Hana Gawlasová: Reformu v ochraně osobních údajů Evropa potřebuje

zdroj: Kinstellar, s.r.o.

„Nikoho, kdo se má nařízením řídit, asi jeho rozsah příliš nepotěší, ale výhodou je, že řada pravidel je jasně daná a řada z nich je napsána smysluplně,“ říká o chystané evropské reformě ochrany osobních dat advokátka Hana Gawlasová z právní kanceláře Kinstellar. Často kritizované nařízení má podle ní pochopitelné nedostatky, novou úpravu prý ale EU potřebuje.

  • Pokud hovoříme o reformě ochrany osobních dat v Evropské unii (více viz EurActiv 16.1.2013), ze strany českých podniků lze slyšet kritiku na adresu vlády, respektive ministerstva vnitra, které má tuto agendu na starost. Česká republika podle nich zaváhala na začátku vyjednávání a její hlas teď není v debatě příliš slyšet. Jsou tyto výtky firem oprávněné?

Trochu nešťastná situace nastala proto, že Česká republika sice má samostatného regulátora, kterým je Úřad pro ochranu osobních údajů, ale ten z určitých důvodů nemůže mít tento proces na starost, ačkoliv logicky a koncepčně by měl. Kompetence k tomu má ministerstvo vnitra, které má přímého zástupce ve vládě. Lhůta pro zpracování stanoviska k reformnímu balíčku pro ochranu osobních údajů byla poměrně krátká a ministerstvo možná nemělo pro zpracování dostatečnou kapacitu. Otázkou je, co se nyní podaří v diskuzi na evropské úrovni prosadit. Teprve nyní se o této otázce začíná v České republice hovořit také s odbornou veřejností, což se zatím příliš nedělo.

  • Návrh reformy vzbudil poměrně velkou kritiku z mnoha stran. Čím to je?

Je to logické. Hned na začátku mluví nařízení o dvou zásadách, na kterých staví a které někdy směřují proti sobě. Na jedné straně je to ochrana údajů a soukromí a na druhé straně zásada volného toku osobních údajů v rámci EU. Pokud chcete umožnit, aby tok dat plynul opravdu volně, ale zároveň chcete pečovat o bezpečnost subjektů údajů – tedy fyzických osob, vzniká konflikt. Ten je ovšem obsažen už v současné úpravě.

  • Tou je směrnice z roku 1995. Proč je potřeba ji měnit?

Běžní uživatelé podle mého názoru někdy vnímají ochranu údajů jako nelogický nebo abstraktní koncept. Často si neuvědomují, že původní směrnice je postavena na základech ochrany soukromí a osobnosti a na základních principech ochrany lidských práv. Řada principů ochrany lidských práv byla zformulována zejména v období po druhé světové válce, kdy vznikla řada mezinárodních smluv a úmluv.

Načasování směrnice nebylo příliš šťastné. Na začátku 90. let mělo jen relativně málo lidí e-mail nebo vůbec internet. V polovině desetiletí pak byla přijata tato úprava, zrovna ve chvíli, kdy začalo být velmi jednoduché zpracovávat a přenášet velké množství dat elektronickou cestou a kdy se začaly objevovat firmy, jež postavily svůj byznys na zpracovávání velkého množství dat nebo firmy mají velké množství uživatelů, jimž se například prodává reklama. Směrnice právě v takovou chvíli přinesla pravidla, na jejichž základě se mají data zpracovávat, vyměňovat a přenášet. Úprava podle mého názoru nebyla špatná, ale málokdo si tehdy uměl představit, že za pět nebo deset let bude realita úplně jiná. Po implementaci ve členských státech se ukázalo, že směrnice byla již v té době zastaralá a práce s ní byla nepraktická. Ani teď ale nemůžeme čekat, že nová legislativa bude dokonalá. Iniciativa pro novou úpravu vznikla již v roce 2009 a než byla v lednu 2012 zveřejněna, došlo opět k dalšímu vývoji.

  • Během implementace současné směrnice vznikly mezi jednotlivými členskými státy rozdíly, které zmiňuje i Evropská komise s tím, že je pravidla potřeba sjednotit. Také proto přichází s reformou. Jak se prakticky mohou projevit takové rozdíly?

Týká se to například přenosu osobních údajů mezi jednotlivými státy, typicky jde třeba o firmy, které mají velká portfolia osobních údajů. Pokud je chtějí za nějakými účely přenášet, je to nejčastěji ošetřeno smlouvami. Ty musí být v souladu s právní úpravou v dané zemi, do které jsou přenášeny, s právní úpravou, která je založena na implementované směrnici. Firmy přenášející osobní údaje pak chtějí vědět, jestli jejich smlouvy odpovídají také předpisům v jiných státech a předpokládají, že ano, pokud jsou tyto předpisy založeny na jedné směrnici. Například Česká republika a řada jiných zemí nemá problém s tím, aby společnost s pobočkami třeba ve třiceti státech, včetně těch mimo EU, podepsala jen jednu, multilaterální smlouvu. Ale například v Rumunsku lokální regulátor multilaterální smlouvy neuznává, a nutí společnosti sepsat řadu bilaterálních smluv. Jde možná o drobné odlišnosti, které ale mohou velmi komplikovat podnikání. V Lucembursku byla zase pravidla směrnice implementována opravdu velmi přísně, a pokud tam chce někdo svůj byznys smysluplně rozvíjet, podle tamních kolegů-právníků není možné místní předpis o ochraně osobních údajů dodržovat plně.

Často jsou normy pro ochranu osobních dat navázány také na jiné obory. Jde například o pracovní právo, které řeší ochranu osobních údajů zaměstnanců. V různých zemích se taková pravidla liší, například v otázce, kdy je k určitým druhům zpracování osobních údajů třeba souhlas zaměstnance a kdy nikoliv, což opět působí potíže s podnikáním. Nařízení v současné podobě řadu problémů řeší velmi detailně, takže implementačních problémů by po jeho přijetí mohlo být daleko méně.

  • Nakonec se ale opět může stát, že nařízení projde během vyjednávání takovými změnami, že každá členská země nakonec bude mít pravidla rozdílná.

Není možné se spoléhat, že někdo dokáže napsat dokonalou úpravu. Slyšela jsem na novou úpravu řadu námitek z mnoha stran, ale i tak je všem jasné, že nějakou reformu potřebujeme. Pokud by se celé nařízení během legislativního procesu shodilo a bylo vypracováno v nové podobě, třeba i jako směrnice, našla by se sice skupina, pro kterou by to bylo přijatelné, ale pro jinou by to byl opět problém. Je proto otázkou, zda bude mít Evropská komise dostatek síly, aby novou úpravu prosadila a aby odolala tlaku lobbingu jednak zevnitř EU, ale také zvenku. Mnoho větších států, které s EU obchodují, například Spojené státy, se do nařízení snažilo prolobbovat řadu změn a některé možná byla dokonce přijaty.

  • V čem vlastně přináší nové nařízení největší průlom?

Definice osobního údaje je nyní mnohem širší, což může být zdrojem potenciálních problémů, ale na druhou stran to určitými skupinami může být přijímáno pozitivně. Souvisí s tím například i věčná debata o tom, zda jsou cookies osobními údaji nebo ne. Podle nařízení už osobní data nejsou jen údaje, které mohou vést k identifikaci dané osoby, ale je to v zásadě všechno, co se k té osobě nějakým způsobem vztahuje. Rozumím tomu, proč taková změna přichází, v praxi to ale může působit potíže. Může to dávat kritikům příležitost poukazovat na zbytečnost nařízení, protože podle nich bude nutné aplikovat nákladnou ochranu na data, jejichž zpracování nemůže v podstatě nikoho ohrozit.

  • V debatě o reformě ochrany osobních dat se často zmiňují zásadní opatření, jako je povinnost správců dat oznamovat narušení ochrany dat, povinnost firem ustanovit vlastního inspektora pro ochranu dat nebo povinnost rodičovské autorizace osobních údajů dětí do 13 let. Jak jsou tyto oblasti upraveny současnými normami?

Tyto povinnosti směrnice z roku 1995 specificky neukládá nebo nabízí možnost dobrovolné implementace, která v některých zemích proběhla. Povinnost oznámit únik dat tak funguje například ve Velké Británii, ale v Česku ne, ačkoliv je to zdvořilost, kterou řada firem stejně v nějaké formě dodržuje. Povinnost ustanovit inspektora má v současné chvíli třeba Slovensko nebo opět Velká Británie, která je v tomhle oboru ostatně hodně progresivní. Autorizaci údajů mladistvých směrnice v současné době neřeší, protože v době jejího přijetí neexistovaly sociální sítě a podobné uživatelské platformy. Pravidla se proto dohledávají v různých lokálních předpisech. Problém u této otázky může nastat například s hranicí 13 let. Řada států má práva, která mladistvým přiznává určitá práva až od 15 nebo 14 let. Hranice 13 let tak může být pro některé země nebo kultury příliš nízká.

  • Jednou z nejkontroverznějších otázek je právo být zapomenut, tedy právo požadovat smazání veškerých údajů, které uživatel určité společnosti poskytl. Proti tomu některé podniky silně protestují…

V tuto chvíli je ten návrh nařízení velmi přísný a rozumím společnostem – správcům osobních údajů, že se tomu brání. Již teď mají povinnost zlikvidovat data ve chvíli, kdy je už nepotřebují. Podle nového nařízení by ale prakticky musely zcela změnit procesy zpracování údajů. Jako uživateli se mi tento prvek ochrana osobních údajů líbí, ale dovedu si představit, že pro firmy je to potenciálně velký problém. Je potom otázkou, „pro koho“ bylo nařízení „napsáno“. Objevují se tam dvě základní roviny – ochrana údajů a soukromí a na druhé straně podpora podnikání a rozvoj společnosti obecně. Nemyslím si ale, že velcí správci dat by chtěli dělat svůj byznys protiprávně nebo že by chtěli podnikat tak, aby programově data zneužívali. Spíše chtějí aktivně rozvíjet to, co dělají, a dodržovat relevantní právní úpravu a chápu, že se jim právo „být zapomenut“ nelíbí, protože to vnímají jako překážku.

  • Někdy se ozývá varování, že některé firmy by mohly přestěhovat svá sídla mimo Evropu. Nemusí přitom nutně chtít data zneužívat, ale „chtějí si to zkrátka dělat po svém“.

Setkávám se při své práci s velkými správci dat, kteří chtějí právní úpravu dodržovat a chtějí vědět, jestli je jejich řešení zpracování údajů právně v pořádku. Není to tak, že by usilovali o získávání databází s údaji, které by pak někomu prodali. Přirozeně totiž chtějí, aby jejich byznys mohl fungovat déle než třeba dva roky, a tak nechtějí neriskovat svou dobrou pověst. Ano, na trhu jsou subjekty, které se živí dolováním informací z databází, a může jich být relativně mnoho, ale těm příliš účinně nezabráníte přísnou úpravou, protože tyto subjekty se na právní úpravu nebudou ohlížet. A také ony mohou hledat cesty, jak regulaci uniknout, třeba právě přes sídla v jiných zemích nebo přes falešná sídla.

  • Už jsme tu otázku trochu nakously, ale mohla byste shrnout, co se Vám na navrhovaném nařízení zamlouvá? Prozatím se na něj snáší spíše kritika, co je ale pozitivní?

Je to komplexní a dlouhá úprava. Nikoho, kdo se jí má řídit, asi její rozsah příliš nepotěší, ale výhodou je, že řada pravidel je jasně daná a řada z nich, i když ne všechny, je napsána smysluplně. Takže i ten, kdo právní předpisy nečte každý den, bude moci mít nařízení k ruce a využívat jej pro svou potřebu. To byla obecnější rovina. Konkrétně je rozumná třeba možnost komunikovat v ochraně osobních údajů s jedním národním regulátorem. Když Vaše údaje zneužije někdo ve Francii, nemusíte to řešit s francouzským regulátorem, ale obrátíte se na toho svého.

Co se mi také líbí, je detailní popis spolupráce mezi jednotlivými regulátory. Myslím, že již teď mezi sebou relativně intenzivně spolupracují, ale pravidla budou nyní skutečně detailní a praktická. To je důležité zejména pro odbornou veřejnost, která bude vědět, jak spolu mají úřady komunikovat a bude na to moci poukazovat.

Nařízení také aktivně popisuje jiné oblasti, které se zpracováváním údajů souvisí. Samotná legislativa se vztahuje pouze na osobní údaje a nemůže zasahovat do dalších oborů, ale v těch dalších oborech dává členským státům možnost upravit je určitým způsobem. Často pro klienty posuzujeme věci, které souvisí s pracovním právem, ochranou osobnosti, speciálními pravidly pro regulované obory – banky, pojišťovny nebo telekomunikační operátory. Je dobré vidět, že Evropská komise na tyto souvislosti také myslí.

  • V nedávném rozhovoru s Harrym Van Dorenmalenem z IBM jsme se věnovali konceptu chytřejších měst, který využívá velkého množství dat. On tehdy zdůrazňoval, že je potřeba údaje rozlišovat na ty, které jsou skutečně osobní a je třeba je chránit, a ty, jejichž zpracovávání nepřináší rizika. Kde je taková hranice?  

Jde o otázku seskupování údajů. Zpracování některých údajů skutečně není samo o sobě nebezpečné, pokud stojí samostatně nebo nejdou ruku v ruce s větším množstvím jiných dat. Jakmile jich dáte dohromady víc, může to již o dané osobě vypovídat věci, které lze považovat za zneužitelné. Proto je potřeba najít hranici mezi zpracováním skupin údajů, u kterých nebezpečí nehrozí, a mezi tím, jak snadno je systém napadnutelný a zneužitelný. Hledat tuto rovnováhu je složité.

U jednotlivých osob lze tuto otázku podle mého názoru řešit tak, že jim dáte kontrolu nad tím, jaké údaje chtějí poskytnout. Pokud jim chcete poskytnout nějakou službu, vyžádáte si od nich povinné údaje, které potřebujete. Můžete jim ale nabídnout, že službu jste schopni poskytovat lépe, pokud jsou ochotni poskytnout ještě další, nepovinné, údaje. Co se týká zneužitelnosti, to je otázka technická. Také je důležité zdůraznit jednu věc. Často se hovoří o vnějších útocích hackerů, ale málo se hovoří o útocích zevnitř, odkud jsou systémy také napadnutelné.

  • S tím může souviset i argument zastánců reformy, kteří se domnívají, že firmy se díky nařízení budou muset nad ochranou osobních dat více zamyslet. Potřebují to?

Nemyslím, že by se nad ochranou dat dosud zamýšlely málo, ale nařízení jim pomůže ochranu pojmout komplexněji. Nejde pouze o věc právní nebo regulatorní. Nová opatření bude nutné implementovat do praxe. Je třeba uvážit také provázanost na jiná oddělení v rámci podniků – na IT, marketing nebo personální oddělení. Ochrana dat je živý organismus, na což nařízení docela dobře reaguje. Evropská komise dokonce vyčíslila, jaké náklady by to mohlo podnikům ušetřit. Je ale nutné podotknout, že úspory se jistě neobjeví hned v počátku. Jak jsem již říkala, samotná implementace procesů bude dlouhá, náročná a nákladná. Může být nakonec prospěšná, ale nebude to levné.