V systému VeKLEP je věcný záměr zákona o správě dat veřejného sektoru. Věříte-li na apokalyptické vize typu Demolition Man, pak byste měli být na pozoru. Varující jsou do jisté míry připomínky, které k návrhu vzneslo mnoho institucí. Právě z nich si dovolím citovat.
Akademie věd
Dle nové právní úpravy bude možno za určitých podmínek poskytovat třetím osobám osobní údaje fyzických osob, jejichž poskytování je v současné době vyloučeno ustanoveními zákona č. 106/1999 Sb., o svobodném přístupu k informacím, což lze považovat za významný zásah do práva na ochranu soukromí jednotlivce a zároveň za významné posílení práva na informace jiných osob.
Úřad pro ochranu osobních údajů
ÚOOÚ se ztotožňuje s názorem MS, že vlastníkem osobních údajů je subjekt údajů, nikoliv stát, ačkoliv je zpracovává. Pod tímto prismatem by mělo být nahlíženo nakládání s daty, byť informace o předání anonymizovaných údajů nemusí být účelná z důvodu informačního přehlcení. Problém informování o nakládání s daty by mohl být řešen principem opt-in na portálu občana. Návrh by měl vycházet z toho, že se jedná o nuceně poskytnutá data, kde srozumění subjektu údajů s dalším nakládáním není tak vysoké, tj. měla by být zajištěna značná míra vázanosti účelem.
Právní postavení žadatele nikdy není účelem zpracování osobních údajů. Taková právní norma by vedla k tomu, že někteří správci by měli ze zákona bezbřehou licenci ke zpracování osobních údajů. Navíc lišit mezi formami žadatele je diskriminace
Ministerstvo spravedlnosti
Z návrhu vyplývá, že v určitých situacích může mít žadatel přístup ke konkrétním, resp. neanonymizovaným údajům, případně na základě řízeného přístupu bude docházet k propojování dat různých původců (viz např. bod 4.6.2 Způsoby řízeného přístupu). Zdá se tedy, že žadatel může v důsledku řízeného přístupu získat přístup k informacím i o jednotlivých osobách, případně nelze vyloučit, že na základě propojení dat si bude moci žadatel konkrétní fyzické osoby identifikovat
V zásadě nelze souhlasit s nastavením teze, že dle předloženého záměru by měla povinná osoba při splnění všech zákonných (čímž není řečeno faktických) předpokladů poskytnout konkrétní osobní údaje žadateli vždy, a pokud se rozhodne sledovat zájem subjektu osobních údajů chráněný GDPR, bude nucena složitě odůvodňovat, z jakého důvodu považuje zájem subjektu osobních údajů (ač je legislativně formulován) za nadřazený zájmu žadatele. Jak již bylo výše zmíněno, za problematické to pokládáme zejména v případech předání dat pro účely výzkumné a výukové (nevidíme důvod, proč by si věda či vzdělávací proces nedokázaly poradit s daty pseudoanonymizovanými). V tomto ohledu považujeme předávání „ostrých“ osobních údajů za operaci ultima ratio, a takto by to mělo být zohledněno v návrhu zákonného předpisu namísto obecného popisu opatření/záruk, které by měly hypoteticky zabránit nezákonnému zpracování osobních údajů žadatelem. Při nastavení principu minimalizace a účelového omezení zpracování osobních údajů dle GDPR si nelze dost dobře představit situaci, kdy konkrétní osobní údaje poskytnuté např. pro účely zdravotnických evidencí budou automaticky (a bez možnosti zásahu subjektu osobních údajů) poskytnuty pro účely vědeckého výzkumu (byť ve zdravotnické oblasti).
Zajímavé, ne? Je mi samozřejmě jasné, že díky mobilům a počítačům o každém z nás ví úřady a korporace prakticky všecko, a vím, že s tím, co na nás chystá zlotřilá instituce jménem stát nic moc nenaděláme, ale vyplatí se to patrně aspoň sledovat.