EU pracuje na ochraně osobních údajů. Firmy jsou nervózní

zdroj: shutterstock.com; autor: mama_mia

Evropská unie pokračuje v přípravě reformního balíčku k ochraně osobních údajů. Ta se stává čím dál důležitějším prvkem současného digitálního světa, kde jsou osobní data uživatelů internetu často zneužívána. Firmy zpracovávající osobní údaje si uvědomují, že je změna potřeba. K evropským návrhům ale mají stále řadu výhrad. Členské státy nedávno nalezly kompromis u jednoho z bodů reformy: principu jednoho kontaktního místa. Ten má ulehčit život jak uživatelům, tak evropským firmám.

Možnost obrátit se na úřad na ochranu osobních údajů ve své zemi je novinka, kterou občanům Evropské unie může přinést princip jednoho kontaktního místa (tzv. one-stop-shop), na němž se před dvěma týdny dohodli evropští ministři spravedlnosti. Jedná se o jeden z bodů  nařízení o ochraně osobních údajů a jeho zavedení je tudíž podmíněno schválením celého legislativního návrhu jak ministry, tak poslanci Evropského parlamentu.

V případě, že princip jednoho kontaktního místa začne fungovat, měla by se ochrana soukromí pro uživatele internetu zjednodušit. Pokud totiž budou osobní údaje například českého občana zneužita sociální sítí Facebook, bude se moci obrátit na český Úřad na ochranu osobních údajů. Za současných podmínek by ale Čech musel napsat stížnost v angličtině a následně svou stížnost odeslat do Irska, kde má firma svou evropskou centrálu.

Mechanismus se tak zaměřuje především na spotřebitele, kteří se svého práva nově dovolají ve své zemi a v rodném jazyce. Ochrana osobních údajů je jedním z hlavních polí působnosti české eurokomisařky Věry Jourové, podle které bude princip jednoho kontaktního místa velmi prospěšný. Návrh totiž cílí zejména na případy, kdy jsou osobní data využívána k jiným účelům, než byla původně vyžádána, a následně mohou být zneužita například pro komerční účely, nebo bezpečnostními složkami. 

Změnu pocítí nejen uživatelé internetu, ale i samotné firmy, které osobní údaje zpracovávají. Také podniky totiž budou moci jednat s pouze jednou regulační autoritou v zemi, kde má firma své sídlo. V Česku se změna dotkne například přední české internetové společnosti Seznam.cz, která si na domácím trhu stále drží prvenství v online vyhledávání. Seznam.cz nový mechanismus oceňuje, zároveň k němu však má několik výhrad.

„Idea one-stop-shop je určitě dobrá. Existenci takové instituce bychom přivítali nejen v oblasti ochrany osobních údajů, ale také ve všech dalších oblastech, které jsou dnes regulatorně roztříštěné. Výhrady však máme k textu samotného návrhu nařízení, který jde v některých bodech proti logice fungování internetového prostředí jako takového,“ řekl EurActivu ředitel pro rozvoj byznysu Seznam.cz Michal Feix.

Jak již bylo uvedeno, one-stop-shop je pouze jednou ze součástí návrhu nařízení o ochraně osobních údajů. Pokud by bylo schváleno, může na jedné straně přinést lepší ochranu osobních údajů, na straně druhé však bude pro společnosti, které nakládají s osobními údaji, znamenat nové náklady. Nařízení je součástí širšího reformního balíčku na ochranu osobních údajů, který představila v roce 2012 Barrosova Komise. Za jednu z priorit jej nyní označuje také předseda nové exekutivy Jean-Claude Juncker.

Cookie jako osobní údaj?

Pokud jde o samotné nařízení, společnosti Seznam.cz se podle Feixe nelíbí například to, že zavádí jako osobní údaj i tzv. cookies, neboli data o návštěvníkovi www serveru, která jsou daným serverem zasílána webovému prohlížeči. Tyto informace poté prohlížeč uloží na uživatelův počítač. Data, která cookie sleduje, jsou například to, jaké stránky a jak často uživatel navštěvuje nebo jaký druh informací vyhledává. Tyto údaje jsou následně využívány například pro cílenou reklamu nebo sledování chování zákazníka.

Advokátka zabývající se právními regulacemi v IT technologiích Hana Gawlasová říká, že můžeme polemizovat, zda definice osobního údaje není příliš široká, musíme si však uvědomit, že k internetovým službám přistupujeme stále častěji pomocí zařízení, která používá jen jedna osoba. Jsou to například chytré telefony, nebo tablety, které mají vlastní IP adresu a cookie může sloužit k identifikaci osoby, která zařízení používá.

Další výhradou Seznamu k návrhu nařízení je požadavek na získání souhlasu se zpracováním dat od osob mladších 14 let, přestože na internetu není možné spolehlivě ověřit totožnost uživatele. Gawlasová však tvrdí, že vhledem k rozšíření věkových kategorií využívajících internet je logické vytvořit právní prostředí, které bude brát ohled na věk osob.

„Nenechám-li svoje dítě mladší 14 let vystavovat se určitým vlivům v ‚reálném‘ světě, nemohu ho přeci nechat, aby se jim vystavovalo přes počítač, který v mnoha aspektech může vytvořit prostředí nebezpečnější, než venkovní svět,“ myslí si advokátka.

Nová pozice inspektora osobních dat

Z textu nařízení pro firmy vyplývá také povinnost zřídit pozici jakéhosi inspektora ochrany dat, což se společnosti Seznam.cz také nezamlouvá. „Zavádí podle nás zbytečnou povinnost v podobě role manažera osobních údajů, namísto aby ponechala na firmách, jakým způsobem všechny nové povinnosti zajistí,“ řekl EurActivu Feix.

Společnost Seznam.cz v této kritice však není sama. Podle Gawlasové je nesouhlas firem v tomto směru velmi častý. Pozice zaměstnance, který má v určitých typech společností dohlížet na zpracování osobních údajů, je totiž mnoha firmami vnímána velmi byrokraticky. Podle Gawlasové je zajímavé, že se proti zavedení pozice ochránce dat ve firmách vyslovují i takové firmy, které se ochraně osobních dat a soukromí pečlivě věnují.

Kladně však tuto změnu hodnotí například společnosti podnikající v zemích, kde je efektivní samoregulace běžná věc. Jedná se například o Velkou Británii, která podobnou pozici zavedla už před časem. „Firmy rozpoznávají, že vzhledem k obrovskému množství osobních údajů, které společnosti zpracovávají, je dobré mít příslušné aktivity pod kontrolou určitých osob, které mohou efektivně pomáhat jak svému zaměstnavateli, tak kolegům,“ tvrdí advokátka.

My musíme a oni ne

„Celé nařízení je navíc postiženo obecným problémem všech evropských regulací a to tím, že jsou aplikovatelné jen na evropské firmy podnikající online, a firem usazených v jiných částech světa se netýkají, přestože i společnosti mimo EU poskytují pro evropské uživatele na internetu své služby,“ uvedl pro EurActiv ředitel pro rozvoj byznysu Seznam.cz.

Toto tvrzení vyvrací advokátka s tím, že za určitých podmínek nařízení za hranice Evropské unie směřovat může. Zároveň ale uznává, že interpretace článku, který se rozsahem působnosti zabývá, je skutečně složitá. Interpretačními nedostatky se bude ještě v budoucnu zabývat nová právní úprava. „Zatím není jasné, jak její finální podoba bude vypadat, nicméně už teď víme, že na řadu aktuálních problémů její návrh myslí,“ říká Gawlasová.

Autor: Eliška Kubátová