Ochrana osobních dat opět na stole EU: o reformě hlasují europoslanci

Německý europoslanec za Zelené J. P. Albrecht; zdroj: WikimediaCommons.org; autor: Mathias Schindler

Dnes (21. října) večer mají europoslanci rozhodovat o návrhu reformy pro ochranu osobních dat v EU. Po průtazích by se tak projednávání mělo opět posunout, Parlament pak čeká jednání se členskými státy. Europoslanci navrhují změny v některých zásadních bodech. Objevuje se také opatření, které má prý do budoucna zabránit podobným událostem, jaké se objevily v souvislosti s americkou kauzou Prism.

Po roce a půl vyjednávání dosáhli europoslanci ve výboru pro občanské svobody, spravedlnost a vnitřní věci kompromisu nad nařízením pro ochranu osobních dat v EU. Návrh Evropská komise předložila na začátku minulého roku (EurActiv 18.10.2012).

Jednání v Parlamentu se v průběhu letošního roku komplikovala (EurActiv 5.6.2013). Zástupci všech politických skupin ale nakonec našli nad návrhem zpravodaje Jana Philippa Albrechta (Greens/EFA, Německo) shodu. Zprávu, ke které se sešel rekordní počet 4.000 pozměňovacích návrhů, by měl výbor odhlasovat dnes (21. října) večer.

Rozsáhlé nařízení má přizpůsobit moderní internetové době původní zásady obsažené ve směrnici z roku 1995. Změny se mají týkat zpracování osobních údajů na sociálních sítích, při online nakupování nebo při využívání elektronických bankovních služeb. Mají se dotknout například také registrů nemocnic a univerzit nebo databází klientů a osobních údajů.

V kompromisním textu se nově nachází také opatření, které reaguje na tzv. aféru Prism. Na začátku léta vyšlo najevo, že Spojené státy sledovaly telefonickou a elektronickou komunikaci desítek milionů lidí včetně evropských občanů (EurActiv 12.6.2013). Ve vztazích EU a USA to vyvolalo napětí před vyjednáváním o transatlantickém obchodním a investičním partnerství (EurActiv 25.9.2013).

Europoslanci navrhují vytvořit právní rámec, který by firmám z USA zabraňoval podle vlastní vůle poskytovat osobní data Evropanů americké zpravodajské službě nebo dalším stranám. Pokud by firmy nenakládaly s daty v souladu s evropskými předpisy, hrozila by jim pokuta.   

Celé nařízení přichází dohromady se směrnicí, která upravuje zpracování osobních údajů v souvislosti s vyšetřováním a stíháním trestných činů. Oba legislativní návrhy tvoří balíček, který má reformovat současný evropský přístup k ochraně osobních dat (EurActiv 16.1.2013). Europoslanci je budou muset projednat ještě se členskými státy. Cílem evropských institucí je dosáhnout dohody ještě před květnovými volbami do Parlamentu.

Být zapomenut, mít inspektora atd.

„Vlajkovou lodí“ reformy je podle mnohých tzv. právo být zapomenut. Jak navrhla Komise, uživatelé internetu by měli mít právo požádat o vymazání online dostupných informací, které se jich nějak dotýkají. Výjimkou by byly situace, kdy je zadávání osobních dat vyžadováno zákonem nebo například pokud jsou údaje potřebné pro vědecký výzkum.

Zpravodaj Albrecht ve své zprávě požaduje, aby tímto právem nebylo narušeno právo na svobodu vyjádření. Někteří europoslanci však žádají, aby bylo celé opatření z návrhu vyškrtnuto. Nelze ho prý totiž realizovat v praxi. S tím souhlasí i někteří odborníci.

„V informační společnosti, kde je řada zpracovávaných osobních údajů veřejná nebo může být zveřejněna či jinak zpracována mimo jakoukoli kontrolu správce, nebude správce této povinnosti schopen vždy dostát,“ uvádí ve svém pozičním dokumentu například koalice firem z České republiky pod hlavičkou Americké obchodní komory a ICT Unie (EurActiv 8.7.2013).

„Již teď mají společnosti povinnost zlikvidovat data ve chvíli, kdy je už nepotřebují. Podle nového nařízení by ale prakticky musely zcela změnit procesy zpracování údajů. Jako uživateli se mi tento prvek ochrana osobních údajů líbí, ale dovedu si představit, že pro firmy je to potenciálně velký problém,“ řekla EurActivu v dřívějším rozhovoru advokátka Hana Gawlasová, která se touto problematikou dlouhodobě zabývá.

V návrhu se dále hovoří o tom, že k použití údajů má být vždy nutné získat výslovný souhlas osoby, které se týkají. Řeší se také, jakou by měl mít uživatel možnost převádět své údaje k jinému poskytovateli.

Návrh Komise také požaduje po větších podnicích (s více než 250 zaměstnanci), aby ustanovily svého inspektora ochrany osobních údajů, který bude hlídat interní procesy a zabezpečení ochrany osobních údajů ve firmách. Kritici návrhu tvrdí, že pravidlo je nesmyslné, protože existují společnosti, které mají méně než 250 zaměstnanců, ale pracují s enormním množstvím osobních údajů.

„Existují společnosti, které mají méně než 250 zaměstnanců, ale pracují s enormním množstvím osobních údajů, jako byl v České republice například projekt elektronické zdravotní knížky IZIP,“ řekl dříve v rozhovoru výkonný ředitel firmy Seznam.cz Michal Feix.

Zpravodaj Albrecht proto navrhuje, aby se toto pravidlo neodvíjelo od počtu zaměstnanců firmy, ale právě podle toho, jaké množství osobních dat zpracovává. Minimum má být stanoveno na 500 subjektů ročně.

Věčná otázka: profilování

Další otázkou je tzv. profilování, tedy postup, kdy firmy na základě osobních údajů vyhodnocují a předpovídají chování uživatelů, například co se týče zboží, které nakupují.  

„Cokoliv na internetu děláte, je sledováno a používá se to tím způsobem, že vám internetové stránky nabízejí různé výrobky,“ říká k tomu člověk, který se profilováním živí a kterého pro svou informační kampaň oslovil Evropský parlament.

„Když navštívíte nějakou internetovou stránku, tato stránka umístí do vašeho počítače tzv. cookie. Tento malý soubor nese informace o vaší návštěvě dané stránky. Některé z těchto souborů se používají právě k profilování,“ vysvětluje.  

Jak ve své zprávě uvádí Albrecht, profilování by mělo probíhat pouze se souhlasem uživatele, nebo pokud je povoleno zákonem. Nemělo by se navíc týkat dětí a zahrnovat citlivá data.  Podle kritiků by ale měla přísná pravidla platit pouze v případě, že je to opodstatněno riziky, která se pojí s jejich zpracováním.

Správci dat by také měli své podmínky týkající se osobních dat předkládat uživatelům ve srozumitelné formě. Měli by tak používat jednoduchý jazyk a jasná vyjádření.

„Moje zkušenost je taková, že většina lidí nerozumí tomu, s čím souhlasí, když přijímá smluvní podmínky na nějaké internetové stránce,“ říká k tomu právník se specializací na prostředí internetu, kterého také cituje Evropský parlament ve své kampani.