Osobní údaje, jakožto součást našeho soukromí, tedy oblasti, do které nikdo nesmí zasáhnout bez našeho souhlasu či zákonného důvodu, požívají právní ochrany. Není to žádným tajemstvím, zákon na ochranu osobních údajů už nás provází řadu let. Soukromí je vzácným statkem, tím vzácnějším, čím více náš život prostupují a usnadňují jej nejrůznější výdobytky moderní doby, které tak rádi užíváme k práci i k zábavě. Při přijetí Úmluvy o ochraně osob se zřetelem na automatizované zpracování dat (tzv. Úmluva č. 108), ke kterému došlo již před 36 lety ve Štrasburku, snad jen skutečné vizionáře napadlo, jak moc automatizované to zpracování dat v relativně blízké budoucnosti bude, a i ti jsou možná nyní překvapeni.
Loňský rok byl na události, které se ochrany osobních údajů týkají, poměrně bohatý. Po pádu bezpečného přístavu byl mezi Evropou a Spojenými státy americkými vztyčen „štít soukromí“. V České republice padla rekordní pokuta za porušení povinností správce osobních údajů. A konečně – platnosti nabylo dlouho projednávané Obecné nařízení o ochraně osobních údajů. Pro svůj poněkud delší název je známo spíše pod zkratkou GDPR. Zapamatujte si ji. Rozhodně se s ní budete setkávat čím dál tím častěji a je nejvyšší čas se do nařízení začíst, byť jeho účinnost nastane až ke konci května příštího roku. Dopadne totiž skutečně na každého, kdo s osobními údaji při svém podnikání pracuje. Mezi prohlášení, která přijetí nařízení provázela, patří zejména, že lidé opět získají kontrolu nad svými osobními údaji.
Je pravdou, že řada institutů, které nařízení obsahuje, je nám již známa z dosavadní právní úpravy. Zavádí ale také nové povinnosti, a to i pro zpracovatele, kteří jsou nyní možná poněkud skryti za správce. Ovšem nařízení dává lidem, kterým údaje patří, „subjektům údajů“, do rukou také některé nové nástroje. Kromě toho, že budou muset být o svých právech důkladně informováni (přesto však se zachováním srozumitelnosti, stručnosti a jednoduchosti takového sdělení, což se pozornému čtenáři nařízení může zdát jako dost ambiciózní požadavek), pak budou moci po správcích údajů vyžadovat něco, co doposud neznají. Zmiňme například právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li mít k tomu závažné prokazatelné důvody, či právo na přenositelnost osobních údajů od jednoho správce ke správci jinému, jestliže jsou údaje zpracovávány automatizovaně (což asi ve většině případů jsou…). Člověk by své osobní údaje měl v takovém případě získat ve strukturovaném strojově čitelném formátu. Subjekt by měl rovněž mít přístup k údajům, které jsou o něm shromážděny, a tento přístup by měl být ideálně přímý, dálkový.
V kontextu požadavků GDPR se zdá, že naše služba mojeID má dobře našlápnuto. Její uživatelé už nyní, pokud se jejím prostřednictvím přihlašují do nejrůznějších služeb, mají plně pod kontrolou, jaké údaje těmto službám předávají. Kontrolu samozřejmě mohou provést i zpětně. Svoje údaje si také mohou snadno opravit a systém, do kterého se pomocí mojeID přihlašují, tak získává údaje aktuální a nemusí spoléhat na to, zda i u něj uživatel provede úpravu v případě změny.
28. leden je právě u příležitosti vzpomínky na přijetí Úmluvy č. 108 připomínán jako Mezinárodní den ochrany osobních údajů. S ohledem na bezprecedentně široký dopad nového nařízení, včetně mimoevropských zemí, jeho požadavky a přísné sankce za jejich nesplnění, si troufám tvrdit, že u jednoho dne nezůstaneme. Je před námi mezinárodní rok a půl ochrany osobních údajů.