V krizových situacích se priority mění, často velmi zásadně. Důvodem bývá to, že se přece řeší daleko závažnější problémy, takže určité administrativní překážky a právní povinnosti musejí jít stranou a v očích zodpovědných se jeví jako malichernost. Souvisí to i s tím, že je v takové situaci poměrně časté, že se s úmyslem pomoci mnozí chápou práce a činností, které jim obvykle nepřísluší a kterým se obyčejně nevěnují. Tak se z politiků stávají epidemiologové, z lékařů legislativci, z úředníků krizoví manažeři a nevím, co ještě. Což nemůže zůstat bez následků.
Při odvracení velkých škod je jaksi samozřejmé, že vzniknou škody menší, méně škodlivé a bolavé, které bychom měli strpět. Problém je v tom, jak určit, který zájem a hodnota jsou důležitější a kdo to určí.
V pandemické situaci jsou těmi opomíjenými hodnotami především osobní svobody a práva, zejména pak právo na ochranu dat. Při krizových opatřeních se kromě omezování pohybu osob poměrně rozsáhle a ne zcela standardně nakládá s velkým množstvím osobních údajů, a dokonce i údajů citlivých s ohledem na to, že se týkají zdravotního stavu subjektů údajů. Údaje se dostávají na místa, kde jejich zpracování často není administrativně ani technicky dobře připraveno a ani není dostatečně domyšleno, co se zpracovanými údaji bude dále. Leckdo namítne, že je snad důležitější starat se o zdraví a bezpečí našich nejbližších (a je to určitě do značné míry pravda), ale také by měl každý mít na paměti, že škody způsobené ve jménu dobra by měly být pokud možno co nejmenší.
Ačkoli našemu pandemickému trápení zdaleka není konec, je určitě čas začít uvažovat nad tím, jak uvést situaci v oblasti zpracování dat do pořádku. Ústavu ani GDPR nikdo nevypnul a odvážný (byť dobře míněný) extenzivní výklad současných oprávnění a rozšiřování účelu zpracování osobních údajů určitě dlouhodobě neobstojí, až se společnost rozvrácená covidem a různými více či méně (ne)povedenými vládními opatřeními začne vracet alespoň přibližně do původního stavu.
Co je tedy třeba udělat? V první řadě bude třeba pečlivě zmapovat, jaké údaje jsou zpracovávány a uchovávány, kdo k nim má přístup, zda je nezbytné je zpracovávat v takovém rozsahu a zda jsou dostatečně zabezpečeny. Jakmile bude situace zmapována, bude třeba ji uvést do souladu se zákonem. A údaje, které jsou zpracovávány buď zbytečně, nebo protiprávně, bezpečně zlikvidovat. Zní to v podstatě jednoduše, ale – jako většina věcí – se to sice lehko řekne, ale uvést tento záměr v život bude problematičtější. Všichni zpracovatelé dat se jich jen velmi neradi vzdávají. To byl ostatně jeden z důvodů, proč začala vznikat právní regulace, která nakonec vyústila v GDPR.
Ale proč by si vlastně měli zpracovatelé dělat hlavu? Byla přece mimořádná situace, a když se český národ nechá utlačovat lockdowny, proč by neměl snášet masové nedovolené a protiprávní zpracování dat? Inu proto, že není všem dnům konec. Většina protiepidemických opatření byla soudem zrušena a obávám se, že až národu odpadnou roušky od úst, začnou se starat, kdo s jejich osobními údaji nakládá a proč. A těm zpracovatelům, kteří se ničeho neobávají, bych doporučil podívat se na sankce, které jim hrozí.
Čtenářům, kterým tento můj příspěvek připadá příliš obecný, málo technický nebo snad málo odborný, se omlouvám. Chtěl jsem jen připomenout, že zlé časy neomlouvají zlé činy.
