25 let chráníme vaše soukromí – Úřad pro ochranu osobních údajů slaví čtvrtstoletí své existence
Úřad pro ochranu osobních údajů slaví 25 let své existence, během nichž se stal respektovanou institucí nejen v ČR, ale i na evropské úrovni. Za čtvrtstoletí úřad adaptoval legislativu i technologické prostředí, implementoval GDPR, posílil mezinárodní spolupráci a reagoval na nové výzvy jako COVID-19 či digitální ekonomiku včetně AI. V roce 2024 udělil rekordní pokutu 351 milionů korun za neoprávněné zpracování dat, přičemž do budoucna se zaměří na problematiku zpracování biometrických údajů a věrnostních programů.
Respektovaná instituce nejen v ČR
Úřad se od svého zřízení zákonem č. 101/2000 Sb., o ochraně osobních údajů, dne 1. června 2000 stal respektovanou institucí nejen v České republice, ale i na evropské úrovni. Za čtvrtstoletí své existence se adaptoval na měnící se technologické a legislativní prostředí. Níže přinášíme přehled klíčových milníků činnosti Úřadu.
Zřízení ÚOOÚ předcházel zákon č. 256/1992 Sb. ze dne 30. dubna 1992, o ochraně osobních údajů v informačních systémech. Jeho zásadní vadou bylo, že neobsahoval dozorový mechanismus.
Pro přípravu zákona o ochraně osobním údajů měla pro ČR jako přistupující stát k EU zásadní význam směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
V roce 2000 byl do čela ÚOOÚ jmenován RNDr. Karel Neuwirt (na snímku výše), Úřad zahájil činnost v provizorních prostorách a začal budovat základní struktury pro výkon své agendy, zahájil provoz registru povolených zpracování osobních údajů a přijal první stížnosti subjektů údajů. V roce 2001 se rozběhly první kontroly po jmenování inspektorů a ÚOOÚ začal navazovat mezinárodní spolupráci. Úřad rovněž začal upozorňovat na některé nedostatky v právním prostředí a na pokusy některých subjektů obcházet zákon. Klíčovou roli sehrál i při novelizaci zákona č. 101/2000 Sb., která posílila jeho nezávislé postavení a rozšířila kompetence do oblasti elektronického podpisu, přičemž tato kompetence přešla od roku 2004 na tehdejší Ministerstvo informatiky. Česká republika ratifikovala Úmluvu Rady Evropy č. 108 z 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních údajů, včetně klíčového protokolu, což vytvořilo základ evropského práva na ochranu dat.
Rada Evropy a skupina WP-29
V roce 2003 Úřad posílil své mezinárodní postavení: podílel se na aktivitách Rady Evropy zaměřených na Bosnu a Hercegovinu a také na Kypr, stal se pozorovatelem skupiny WP-29, předchůdkyně dnešního Evropského sboru pro ochranu osobních údajů, a zapojil se do činnosti dozorových orgánů pro Europol a Schengen. V letech 2005-2006 Úřad poskytoval know-how v rámci evropského projektu dlouhodobé pomoci Bosně a Hercegovině, spolupracoval s polským, maďarským a chorvatským partnerským úřadem: v rámci programu Leonardo da Vinci vytvořil dvě příručky o ochraně osobních údajů pro oblast zaměstnanosti. Ve vnitrostátní oblasti se věnoval zvyšování právního povědomí, upozorňoval na nové hrozby, jako jsou krádeže identity, nelegitimní monitorování e-mailové komunikace zaměstnanců či nadužívání osobních údajů ve finančních institucích.
ČR v EU
Rok 2004 znamenal zásadní posun – vstup České republiky do Evropské unie potvrdil povinnost harmonizace pravidel ochrany osobních údajů a Úřad se plně začlenil do evropských dozorových struktur. Úřad byl organizátorem mezinárodní konference Rady Evropy „Práva a povinnosti subjektů údajů“. Úřadu byly nově svěřeny kompetence v oblasti dohledu nad šířením obchodních sdělení (tzv. spam) a ochrany rodných čísel podle novely zákona o evidenci obyvatel. Úřad také varoval před rostoucím využíváním kamerových systémů bez právního rámce, rozšířeným zneužíváním veřejně přístupných registrů a narůstajícími riziky v oblasti telekomunikací. Novým předsedou byl jmenován RNDr. Igor Němec (na snímku níže).
V roce 2007 Úřad obdržel prestižní „Evropskou cenu za nejlepší službu veřejnosti v oblasti ochrany osobních údajů“, kterou udělila agentura na ochranu dat v Madridu. Úřad cenu obdržel za nejlepší projekt v oblasti vzdělávání v ochraně osobních údajů, který byl na tři roky rovněž akreditován Ministerstvem školství, mládeže a tělovýchovy České republiky.
V roce 2009 přispěl Úřad k legislativním změnám v oblasti trestního práva, kde bylo neoprávněné zpracování údajů nově definováno jako trestný čin. V období předsednictví České republiky EU byl Úřad pořadatelem XIX. mezinárodního semináře řešení případů za účasti zástupců evropských dozorových úřadů.
e-Government a systém ORG
V roce 2010 Úřad pořádal celoevropskou Konferenci evropských komisařů ochrany dat a soukromí a byl pověřen v rámci elektronizace veřejné správy (e-Government) provozováním systému ORG – součásti základních registrů. V roce 2011 zaznamenal prudký růst stížností na agresivní marketingové praktiky, což vedlo k nutnosti úpravy informačního systému Úřadu pro příjem stížností na šíření nevyžádaných obchodních sdělení a v této oblasti též zavedení prvků digitalizace vůči veřejnosti a současně i k posílení dohledu nad tzv. nevyžádanou komunikací.
Rok 2015 byl ve znamení příprav na zásadní reformu ochrany dat – přijetí Obecného nařízení o ochraně osobních údajů (GDPR), Úřad poskytoval metodickou podporu správcům a zpracovatelům osobních údajů. Novou předsedkyní byla jmenována JUDr. Ivana Janů (na snímku níže uprostřed).
Dne 20. května 2016 uspořádal Úřad pro ochranu osobních údajů ve spolupráci s právnickou fakultou Univerzity Karlovy mezinárodní konferenci Právo na informační sebeurčení za účasti zahraničních a předních českých expertů.
GDPR
Rok 2018 byl přelomový – dne 25. května vstoupilo v účinnost GDPR a Úřad získal nové kompetence. Dne 24. dubna 2019 byl schválen zákon č. 110/2019 Sb., o zpracování osobních údajů, který představuje zejména adaptaci českého právního řádu na GDPR a transpozici tzv. trestněprávní směrnice.
Úřad zákonem č. 110/2019 Sb. získal novou působnost v řízeních podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Šlo pro něj o zcela novou agendu, pro kterou bylo třeba najít kvalifikované pracovní síly, okamžitě se v ní zorientovat a ihned začít kvalitně a včas rozhodovat. Přes okamžitý značný nápad nových věcí v této oblasti byly všechny tyto cíle úspěšně naplněny.
V roce 2020 se novým předsedou Úřadu stal Mgr. Jiří Kaucký (na snímku níže).
COVID-19 a nejvyšší udělená pokuta
Pandemie COVID-19 přinesla nové výzvy – při zpracování osobních údajů Úřad dohlížel na dodržování pravidel při trasování kontaktů a zpracování zdravotních údajů a poskytoval podporu např. zaměstnavatelům. Úřad věnoval velké úsilí tomu, aby došlo k vyvažování mimořádných opatření s právem na soukromí tak, aby bylo šetřeno v maximální možné míře.
V rámci podpory vzdělávání v ochraně osobních údajů obnovil Úřad od roku 2023 pravidelné odborné semináře zaměřené především na pověřence pro ochranu osobních údajů, které jsou dostupné jak on-line, tak prezenčně.
Rok 2024 přinesl dosud nejvyšší pokutu v historii Úřadu – 351 milionů korun antivirové společnosti za neoprávněné zpracování dat uživatelů. V roce 2025 Úřad otvírá témata zpracování osobních údajů v rámci věrnostních programů, téma modelu pay or consent či riziková zpracování biometrických údajů ve veřejném i soukromém sektoru.
Zásadní výzvy v oblasti digitální ekonomiky
Roky 2024 a 2025 přinášejí zásadní výzvy v oblasti digitální ekonomiky, které budou mít zásadní vliv na chod Úřadu a ochranu soukromí v příštích letech. Zcela nové formy zpracování osobních údajů včetně zapojení AI budou vyžadovat mimořádné úsilí, aby ochrana osobních údajů neztratila krok s dobou a tím i svoji relevanci a naše společnost zůstala společností svobodných tvořivých lidí s vlastním názorem, kteří se nedají manipulovat.
