Michal Feix: Ochrana osobních dat podle představ Komise nebude fungovat

zdroj: Seznam.cz

„Zvláště na internetu uživatelé snadno poznají, že určitá služba není dostatečně důvěryhodná. Podnikatel se sám zbaví důvěryhodnosti a jeho byznys ztroskotá, aniž by mu někdo hrozil postihy,“ říká výkonný ředitel firmy Seznam.cz Michal Feix. Proč jsou podle něj nové plány Komise na ochranu osobních dat problematické? A jak se dívá na přístup ČR k digitální ekonomice?

Michal Feix vystudoval elektrotechnickou fakultu ČVUT. Postupně působil u tří největších českých internetových portálů, do Seznamu.cz nastoupil v roce 2004 jako administrátor Linuxu, poté pracoval na pozici vedoucího oddělení IT operations. V současné době je výkonným ředitelem firmy. EurActiv s ním hovořil zejména o evropském návrhu nařízení o ochraně osobních dat, který byl představen na začátku letošního roku (více informací viz např. EurActiv 8.11.2012).  

  • Co pro společnost, jako je Seznam.cz, znamená ochrana osobních dat? Jaké pro vás například představuje administrativní náklady a co všechno do ní vlastně patří?

Každá firma, ať už podniká na internetu nebo jinde, musí působit důvěryhodně, aby měla na trhu šanci přežít. K tomu ji principiálně nenutí žádné zákony, ale pud sebezáchovy a snaha obstát v konkurenci. Proto jsem přesvědčen, že jakákoliv regulace, o které mluvíme například v souvislosti s návrhem Evropské komise, pouze uměle nastavuje nějaká pravidla a snaží se řešit nějaký problém, který již ale ve skutečnosti řeší každá regulérní firma.

Některé firmy jdou cestou zaměstnávání odborníků, kteří se zabývají bezpečností. Některé společnosti jich mají pět, jiné padesát a některé jsou schopné zvládnout provoz bez těchto specialistů a samy hlídají, aby byla data dostatečně zabezpečena. Každý podnikatel takové věci vyhodnotí podle toho, jaké množství dat má k dispozici a jak velký byznys drží. Evropská komise by ale ráda na všechny použila jeden metr. Všechny firmy s více než 250 zaměstnanci by podle návrhu měly mít určitou minimální úroveň administrativy, která se bude ochranou dat zabývat. To je z mého pohledu umělé a zbytečné. Zvláště na internetu uživatelé velmi snadno poznají, že určitá služba není dostatečně důvěryhodná, například i díky práci novinářů, kteří na problémy upozorňují. Pokud lidé něco takového zjistí, půjdou zkrátka jinam, podnikatel se sám zbaví důvěryhodnosti a jeho byznys ztroskotá, aniž by mu někdo hrozil postihy a pokutami.

  • Co tedy konkrétně pro mě jako například pro uživatele Seznamu znamená, že firma chrání má osobní data? Kde všude se moje osobní data objeví a k čemu slouží? 

Zaprvé je třeba říci, že Vaše osobní data jsou údaje, které nám poskytnete dobrovolně a sama se rozhodnete, jestli zadáte skutečné osobní údaje, nebo data, která jste si vymyslela. Po uživatelích nevyžadujeme, aby nám za každou cenu o sobě dávali veškeré osobní údaje. My je ani nepotřebujeme a sbíráme jen to nejnutnější. Ať už se vydáte jednou nebo druhou cestou, k Vašim datům v obou případech přistupujeme stejně pečlivě. Znamená to, že je používáme v rámci systémů pouze pro naši vlastní identifikaci konkrétního uživatelského účtu, neprodáváme je třetím stranám ani je nikde nezveřejňujeme. Údaje jsou uloženy na serverech fyzicky oddělených od serverů, které vydávají data do internetu. Proto ani snahy o napadení serverů, které jsou přímo dostupné z internetu a vytvářejí například webový vzhled e-mailové schránky, nemohou osobní data ohrozit, protože útočník se k nim nedostane.

  • To je i pro laika vcelku srozumitelné. Řada průzkumů veřejného mínění ale ukazuje, že velký počet uživatelů se o svá osobní data na internetu obává. Tím ostatně argumentuje i Komise…

Je to spíše nebezpečné hraní s čísly. Pokud se zeptáte lidí, jestli se večer cítí bezpečně v centru Prahy, ze statistiky například vyjde, že 80 % lidí se bojí, že se jim v jednu nebo ve dvě hodiny ráno může v centru Prahy něco stát. Pak by se mohli politici rozhodnout, že v noci centrum Prahy uzavřou a zavedou extrémní bezpečnostní opatření. Záleží tedy na tom, jak si získaná čísla vyložíme a jak je uplatníme.

Záměr Komise je veden dobrými úmysly. Stejně tak cesta do pekla je většinou dlážděna dobrými úmysly. Nařízení by sice mělo uživatelům pomoci, aby se cítili bezpečně. Přináší ale řadu opatření, která jim v podstatě k ochraně soukromí nepomohou. Osobní údaje mladistvých by například měli podle návrhu autorizovat rodiče. V internetovém prostředí, kde nevíte, kolik let je uživateli ve skutečnosti, je to v podstatě nerealizovatelné. Neštěstím navrhovaného nařízení je hlavně to, že se snaží pojmout široko škálu záležitostí a veškerý byznys, pro který mají platit jednotná pravidla. To ale nebude fungovat.

  • Zmínil jste opatření na ochranu mladistvých. Jaká další konkrétní opatření jsou podle Vás v návrhu problematická?

Dalším z bodů je například právo být zapomenut. Firma získá něčí data – ten člověk může být platícím klientem a v určitém momentě vysloví přání „být zapomenut“. Co to ale bude pro firmu znamenat třeba ve vztahu k finančním úřadům a dalším orgánům? Může ta data zahodit, když by měla být schopna vykázat finančním úřadům historii daného klienta? Je tam také povinnost přenositelnosti dat mezi jednotlivými subjekty. Legislativa už ale neřeší, v jakém formátu by se to mělo dít. Těch formátů je přitom nepředstavitelné množství a technicky je to nerealizovatelný úkol. Zmiňoval jsem také povinnost větších podniků zaměstnávat administrativní aparát, který se bude věnovat hlídání bezpečnosti údajů. Existují však společnosti, které mají méně než 250 zaměstnanců, ale pracují s enormním množstvím osobních údajů, jako například IZIP.

Těch bodů je celá řada. Jak jsem říkal, na jedné straně přinášejí administrativní náklady, které pouze zdraží podnikání ve členských státech EU ve srovnání se zbytkem světa. Na druhé straně je řada z nich také těžko realizovatelná bez toho, aby se návrh dostatečně zkonkretizoval.

  • Komise argumentuje také tím, že chce sjednotit předpisy v jednotlivých členských státech a že se tím situace v oblasti ochrany dat vlastně zjednoduší. Jak se díváte na tento argument? 

Komise se sice snaží tato pravidla harmonizovat v rámci EU, ale to je v digitální branži velmi nedostatečné. I kdyby ideálně ve všech členských státech platila jednotná pravidla, stále je tu nezanedbatelně velký zbytek světa, který se bude potenciálně řídit jinými pravidly – proto ta harmonie nebude ve finále fungovat. Podnikatel, který umístí své podnikání do USA nebo na nějaký karibský ostrov, bude moci internetové služby poskytovat stále třeba i českým uživatelům, ale protože bude mít své sídlo formálně mimo ČR, nebude se na něj legislativa vztahovat. To přece nedává smysl. Podnikatelé, kteří si budou chtít zjednodušit administrativu – nemusí přitom rezignovat na bezpečnost, jen se budou chtít zařídit tak, jak to sami považují za nejefektivnější – jednoduše své firmy přestěhují o pár set kilometrů dál. Kdo na tom ztratí, budou samozřejmě členské státy, které přijdou o daně a poplatky, které jim firmy odvádí.

  • Návrh nařízení vzbudil pozornost i v České republice. Firmy ale upozorňují na to, že ČR jako členský stát není v této věci na evropské scéně dostatečně aktivní. Jak to vlastně v současnosti vypadá – existuje v Unii spíše tlak na změnu návrhu nebo jej členské státy akceptují?

Ještě před třemi měsíci se u nás o nařízení ještě nemluvilo a jsem rád, že se o tom nyní v   odborných kruzích i médiích začíná diskutovat. Česká republika není jediným státem, který by k tomu měl nějaké výhrady. Od výrazné většiny států k návrhu zaznívají kritické komentáře. Liší se hlavně v tom, jaká míra administrativní zátěže už v těch zemích existuje. Němci jsou například v zaměstnávání „bezpečnostních oficerů“ výrazně dál a ve spoustě společností již tyto bezpečnostní odborníky zaměstnávají. Pro české podnikatele je to naopak zcela nová povinnost, které se budou muset podřídit.

Výhrady evropských států se setkávají například v nejasných bodech ohledně věkové hranice, práva být zapomenut nebo povinnosti zachovat přenositelnost dat, která spravujete. Živá debata se vede ve státech, kde již firmy musí zaměstnávat bezpečnostní odborníky s různými pravomocemi a postavením, a teď jim Evropa říká, že by to od nějakého okamžiku mělo být jinak, než jsou zvyklí.

Pokud jde o postoj České republiky, myslím, že jsme si na začátku roku sami zkomplikovali pozici. Stanovisko, které ČR poslala do Bruselu, bylo hodně volné a nekonkrétní. Zaslechl jsem interpretaci, že jsme nejprve chtěli odevzdat „žlutou kartu“ s obecným konstatováním, a pak teprve v ČR zahájit debatu a sbírat konkrétní námitky. Myslím, že to není úplně šťastné řešení, protože konkrétních věcí se teď objevuje v diskuzích velké množství. Debaty na úrovni EU se již přeorientovaly spíše na státy, které byly ve svých stanoviscích velmi konkrétní, a od začátku je bylo slyšet. Česká republika to teď spíše dohání.  

  • Hovoří se hodně také o tom, že legislativa by měla mít spíše volnější podobu směrnice než nařízení, které musí členské státy přímo akceptovat. Pomohlo by to něčemu?

Nemyslím si, že pouze přeměna z nařízení na směrnici je něco, z čeho bychom měli jásat. Podle mého názoru je důležité věnovat se těm konkrétním bodům, které teď v návrhu legislativy jsou, protože právě ty doopravdy zkomplikují podnikatelské prostředí, zvýší administrativní náklady a zhorší konkurenceschopnost členských států. Měli bychom spíše diskutovat o tom, které konkrétní body jsou v tom nařízení pro byznys použitelné.  Myslím si, že snaha změnit nyní nařízení na směrnici je spíše diplomatická taktika, jak omezit množství připomínek, které přicházejí.

  • Mluvili jsme již o řadě kritických připomínek, které k dokumentu existují. Přináší návrh legislativy také něco pozitivního?

Je dobře, že se Evropská komise zajímá o to, jak jsou nebo nejsou chráněny osobní údaje. Uchopila ale tu otázku za špatný konec. Proto by měl být text podle mého názoru zcela přepracován. Musí to být text, který bude výrazně jednodušší a hlavně obecnější, protože jedním dokumentem nelze pokrýt veškeré typy podnikání, které se v EU objevují. Pokud bude ve všech bodech příliš konkrétní, vždy se najde nějaký typ byznysu, na který to nebude možné aplikovat. Jak už jsem navíc říkal, pokud chce Komise harmonizovat nařízení, vždy bude narážet na zbytek světa. V internetovém byznysu, kde žádné hranice neexistují, se jakákoliv restrikce míjí účinkem. Z mého pohledu je proto lepší buď žádnou restrikci nemít, nebo sledovat pouze pravidla, která platí i ve zbytku světa.

  • Když už jsme u toho – existují vůbec evropské firmy, které by se mohly v globálním měřítku porovnávat třeba s americkými společnostmi, které na internetu působí?

Komisařka Neelie Kroesová, která má na starosti digitální agendu, si letos postěžovala, že v Evropě nesídlí žádné takové nadnárodní, globální firmy, které by expandovaly do světa a které by měly podobné šance a ambice ovládnout svou službou celosvětový trh. Zkrátka je nemáme a musíme dělat všechno pro to, abychom jejich vzniku napomohli. Bojím se, že právě nové opatření, které chystá její kolegyně Viviane Redingová, je přesně cestou, jak tomu nepomoci. Aby tady takové firmy vznikly, potřebují příznivé a invenční prostředí. Prozatím je ale situace spíš taková, že zahraniční firmy Evropu „kolonizují“ – sídlí mimo její hranice a mají zde pouze své pobočky.

  • Má vůbec Evropská unie nějaké nástroje, aby mohla na takových globálních firmách vymáhat dodržování svých pravidel v oblasti ochrany osobních dat?

Když se podíváme na několik konkrétních kauz jako například spor firem Samsung a Apple, které bojovaly i v Evropě o prodej nových Samsung tabletů, EU má v takových případech skutečně velmi silné a funkční nástroje. Pokud dojde k názoru, že skutečně došlo k porušení pravidel, zakáže jednoduše distribuci konkrétního hmotného předmětu, který se na území EU nebo v konkrétních členských státech od určitého okamžiku zkrátka nemůže prodávat. To ale nelze udělat u věcí, které jsou nehmotné, jako je například internetová služba. Jediným způsobem by totiž bylo zavedení cenzury

Z mého pohledu je teoreticky v podstatě nemožné, že by vznikla nějaká přeshraniční dohoda, na jejímž základě by veškeré zahraniční subjekty musely chtě nechtě na území Evropy dodržovat její ustanovení. Nařízení je takto koncipováno, text hovoří o tom, že ho musí respektovat i firmy, které sídlí mimo EU a na území Unie pouze podnikají. Ale jak toho chceme v případě internetu dosáhnout? Jak chceme zabránit tomu, aby nějaký zahraniční poskytovatel svou službu přes internet nedostal na území ČR? Internetovou službu nelze zastavit na hranicích jako tablet, jako je možné zavřít obchody, které porušují nařízení o zákazu prodeje. Internet musíte jako službu odstřihnout a zcenzurovat nebo jednoduše nedosáhnete svého. A pochopitelně, cenzura internetu je téma, které je v Evropě naprosto oprávněně tabu.

  • Když už hovoříme o evropské legislativě, která se má týkat osobních údajů, jak je na tom v současné době Česká republika? Jsou u nás v této oblasti nějaké problematické body?

Nemohu mluvit za celou podnikatelskou sféru, ale mohu použít zkušenosti z internetového prostředí a z toho, kde Seznam na nějaké limity narazil. Věc, která nás pálí, ale nesouvisí tolik s ochranou osobních údajů, jako spíš s tím, jakým způsobem jsou uznávány například naskenované verze občanských průkazů a jakým způsobem lze pracovat s digitální formou různých identifikačních dokladů. Často platí, že v České republice musíte mít na všechno originální doklad a papír. Na západ od nás se přitom běžně pracuje s jejich digitální formou, která je uznávána téměř jako originál nebo jen s malými omezeními pro vybrané typy úkonů. Krásný příklad je například stávající loterijní zákon. Pokud chcete provozovat internetové sázení jako v Česku registrovaná sázková kancelář, musíte donutit sázejícího, aby fyzicky přišel na kamennou pobočku, předložil občanku, nechal se zaregistrovat, získal přístupové údaje a pak se teprve vrátil domů k počítači a mohl začít sázet. Když se podíváte na jakoukoliv zahraniční sázkovou kancelář, dnes je naprosto běžné, že ten identifikační doklad prostě naskenujete, pošlete mailem, v kanceláři ho zpracují, uloží a Vy můžete prostřednictvím platební karty nabít svůj kredit a dávat první sázky. To jsou opět věci, které komplikují konkurenceschopnost českých firem.

  • Když se podíváme na téma digitalizace a elektronizace v širším kontextu, zdá se, jakoby Česká republika stále tak trochu nevěděla, jak toto téma uchopit. ICT firmy si často stěžují na roztříštěnost, která u nás v této sféře panuje. Jak se na to díváte Vy?

Nejprve bych poukázal na rozdíl v tom, jak k tématu digitalizace přistupují Česká republika a Evropská unie. Unie má pro toto téma vyčleněné portfolio jednoho komisaře, respektive komisařky, která se zabývá digitální agendou. V České republice jsme ministerstvo informatiky pohřbili v roce 2007. Od té doby se digitální agenda rozběhla v rámci gesce různých ministerstev, které se k ní izolovaným způsobem nějak staví. To je jeden z hlavních důvodů, proč digitalizace v ČR patří všem a zároveň nikomu. Na druhou stranu vidím určité světlo na konci tunelu v dokumentu Digitální Česko 2.0, které snad půjde na vládu ještě do konce letošního roku. Dokument říká, že jednotlivé součásti této problematiky by se měly soustředit do gesce ministerstva průmyslu a obchodu ve spolupráci s Radou vlády pro konkurenceschopnost a informační společnost. To je jeden z nejdůležitějších kroků, které musíme udělat – centralizovat digitalizaci pod jedno ministerstvo a věnovat se jí skutečně komplexně s týmem lidí, kteří na to budou mít vyhrazený čas a prostředky.

  • Co ještě spatřujete jako zásadní body nové verze Digitálního Česka?

Pokud se budu držet obecné roviny, je důležité, že Česká republika v tom dokumentu zjevně respektuje, že je zde Evropská unie, která již v dnešní době drží řadu kompetencí a není to Česko, které by v řadě oblastí rozhodovalo. V dokumentu je to jasně řečeno a celkově je navázán na evropskou Digitální agendu 2020.

Co se týče konkrétních věcí, mám radost z toho, že jedno ze základních prohlášení dokumentu zní: nebudeme blokovat internet. Je dobře, že se Česká republika nevydá cestou Francie a pravidla „třikrát a dost“, kdy je uživatel po třech porušeních etického nebo trestněprávního jednání na internetu odstřižen a nemá možnost získat připojení k internetu. Česká republika internet staví do pozice téměř základní služby, na kterou má právo každý občan. Je také dobře, že se chce dokument věnovat otázce autorského práva, která je dnes na internetu hodně zastaralá a těžkopádná. Narážíme dnes a denně na to, že problematika kopírování a inspirování je dnes příliš staromódní a svázaná se světem cédéček a videokazet. Mám radost i z podpory širokopásmového připojení, které se dokument také věnuje. Naštěstí bude mít Česko také možnost dosáhnout na nějaké peníze z 50miliardového balíku, který EU plánuje do podpory a rozvoje broadbandu investovat. Jsem přesvědčen, že je to dobrá cesta, které bychom se měli chytit. Dostupnost internetu je něco, co omezuje konkrétní uživatele zejména mimo velká města v tom, aby mohli plně vyžívat výhod, které dnes internet přináší.  Samo se to nezmění, a pokud má Komise prostředky pro finanční podporu, měla by toho ČR využít.