Jaké by mělo být poučení z sKarty?

Projekt sKarty je příkladem pokusu privatizovat státní moc: informace, které stát schraňuje o svých obyvatelích, jsou důležitou složkou této moci, a stát je skrze kartu předává soukromé bance.

Ačkoli spory okolo sKarty v poslední době s příchodem velké vody poněkud utichly, tak je zřejmé, že sKarta už nemůže mít dlouhého trvání. Neslavně tak pomalu, ale doufejme, že jistě, končí projekt, který měl na první pohled řadu předností a nabízel v době úspor lákavá řešení, která ovšem měla pár zásadních vad na kráse. Pokud si státní správa nevezme z tohoto projektu poučení, je pravděpodobné, že se nám brzy vrátí nějaká jiná sKarta a budeme znovu dumat nad tím, kde se stala chyba.

Nápad, aby stát nemusel platit za distribuci sociálních dávek a ještě zdarma získal systém, který bude bránit jejich zneužívání, se na počátku mnohým nezdál být vůbec špatný. Když se brzy ukázalo, že zamýšlená kontrola zneužívání sociálních dávek bude v původní podobě nerealizovatelná, tak pořád zde zůstávala úspora za výplatu dávek. Realizátoři sKarty v čele s ministrem Drábkem bohužel zřejmě plně nepochopili, že úkolem soukromé banky je produkovat zisk a nikoli obětavě a zdarma plnit úkoly státu. Z čeho měl tento zisk plynout? Jedním zdrojem měli být sami příjemci dávek, kteří měli platit za určité služby s sKartou spojené. Fakticky by to tak znamenalo snížení sociálních dávek, i když je pravda, že zpoplatněny byly zejména nadstandardní služby.

Dalším benefitem je zisk stovek tisíc klientů a s tím spojený zisk informací a osobních údajů o příjemcích sociálních dávek. Nejde přitom jen o seznamy jmen, adres, telefonů a e-mailů. Cenné jsou zejména informace řadící konkrétní osoby do určité sociální skupiny. Česká spořitelna může zjistit, jestli daná osoba je příjemcem dávek v hmotné nouzi, osoba zdravotně postižená nebo třeba matka na rodičovské dovolené či starobní důchodce. K tomu lze připočíst i informace o využívání sKaret například při placení. To už jsou zajímavé informace, s nimiž lze dobře pracovat při cílení reklamy například na určitý druh půjček.

Možná si leckdo řekne, že tohle o nás ví naše banka už dnes. Rozdíl je v tom, že jde o naši banku, tedy banku, kterou jsme si vybrali a od které můžeme v případě, že se nám nebude líbit, jak s námi jedná, také odejít. To lidé, kteří dostávají své sociální dávky přes sKartu, nemohou. Pod hrozbou nevyplácení dávek naopak museli s Českou spořitelnou podepsat smlouvu o vedení účtu.

Jednoduše řečeno Ministerstvo práce a sociálních věcí vzalo údaje o příjemcích dávek a bez jakéhokoli zákonného zmocnění, pouze na základě smlouvy, je předalo soukromé bance. To konstatoval v rámci kontroly iniciované o.s. Iuridicum Remedium Úřad pro ochranu osobních údajů a uložil ministerstvu povinnost napravit závadný stav do konce června tohoto roku. Není úplně zřejmé, jak lze napravit nelegální předání osobních údajů, ale MPSV si to vysvětlilo jako nutnost legalizovat alespoň dodatečně stav, kdy banka údaje nelegálně zpracovává. Dnes už je zřejmé, že k žádné změně zákona, která by dodatečně předávání údajů v projektu sKarty legalizovala, v určeném termínu nedojde. Je teď na Úřadu pro ochranu osobních údajů, aby za nelegální předání, ale i přijetí a další zpracování osobních údajů pokutoval jak MPSV, tak Českou spořitelnu, která nelegálně nabyté údaje nadále zpracovává. Podnět ke kontrole České spořitelny zaslaný IuRe zatím ÚOOÚ odložil do konce června.

Poučení z případu sKarty by mělo mít dopad do celé řady dalších případů outsourcování zejména IT služeb ze strany státu soukromým společnostem. Obecně platí, že správce osobních údajů může uzavřít smlouvu o zpracování osobních údajů se zpracovatelem, který se pak podílí domluveným způsobem na zpracování údajů a také za něj odpovídá (§ 6 zákona o ochraně osobních údajů). To byla rovněž námitka MPSV, které oprávnění předat osobní údaje České spořitelně opíralo právě o toto ustanovení. Úřad pro ochranu osobních údajů nicméně tuto argumentaci odmítl s tím, že uzavřením smlouvy dle § 6 ZOOÚ nelze zhojit absenci zákonného zmocnění pro předávání údajů. Jinými slovy státní orgány nemohou bez zmocnění v zákoně předávat osobní údaje, které ze zákona zpracovávají při výkonu veřejné správy, soukromým společnostem pouze na základě smluv o zpracování osobních údajů.

Jedná se o překážku stále častěji se objevujícím pokusům o privatizaci státní moci, kdy se soukromé společnosti již neomezují pouze na dodávku určitého IT řešení státní správě, která má pak nad takto dodaným zbožím kontrolu, ale v různé míře se zapojují přímo do správy státních databází s osobními údaji občanů nebo dokonce do výkonu státní správy jako takové. V této souvislosti lze jmenovat například stále rozšířenější cloudové služby. Provozovatele cloudu je třeba totiž také považovat za zpracovatele osobních údajů. Stanovisko ÚOOÚ přitom v zásadě znemožňuje státní správě využívání cloudových služeb pro zpracování osobních údajů. Lze jen doufat, že reakce státu nebude stejná jako snaha MPSV dostat dodatečně zmocnění k předávání údajů České spořitelně do právních předpisů. Ani to by ostatně nebylo nic nového, jedním z podobných případů je právní úprava možnosti bank a stavebních spořitelen fungovat jako kontaktní místo veřejné správy Czech Point.

Trend privatizace státní moci může sice v řadě případů ulehčit státní správě a může přinést i jisté úspory, zároveň ale vede k tomu, že stát a potažmo i občané, ztrácí kontrolu nad informacemi. Vzhledem k tomu, že informace jsou spojeny s mocí, jedná se fakticky o rozklad státní moci, která plyne do rukou soukromých společností. Věřme, že projekt sKarty skutečně brzy skončí a že tento případ bude pro státní správu ponaučením při přípravě podobných projektů v budoucnu.

Text vznikl v rámci projektu „Základní svobody v IT“ podpořeného Fondem Otakara Motejla.