Autorský tým složený převážně z právníků advokátní kanceláře PwC Legal nedávno pokřtil publikaci Praktický komentář: Zákon o zpracování osobních údajů. Jednou z autorek komentáře byla i Veronika Šípošová, která se v rámci problematiky ochrany osobních údajů mimo jiné věnuje údajům zpracovávaným ve zdravotnictví.
“V této sféře je naprosto zásadní vyřešit otázku anonymizace a pseudonymizace údajů, nastavení vztahů hlavně mezi komerční a veřejnou sférou, nastavení pravidel pro tzv. druhotné použití osobních údajů,” říká Veronika v rozhovoru pro PwC News.
Co je to vlastně praktický komentář k zákonu? Můžeš "neprávnickým" čtenářům tento žánr přiblížit?
Na rozdíl od komentářů, které čteme v novinách nebo na různých fórech, se komentář k zákonu nutně nemusí soustředit na vyřčení konkrétního úsudku o dané právní úpravě. Má ale za cíl zákon vysvětlit. Zpravidla postupuje paragraf po paragrafu a vysvětluje pravidla, která jsou zde obsažena.
"Praktický" komentář k zákonu zpravidla obsahuje více příkladů, názorné řešení modelových situací a ve větší míře uvádí i rozhodovací praxi soudů a jiných relevantních orgánů. A přesně tak je tomu i u našeho komentáře. Zároveň ale nezapomínáme na fakt, že i pro praxi je důležité mít kvalitní teoretické základy - proto jsme se ve stejné míře soustředili i na tuto oblast. Už jsme v reakci na náš komentář slyšeli, že jeho obsah nekončí tam, kde začíná problém. Na to jsme velmi hrdí.
Proč by měli právníci číst zrovna komentář PwC Legal? V čem je výjimečný?
Z mého pohledu jde hlavně o dva aspekty. Vzhledem k tomu, že zásadní část osobních údajů je zpracována za použití informačních technologií, rozhodli jsme se, kromě těch právních, zaměřit i na otázky procesního a technického charakteru. Autorský kolektiv byl tedy složen z odborníků, kteří se kromě právních aspektů ochrany a zpracování osobních údajů věnují i dalším souvisejícím otázkám včetně řízení rizik a kybernetické bezpečnosti.
Dali jsme si zároveň opravdu záležet na zpětné vazbě od recenzentů, o čemž svědčí i jejich počet. Standardem u odborných publikací jsou většinou dva recenzenti. My jsme od začátku chtěli mít tři odborníky, kteří by naši knížku před vydáním zhodnotili. Věříme, že pan docent Sehnálek z Právnické fakulty Masarykovy univerzity, paní doktorka Matoušová z Úřadu pro ochranu osobních údajů a pan magistr Gealfow ze spolku Nugis Finem jakožto recenzenti zaručují dostatečnou kvalitu publikace.
Kdyby jsi měla vypíchnout hlavní poznatky k tomu, jak tento zákon zatím v praxi funguje, co by to bylo?
Se zákonem o zpracování osobních údajů žijeme již zhruba rok, což je relativně krátká doba na zhodnocení jeho dopadu. Zatím největší ohlas v praxi vyvolalo za určitých podmínek nutné upuštění od uložení správního trestu orgánům veřejné moci. Někteří odborníci již nyní polemizují nad správností tohoto kroku.
Daný zákon má ale mnoho funkcí - adaptuje GDPR, transponuje tzv. trestněprávní směrnici, upravuje pravidla zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů ČR a mimo jiné upravuje i příslušné přestupky. Zasahuje tak v podstatě do všech oblastí zpracování osobních údajů. Sama se těším na to, co jeho využití v praxi ještě přinese.
Zabýváš se zpracováním dat a informací ve zdravotnictví. Na co jsi narazila v této oblasti?
Jedná se o komplexní a komplikovanou oblast, v níž se setkává mnoho aktérů z veřejné a soukromé sféry, a zpracovává se obrovské množství údajů včetně osobních. Často jsou zde navíc zpracovávány tzv. zvláštní kategorie osobních údajů, pro které u nakládání s nimi platí, zjednodušeně řečeno, přísnější režim.
Kromě "klasických" povinností, které musí řešit každý správce osobních údajů, je v této sféře naprosto zásadní vyřešit otázku pseudonymizace a anonymizace údajů, nastavení vztahů hlavně mezi komerční a veřejnou sférou, nastavení pravidel pro tzv. druhotné použití osobních údajů a tak podobně. V praxi se ukazuje, že právě tyto aspekty bývají obzvláště problematické.
Je podle tebe tímto zákonem problematika dostatečně ošetřena nebo je potřeba další novelizace či další zákony?
Myslím, že se novelizací určitě dočkáme. Předpokládám ale, že primárně se ještě budou dále novelizovat zvláštní zákony, které nejsou přímo zaměřeny na zpracování osobních údajů, ale zpracování se zčásti dotýkají.
Co se týče novelizace přímo zákona o zpracování osobních údajů, je možné, že ta bude nutná v závislosti na plánované modernizaci Úmluvy č. 108 z dílny Rady Evropy.