soukromí je zde označováno za nejkomplexnější právo ze všech, za právo nejvzácnější civilizovanému lidstvu. V článku prezentovaný koncept dále rozvinul Nejvyšší soud Spojených států ve třicátých letech 20. století, tedy v době, kdy v něm působil právě Brandeis. Odtud se zejména prostřednictvím judikatury vysokých a ústavních soudů šířil napříč západní kulturou v rámci jejího pojímání konceptu lidských práv.

Národní legislativy věnující se ochraně osobních údajů se začaly rozvíjet zejména po druhé světové válce, mj. v návaznosti na události světového konfliktu, kdy se ukázalo, že když se nashromáždí dostatečné množství údajů o lidech, například o jejich náboženském vyznání, je to velmi snadno zneužitelné.

Postupně se však začaly objevovat problémy. Každý stát nastavil trošku jiná pravidla, což vedlo ke vzniku administrativních překážek při přeshraničním kontaktu, zejména při pohybu zboží, služeb, pracovních sil a osob vůbec. Jako řešení této situace se nabízelo sblížení, ideálně unifikace právních úprav.

Prvními dokumenty směřujícími tímto směrem byla doporučení OECD (mezivládní Organizace pro hospodářskou spolupráci a rozvoj, sdružující třicet čtyři ekonomicky nejrozvinutějších států světa, založená v roce 1961, pozn. red.) ze 70. let 20. století, v nichž obsažené principy stojí v základu stávajících mezinárodních i národních úprav na ochranu osobních údajů. V 80. letech byla přijata úmluva Rady Evropy o ochraně osob se zřetelem k automatizovanému zpracování osobních údajů. V rámci Evropské unie je rozhodující směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů, která je u nás transponována zákonem o ochraně osobních údajů. Stávající úprava je však v současné době už nevyhovující. Posledních několik let tak EU připravuje nařízení o ochraně osobních údajů.

V jakém ohledu už směrnice EU nevyhovuje?

Problematická není ani tak směrnice sama jako spíše její transpozice a prosazování pravidel jednotlivými národními úřady na ochranu dat. Je zde značná rozmanitost, což způsobuje zejména nadnárodním korporacím a koncernům působícím ve více zemích EU problémy. Když si uvedeme příklad, mateřská organizace, která sídlí např. v Japonsku a v České republice má dceřinou společnost, si nemůže bez dalšího vyžádat osobní údaje zaměstnanců dceřiné společnosti. Potřebuje k předání souhlas. Koncern přitom funguje jako jeden celek, což stávající právní úprava neumí reflektovat.

Co si má člověk vůbec představit pod pojmem osobní údaj?

Otázka, co je to osobní údaj, není vyřešená ani v praxi Úřadu pro ochranu osobních údajů, ani na úrovni Evropské unie. Konečné vymezení tohoto pojmu nemáme. Bezesporu jimi jsou základní identifikátory – jméno, příjmení atd. Pojem je ale mnohem širší, nezahrnuje jenom informace o tom, jak se kdo jmenuje, ale i o tom, kdo je, kde byl, co tam dělal, v jakém stavu a s kým tam byl, jak byl oblečený, patří mezi to i informace, co člověk má či nemá atd. Osobním údajem je v podstatě jakákoli informace, která se vztahuje k soukromé sféře člověka. Buď je k němu přímo přiřaditelná, nebo je dotyčný na základě této informace společně třeba s dalšími informacemi ztotožnitelný.

Proč zákon o ochraně osobních údajů vešel v platnost až v roce 2000? Neměla Česká republika v tomto ohledu trošku zpoždění?

Už od roku 1992 tu byl zákon o ochraně osobních údajů v informačních systémech, který se věnoval této problematice. Řešil ji však jen v omezeném rozsahu. Problém byl zejména v tom, že tu nebyl žádný dozorový orgán, který by ochranu osobních údajů ve smyslu tohoto zákona nějak přímo reguloval nebo prosazoval. Směrnice EU a nyní i Listina základních práv EU však předpokládají nejen přijetí úpravy, ale i zavedení úřadu. Ten předpokládá i dodatkový protokol k úmluvě Rady Evropy. Reflexí této skutečnosti bylo přijetí stávajícího zákona o ochraně osobních údajů, který byl pak v roce 2004 v řadě bodů novelizován, aby více odpovídal evropskému rámci.

Vzhledem k závazkům vůči Evropské unii i vzhledem ke změně sociální situace a technologickému pokroku je třeba takovou úpravu mít. Sebelepší právní úprava, ani pokud je prosazována veřejnou mocí, však není samospasitelná. Právo vždy pokulhává za realitou, kterou reguluje. Ve světě moderních technologií to platí zvlášť. Nikdo nemá moc regulovat a ovládnout internet. O to více se zdá být důležité zvyšovat nároky na osobní odpovědnost, která je v tomto směru stěžejní.

Na co si má dávat člověk pozor v souvislosti s ochranou osobních údajů?

Opatrní by měli být lidé především při práci se sociálními sítěmi a zveřejňováním informací na nich. Kromě toho, že tam vkládají fotky, píšou tam také informace o tom, kde a s kým budou apod. To je velmi ošemetné. Úřad, potažmo stát mohou kontrolovat instituce, jak nakládají s osobními údaji druhých, nemohou však kontrolovat to, jak lidé sami nakládají se svými vlastními údaji.

Internet nezapomíná. Lidé dávají na síť informace, které třeba teď nemají žádný význam. Za několik let to ale může být úplně jinak. Jenže kdo má regulovat vás nebo náctiletého, aby některé věci nikde neuváděl a nezveřejňoval? Nový občanský zákoník pamatuje na to, že když si dítě chce něco nezměnitelně změnit na svém těle, musí k tomu mít souhlas svého zákonného zástupce. Mělo by něco podobného existovat i v této oblasti? Myslím, že primárně je toto otázka rodiny a výchovy k osobní odpovědnosti. Právem se to uregulovat nedá a vlastně ani nemá.

Lidé by zkrátka měli minimalizovat zveřejňování informací o sobě a říkat jenom to, co je skutečně nezbytné, a pokud možno nezneužitelné, a to i přesto, že dnes již ve vztahu k internetu mj. hovoříme o právu být zapomenut – prevence je vždy lepší.

Proč musí existovat speciální úřad dohlížející na dodržování zákona o ochraně osobních údajů?

Největší snahu shromažďovat data a nakládat s nimi má stát a v současné době také velké společnosti. Jak směrnice EU a Listina základních práv EU, tak i úmluva Rady Evropy proto předpokládají, že bude existovat na zbytku moci výkonné nezávislý orgán, který bude kontrolovat i nakládání s osobními údaji ze strany státu. Otázkou je, jak velké garance nezávislosti by měly být dány. U nás kupříkladu předsedu úřadu na návrh Senátu jmenuje na pět let prezident republiky, u inspektorů je to stejné, úřad má samostatnou rozpočtovou kapitolu, poměrně silné kompetence, vedení by nemělo být závislé na vládě. Otázkou je, jak do nezávislosti v konečném důsledku zasáhne služební zákon.

Jak se může člověk bránit, pakliže má podezření, že někdo neoprávněně nakládá s jeho osobními údaji nebo porušil jeho právo na soukromí?

Je zde možnost podat podnět úřadu, který provede kontrolu a případně může uložit za porušení zákona pokutu. V určitých případech může být nakládání s osobními údaji i trestnou činností ve smyslu trestního zákoníku.

V oblasti soukromého práva, jelikož jde o zásah do osobnosti, lze žalovat na zdržení se takového jednání, případně požadovat satisfakci nebo kompenzaci – tedy omluvu a případně finanční plnění, kterým má být újma odčiněna. Takové žaloby však, na rozdíl od bezplatného oznámení, nejsou časté.