Na veřejnost se tento týden dostal odhad poradenské společnosti Grant Thornton, dle které vyjde stát a soukromé subjekty konec užívání rodných čísel až na 56 miliard korun. Byť nejde o novou věc, je konec užívání rodných čísel jako obecného identifikátoru fyzických osob stále diskutovaným tématem. Objevují se dokonce hlasy, včetně zástupců politiků, dle kterých by mělo dojít k pozdržení celého procesu. K tomuto kroku se vládní představitelé za poslední dekádu uchýlili již několikrát. Návrh na ukončení používání rodného čísla totiž schválila vláda již v roce 2009. Hlavním argumentem pro pozdržení jsou výše uvedené náklady a údajná nepřipravenost státních a soukromých subjektů.
Mluvčí Digitální a informační agentury (DIA), pod jejíž resort spadá systém pro nově připravovaný identifikátor, který do velké míry nahradí rodná čísla, uvedla, že rodné číslo jako identifikátor používá jen minimum úřadů veřejné správy. Soukromým subjektům pak dle mluvčí využívání rodných čísel ve velké míře zakázalo již nařízení GDPR. To tento týden oslavilo páté ,,narozeniny‘‘, když vstoupilo v účinnost 25. 5. 2018. Ve spojení s výše zmíněným rokem 2009 tak dle zástupce DIA měly všechny subjekty dostatek času na to, aby se na konec užívání rodných čísel připravily. Ministr pro místní rozvoj Ivan Bartoš pak vyjádřil nesouhlas s výší odhadu nákladů, se kterou přišla výše uvedená poradenská společnost. Zároveň upřesnil, že ,,konec‘‘ rodných čísel znamená primárně jejich neuvádění v občanských průkazech vydaných od roku 2025.
O chystaném útlumu užívání rodných čísel jsme Vás informovali ji minulý rok. Hlavní argumenty pro jejich nevyužívání jsou v zásadě tři. Jako první lze zmínit skutečnost, že rodné číslo je vlastně souhrn hned několika osobních údajů (př. datum narození a pohlaví), čímž představuje zvýšené riziko pro možné zneužití. Dalším důvodem je relativně jednoduchá možnost lustrace fyzických osob – pokud znáte jejich rodné číslo, může o ni bez větších potíží zjistit další osobní informace (zda podnikají atd.) na základě jejich lustrace ve vícero evidencích a registrech, které jako identifikátor fyzických osob používají právě rodná čísla. Třetím důvodem je pak snížení možnosti krádeže identity, která úzce souvisí s předchozími argumenty.
Jednou z náhrad za rodná čísla by měl být tzv. bezvýznamový směrový identifikátor. Půjde o neveřejný údaj, který bude na základě série osobních údajů sloužit k ověření totožnosti fyzické osoby. Tento identifikátor bude vydávat správce národního bodu pro identifikaci a autentizaci. Vedle tohoto identifikátoru bude možné také v budoucnu využívat již existující agendové identifikátory (specifické identifikátory, které využívají jednotlivé složky veřejné správy, např. registr řidičů), čísla osobních dokladů nebo klientská/zákaznická čísla.
Meta obdržela nejvyšší pokutu v historii za porušení GDPR
Na začátku tohoto týdne vydal irský dozorový úřad (DPC) tiskovou zprávu, ve které informoval veřejnost o svém rozhodnutí, v rámci kterého byla společnosti Meta (Facebook, WhatsApp, Instagram) udělena pokuta ve výši 1,2 miliardy euro. Dosavadní nejvyšší pokuta udělená za porušení Nařízení GDPR činila 746 milionů eur. Jako hlavní provinění společnosti Meta uvedl DPC neoprávněné předávání osobních údajů evropských občanů do USA. Toto předávání je od doby zrušení Privacy Shieldu značně komplikovaná operace, přičemž společnost Meta prostřednictvím svých představitelů v minulosti varovala, že pokud se zástupci EU a USA nedohodnou na nové dohodě, může dojít i k jejímu odchodu z evropského trhu.
Meta předávala osobní údaje do USA na základě tzv. standardních smluvních doložek, jejichž vzorové znění bylo schváleno Evropskou komisí v roce 2021. Nadto měla Meta přijmout ještě dodatečná opatření s cílem zajistit stejnou míru úrovně ochrany práv fyzických osob, které evropským občanům přiznává nařízení GDPR. Dle DPC ovšem tyto kroky nebyly dostatečné, přičemž stále nedošlo k adekvátnímu ošetření výše uvedených práv tak, jak to Soudní dvůr Evropské unie definoval ve svém rozhodnutí Schrems II. Výše pokuty byla ovlivněna systematičností neoprávněného předávání osobních údajů, ke kterému docházelo opakovaně a které se týkalo miliónů občanů EU. Mimo samotnou pokutu pak DPC uložila Metě povinnost do 6 měsíců ukončit toto nezákonné zpracování týkající se předávání osobních údajů do USA. Do té doby nicméně může dojít k významnému kroku na poli úpravy předávání osobních údajů z EU do USA. Draft dohody již totiž existuje a v současné době je posuzován Evropským sborem pro ochranu osobních údajů (EDPB).
Pokud jsme pak výše uvedli, že jde o rozhodnutí irského dozorového úřadu, je třeba toto tvrzení doplnit o následující. Ve zkratce, ve vybraných případech musí dozorový orgán své chystané rozhodnutí o (ne)porušení GDPR konzultovat s ostatními dozorovými orgány, aby byla zajištěna konzistentnost rozhodovací praxe. Tyto orgány mohou mj. proti tomuto rozhodnutí navrhnout odůvodněnou námitku (př. návrh úpravy navrhované sankce). Pokud následně dotyčný orgán těmto námitkám nevyhoví, rozhodne o nich EDPB, což se stalo i v tomto případě, když těmto námitkám EDPB do velké míry vyhověl. Lze tak spekulovat, zda výše původně zamýšleného trestu DPC nebyla k Metě výrazně shovívavější.