25 let chráníme vaše soukromí – Úřad pro ochranu osobních údajů slaví čtvrtstoletí své existence

„Úřad se za uplynulých 25 let proměnil ze skromných začátků v jeden z důležitých pilířů demokratické společnosti a právního státu. Jeho úkolem je chránit právo každého člověka na ochranu jeho osobních údajů jako integrální součásti práva na soukromí v prostředí, které se rychle mění. Od zpracování osobních údajů v rámci papírových formulářů a analogových videokamer jsme se přesunuli do digitálního světa, hybridních válek a masových krádeží identity a nyní i do doby umělé inteligence a snah a manipulace společenským veřejným míněním. Práce ochránců soukromí tak nikdy nebyla důležitější,“ 

uvedl předseda Úřadu Mgr. Jiří Kaucký při příležitosti výročí.

Respektovaná instituce nejen v ČR

Úřad se od svého zřízení zákonem č. 101/2000 Sb., o ochraně osobních údajů, dne 1. června 2000 stal respektovanou institucí nejen v České republice, ale i na evropské úrovni. Za čtvrtstoletí své existence se adaptoval na měnící se technologické a legislativní prostředí. Níže přinášíme přehled klíčových milníků činnosti Úřadu.

Zřízení ÚOOÚ předcházel zákon č. 256/1992 Sb. ze dne 30. dubna 1992, o ochraně osobních údajů v informačních systémech. Jeho zásadní vadou bylo, že neobsahoval dozorový mechanismus.

Pro přípravu zákona o ochraně osobním údajů měla pro ČR jako přistupující stát k EU zásadní význam směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

V roce 2000 byl do čela ÚOOÚ jmenován RNDr. Karel Neuwirt (na snímku výše), Úřad zahájil činnost v provizorních prostorách a začal budovat základní struktury pro výkon své agendy, zahájil provoz registru povolených zpracování osobních údajů a přijal první stížnosti subjektů údajů. V roce 2001 se rozběhly první kontroly po jmenování inspektorů a ÚOOÚ začal navazovat mezinárodní spolupráci. Úřad rovněž začal upozorňovat na některé nedostatky v právním prostředí a na pokusy některých subjektů obcházet zákon. Klíčovou roli sehrál i při novelizaci zákona č. 101/2000 Sb., která posílila jeho nezávislé postavení a rozšířila kompetence do oblasti elektronického podpisu, přičemž tato kompetence přešla od roku 2004 na tehdejší Ministerstvo informatiky. Česká republika ratifikovala Úmluvu Rady Evropy č. 108 z 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních údajů, včetně klíčového protokolu, což vytvořilo základ evropského práva na ochranu dat.

Rada Evropy a skupina WP-29

V roce 2003 Úřad posílil své mezinárodní postavení: podílel se na aktivitách Rady Evropy zaměřených na Bosnu a Hercegovinu a také na Kypr, stal se pozorovatelem skupiny WP-29, předchůdkyně dnešního Evropského sboru pro ochranu osobních údajů, a zapojil se do činnosti dozorových orgánů pro Europol a Schengen. V letech 2005-2006 Úřad poskytoval know-how v rámci evropského projektu dlouhodobé pomoci Bosně a Hercegovině, spolupracoval s polským, maďarským a chorvatským partnerským úřadem: v rámci programu Leonardo da Vinci vytvořil dvě příručky o ochraně osobních údajů pro oblast zaměstnanosti. Ve vnitrostátní oblasti se věnoval zvyšování právního povědomí, upozorňoval na nové hrozby, jako jsou krádeže identity, nelegitimní monitorování e-mailové komunikace zaměstnanců či nadužívání osobních údajů ve finančních institucích.

ČR v EU

Rok 2004 znamenal zásadní posun – vstup České republiky do Evropské unie potvrdil povinnost harmonizace pravidel ochrany osobních údajů a Úřad se plně začlenil do evropských dozorových struktur. Úřad byl organizátorem mezinárodní konference Rady Evropy „Práva a povinnosti subjektů údajů“. Úřadu byly nově svěřeny kompetence v oblasti dohledu nad šířením obchodních sdělení (tzv. spam) a ochrany rodných čísel podle novely zákona o evidenci obyvatel. Úřad také varoval před rostoucím využíváním kamerových systémů bez právního rámce, rozšířeným zneužíváním veřejně přístupných registrů a narůstajícími riziky v oblasti telekomunikací. Novým předsedou byl jmenován RNDr. Igor Němec (na snímku níže).

V roce 2007 Úřad obdržel prestižní „Evropskou cenu za nejlepší službu veřejnosti v oblasti ochrany osobních údajů“, kterou udělila agentura na ochranu dat v Madridu. Úřad cenu obdržel za nejlepší projekt v oblasti vzdělávání v ochraně osobních údajů, který byl na tři roky rovněž akreditován Ministerstvem školství, mládeže a tělovýchovy České republiky.

V roce 2009 přispěl Úřad k legislativním změnám v oblasti trestního práva, kde bylo neoprávněné zpracování údajů nově definováno jako trestný čin. V období předsednictví České republiky EU byl Úřad pořadatelem XIX. mezinárodního semináře řešení případů za účasti zástupců evropských dozorových úřadů.

e-Government a systém ORG

V roce 2010 Úřad pořádal celoevropskou Konferenci evropských komisařů ochrany dat a soukromí a byl pověřen v rámci elektronizace veřejné správy (e-Government) provozováním systému ORG – součásti základních registrů. V roce 2011 zaznamenal prudký růst stížností na agresivní marketingové praktiky, což vedlo k nutnosti úpravy informačního systému Úřadu pro příjem stížností na šíření nevyžádaných obchodních sdělení a v této oblasti též zavedení prvků digitalizace vůči veřejnosti a současně i k posílení dohledu nad tzv. nevyžádanou komunikací.

Rok 2015 byl ve znamení příprav na zásadní reformu ochrany dat – přijetí Obecného nařízení o ochraně osobních údajů (GDPR), Úřad poskytoval metodickou podporu správcům a zpracovatelům osobních údajů. Novou předsedkyní byla jmenována JUDr. Ivana Janů (na snímku níže uprostřed).

Dne 20. května 2016 uspořádal Úřad pro ochranu osobních údajů ve spolupráci s právnickou fakultou Univerzity Karlovy mezinárodní konferenci Právo na informační sebeurčení za účasti zahraničních a předních českých expertů.

GDPR

Rok 2018 byl přelomový – dne 25. května vstoupilo v účinnost GDPR a Úřad získal nové kompetence. Dne 24. dubna 2019 byl schválen zákon č. 110/2019 Sb., o zpracování osobních údajů, který představuje zejména adaptaci českého právního řádu na GDPR a transpozici tzv. trestněprávní směrnice.

Úřad zákonem č. 110/2019 Sb. získal novou působnost v řízeních podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Šlo pro něj o zcela novou agendu, pro kterou bylo třeba najít kvalifikované pracovní síly, okamžitě se v ní zorientovat a ihned začít kvalitně a včas rozhodovat. Přes okamžitý značný nápad nových věcí v této oblasti byly všechny tyto cíle úspěšně naplněny.

V roce 2020 se novým předsedou Úřadu stal Mgr. Jiří Kaucký (na snímku níže).

COVID-19 a nejvyšší udělená pokuta

Pandemie COVID-19 přinesla nové výzvy – při zpracování osobních údajů Úřad dohlížel na dodržování pravidel při trasování kontaktů a zpracování zdravotních údajů a poskytoval podporu např. zaměstnavatelům. Úřad věnoval velké úsilí tomu, aby došlo k vyvažování mimořádných opatření s právem na soukromí tak, aby bylo šetřeno v maximální možné míře.

V rámci podpory vzdělávání v ochraně osobních údajů obnovil Úřad od roku 2023 pravidelné odborné semináře zaměřené především na pověřence pro ochranu osobních údajů, které jsou dostupné jak on-line, tak prezenčně.

Rok 2024 přinesl dosud nejvyšší pokutu v historii Úřadu – 351 milionů korun antivirové společnosti za neoprávněné zpracování dat uživatelů. V roce 2025 Úřad otvírá témata zpracování osobních údajů v rámci věrnostních programů, téma modelu pay or consent či riziková zpracování biometrických údajů ve veřejném i soukromém sektoru.

Zásadní výzvy v oblasti digitální ekonomiky

Roky 2024 a 2025 přinášejí zásadní výzvy v oblasti digitální ekonomiky, které budou mít zásadní vliv na chod Úřadu a ochranu soukromí v příštích letech. Zcela nové formy zpracování osobních údajů včetně zapojení AI budou vyžadovat mimořádné úsilí, aby ochrana osobních údajů neztratila krok s dobou a tím i svoji relevanci a naše společnost zůstala společností svobodných tvořivých lidí s vlastním názorem, kteří se nedají manipulovat.