Josef Prokeš: Ochrana osobních dat musí reagovat na nástup internetové doby

zdroj: archiv JP

V Bruselu dnes jednají ministři spravedlnosti o reformě ochrany osobních dat v podobě nového evropského nařízení, které se ladí již několik let. Nové předpisy mají pravidla pro ochranu dat přizpůsobit digitální době, vzbuzují však naději i obavy. EurActiv o projednávaném návrhu hovořil s předsedou Spolku pro ochranu osobních údajů Josefem Prokešem.

Josef Prokeš je předsedou Spolku pro ochranu osobních údajů, pracuje v sekci předsedy Úřadu pro ochranu osobních údajů, kde je odpovědný za legislativu a zahraniční vztahy.

Jak se změnil význam pojmu „osobní údaj“ oproti 90. letům, kdy vznikla současná pravidla pro ochranu osobních údajů v EU?
Z hlediska regulace se zatím ani v připravovaném obecném nařízení o ochraně osobních údajů (GDPR) význam nijak nezměnil. Avšak zejména internetový průmysl, který dříve využíval data uživatelů, aniž by se jich na cokoliv ptal, pociťuje sílící tlak na aplikaci klasických principů ochrany osobních údajů. Příkladem je „právo být zapomenut“, přesněji řečeno „právo na delisting“ nebo „vymazání“, které bylo judikováno Soudním dvorem EU.

S většinou IP adres je třeba zacházet jako s osobními údaji.

Proměnil se i způsob, kterým je třeba osobní údaje chránit? Souvisí to v dnešní době spíš s technologiemi, nebo právními předpisy?
Jednoznačně s technologiemi. Evropský právní rámec ochrany osobních údajů vznikal v době před nástupem internetu a mobilní telefonie. Stávající zákony o ochraně osobních údajů proto nedávají uspokojivou odpověď, jak a zda regulovat přeshraniční zpracování údajů v datových tocích.  

V souvislosti s tím lze také přemýšlet, co všechno je osobní údaj. Dá se za něj považovat například IP adresa?
IP adresa je adresní údaj, který velmi často ve spojení s jinými údaji o chování lidí v elektronických komunikacích a při práci s počítači umožňuje konkrétního člověka identifikovat. IP adresu lze jednoduše spojit s jinými logovanými údaji, údaji o poloze a dalšími přenosovými údaji. Z pohledu stávající definice osobního údaje tedy právo nedává valné většině IP adres žádnou výjimku, a je třeba s nimi zacházet jako s osobními údaji.

I v médiích se v souvislosti s projednávaným evropským nařízením o ochraně údajů hodně psalo o „cookies“. Ty lze také považovat za osobní údaje?
Cookies jsou již dnes evropským právem regulovány. Zabývá se jimi směrnice o e-Privacy, která byla opakovaně novelizována. Kromě cookies nezbytně nutných pro přenosy a poskytování služeb na internetu je u aplikace všech ostatních předem vyžadován souhlas uživatelů internetu. Typicky se to týká cookies vyžadovaných pro marketing či analytiku. Velkým paradoxem je, že právě směrnice o e-Privacy není předmětem novelizace v souvislosti s připravovaným nařízením. Bruselská poradní skupina ochránců dat WP29 přitom již dříve ve svém stanovisku doporučila u části cookies přísný pohled přehodnotit (tzv. first-party analytics cookies).

Inspektoři by ve firmách působili i bez nařízení

Když jsme se dostali k otázce souhlasu – jak se díváte na požadavek výslovného souhlasu uživatele se zpracováním osobních údajů?
Podle současných pravidel ochrany osobních údajů není vyžadován souhlas ve většině každodenních situací, jako jsou výkon právních povinností, sjednáváni a plnění smluv, ochrana práv, uplatňování nároků a realizace oprávněných zájmů, tedy při běžném výkonu zaměstnání, nakupování nebo třeba řízení před úřady a řešení sporů. Podle mého názoru by do budoucna bylo chybou byrokratizovat ochranu údajů při běžných činnostech – třeba při nakupování na internetu – novými souhlasy. Výslovný souhlas je spíše uplatnitelný ve výjimečných a zásadních případech jistých vysoce rizikových zpracování a citlivých dat.  

A potřebují uživatelé internetu vědět o všech případech, kdy dochází ke zpracování jejich dat?
Soubor informací o tom, jak budou různé údaje zpracovány, je běžným podkladem pro rozhodování každé dotčené osoby o tom, zda jí způsob zpracování, a třeba i pouhého uchovávání dat vyhovuje. Kvalitní informace o zpracování údajů je základem důvěry v prostředí internetu. Uživatelé musí znát detaily podstatných operací s daty a musí jim být i v on-line světě ponecháno právo v soukromoprávních jednáních rozhodnout, které operace jsou z jejich pohledu důležité.

V souvislosti s evropským nařízení se také debatovalo o tom, kdo má nést za ochranu dat zodpovědnost. Nakonec by mělo jít o sdílenou zodpovědnost, takže by měl za ochranu zodpovídat správce dat i jejich zpracovatel. Dává to smysl?
Primární odpovědnost za ochranu dat musí nést správce, neboť on určuje účel a meze zpracování údajů. V globálním prostředí zpracování dat je však třeba počítat s odpovědností více subjektů. Dílčí či sdílená odpovědnost je ve většině případů řešitelná už dnes podle pravidel soukromého práva.

Má podle Vás smysl zavádět v podnicích funkci „inspektora osobních dat“, se kterou nařízení také počítá?
Takzvaný inspektor osobních údajů má předobraz v osobách zodpovědných za zpracování osobních údajů, jejichž činnost je i dnes upravena v některých státech EU zákonem. Pokud je mi známo, debata se ani tak nevede o úkolech těchto osob. Povinností a odpovědností při práci s informacemi osobní povahy je řada, jen nejsou určeny zákony o ochraně osobních údajů. Diskutuje se spíše o tom, v jakých případech mají být tyto funkce zřizovány povinně. Domnívám se ovšem, že se jedná o nutný trend, který nastoupí i bez předepsané regulace.

Co vlastně lidé na těchto pozicích dělají?
Osoby v pozici firemního „inspektora“ obvykle dokonaleji propojují různé firemní procesy probíhajícími nad stejnými daty, řeší rizika zpracování a úniky dat, doporučují a navrhují změny, podílejí se školení personálu a komunikují s regulačními a dozorovými orgány, nejen v případech kontrol.

Jak na internetu chránit děti?

Evropské nařízení pro ochranu údajů se zabývá také postavením kontrolních úřadů, kterým je i ÚOOÚ. Jak probíhá spolupráce mezi úřady členských zemí v současné době a s jakými se setkáváte problémy?
Základní pravidla ochrany osobních údajů mají jednotlivé země EU vesměs harmonizována. Pro činnost dozorových a regulačních orgánů však evropské právo nyní nemá žádná přesnější pravidla. Dokonce i v některých nejstarších státech EU donedávna postrádaly orgány pro ochranu osobních údajů (DPA) účinné nařizovací a sankční pravomoci.

DPA dnes sice mohou složité problémy konzultovat, ale většinou nemohou v obdobných případech postupovat obdobně. Navíc přibývá otázek týkajících se přeshraničního předávání dat a zpracování mimo území EU, což je obtížně řešitelné, pokud správce či zpracovatel údajů není usazen na území konkrétního státu. Situace tak dnes není uspokojivá ani pro průmysl, který očekává jednotný a stejný přístup ve všech zemích EU.

Průmysl očekává stejný přístup úřadů ve všech zemích EU.

A jak to lze řešit?
Evropská komise předložila v projednávaném nařízení návrh na sjednocení rozhodování DPA a spolupráce na nadnárodní úrovni. Skutečnou podobu nadnárodního dozoru nad ochranou osobních údajů však budeme znát až po vydání prováděcích předpisů k nařízení. Hodně také záleží na podobě regulace předávání dat mimo EU, zejména do USA. Mělo by se jednat o systém výměny informací mezi DPA a pravidla pro společné postupy ve složitých případech přesahujících hranici jednoho členského státu EU. Aby byla zajištěna jednotnost celého mechanismu, navrhuje se vznik Evropské rady ochrany osobních údajů, která nahradí stávající bruselskou poradní skupinu WP29.

Další důležitou oblastí v ochraně dat je přístup k údajům týkajících se dětí. Jsou na internetu potřeba speciální pravidla pro zacházení těmito daty? Má například smysl opatření, podle kterého by do určitého věku měl se zpracováním údajů souhlasit rodič?
Jedná se o nelehkou otázku. Je například potřeba posoudit, jakým způsobem mají být děti zejména v prostředí internetu informovány a v jakých případech mohou samy posoudit význam svého klikání na internetu. Mluvit o typickém souhlasu je však podle mne zavádějící a přehnané. Zvlášť pokud si uvědomíme, k čemu se nezletilí mohou zavazovat podle občanského práva. To je třeba respektovat i v úpravě ochrany osobních údajů.

Jak děti ve světě internetu ideálně chránit?
Při práci s technologiemi je třeba uvažovat o rizicích práce s nimi, bavit se o nich a o tom, jak jim čelit i předcházet. Výuka a vedení dětí k jistým zásadám chování na internetu i k používání a dodržování bezpečnosti se daří podle toho, jak informovaní jsme my dospělí, tedy rodiče a učitelé.

Nové nařízení chce zamezit tomu, aby mohly být nabízeny potenciálně nebezpečné služby a k soukromí nepřátelská zařízení a software. Jde o celou řadu metod a přístupů. Pomoci zde mohou audity zpracování osobních údajů, certifikace a implementace zásad, podle kterých mají být technologie přizpůsobeny ochraně osobních dat už ve svém návrhu a implementaci. Žádná technika ani regulace však nemusí být účinná, pokud si dětmi nebudeme povídat a sdílet společný čas.  

Sankce – záleží i na komunikaci

Jak se díváte na otázku sankcí, o které se v rámci DPR také jedná? Některé firmy se bojí, že pro ně mohou být likvidační. I dnes však přeci určitý systém sankcí funguje.
V mnoha případech se o budoucí ochraně osobních údajů mluví až v souvislosti s pohrůžkou sankcí. Debatu vyvolal například návrh na pokutování podle výše z firemního obratu. V řadě států přitom udělování sankcí není žádnou novinkou. V Česku pokutuje za nesprávné zpracování osobních údajů přímo Úřad pro ochranu osobních údajů, a to již deset let.

Je třeba si uvědomit, že nové nařízení zasazuje sankce do nového rámce regulovaného prostředí. Počítá se s tím, že správci a zpracovatelé budou muset předem nastavit četná pravidla a politiky pro ochranu údajů. Podle toho, jak budou čelit rizikům a bezpečnostním incidentům a komunikovat s ohroženými a poškozenými klienty, se dokonce mohou následné represi vyhnout. Sankcí však nejsou pouze pokuty, ale i „praktičtější“ opatření nařízená dozorovými orgány.

O jaký druh opatření se může jednat?
Může to být například požadavek, aby správce údajů provedl konkrétním způsobem nápravu nebo o bezpečnostní hrozbě vyrozuměl ohrožené klienty. A aby dal klientům návod, jak se mají zachovat v nastalé situaci, když jsou jejich osobní údaje nějakým způsobem ohroženy a hrozí jim například krádež identity.

Adéla Denková