Strhne se v Evropské unii bitva o ochranu osobních údajů?

zdroj: FreeDigitalPhotos.net; autor: Salvatore Vuono

Evropské nařízení o ochraně osobních dat se nachází v počátcích projednávání, už nyní ale vzbuzuje hlasité reakce. Ozývají se proti němu hlavně evropští provozovatelé internetových stránek. Přinese prý administrativní zátěž a znevýhodní evropské firmy v globální konkurenci. Jak návrh vnímají odborníci v ČR?

Evropská komisařka pro spravedlnost, základní práva a občanská Viviane Reding letos v lednu představila návrh na reformu ochrany osobních údajů v EU. Legislativní balíček vzbudil pozornost v řadě členských států a vyvolal kritiku provozovatelů internetových portálů i dalších firem z oblasti informačních a komunikačních technologií (ICT).

Nelibost vzbudil především stěžejní dokument – nařízení o ochraně údajů („nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů“). Podle Reding by mělo toto nařízení zajistit, že uživatelé internetu budou mít větší kontrolu nad tím, jak provozovatelé služeb na internetu nakládají s jejich daty.

V českém prostředí vstoupil návrh ve známost jako „sušenkový zákon“. Novela totiž za osobní informaci považuje i tzv. cookies (angl. „sušenky“). Jde o krátké textové soubory, které se ukládají do počítače uživatele například při přihlašování do e-mailu. Lze je použít třeba pro automatické přihlašování, slouží ale například také pro cílenou reklamu na internetu. Na základě nové legislativy by se mohli uživatelé při návštěvě stránky sami rozhodnout, jestli budou cookies využívat.

Podle kritiků je problematických bodů více. Přinesou prý zejména administrativní zátěž. Firmy by měly mít například povinnost oznámit do 24 hodin porušení ochrany osobních dat. Podniky s více než 250 zaměstnanci také možná budou muset mít svého inspektora ochrany údajů. Provozovatelům webů se nelíbí ani to, že zákonní zástupci mladistvých by museli souhlasit s tím, aby děti využívaly na internetu různé služby.   

Při prosazování ochrany dat by měla ve členských státech EU existovat větší flexibilita, shodují se kritické hlasy. Evropská nařízení jsou totiž pro členské státy přímo závazná – na rozdíl od směrnic, které mohou členské státy implementovat pomocí nástrojů, které si samy zvolí.  

„Dlouhý výčet pravomocí svěřených Evropské komisi, stejně jako úprava národních výjimek z nařízení ve zvláštních situacích naznačují, že by vhodnější právní formou mohla být směrnice,“ řekl EurActivu Ondřej Koutek, vedoucí oddělení politik EU na ministerstvu vnitra, které má nové předpisy v ČR na starosti.  

Vzhledem k přímé platnosti nařízení bude v podstatě nadbytečný zákon o ochraně osobních údajů, který tuto oblast upravuje v současnosti. Nařízením naopak budou do českého právního řádu zavedeny nové, dosud neznámé instituty, dodala Kateřina Hrdinová, právnička společnosti Centrum Holdings, která mimo jiné provozuje portály Centrum.cz a Atlas.cz.  

„Dle našeho názoru je v současné době ochrana osobních údajů v jednotlivých členských státech do značné míry sjednocena, co se hlavních principů ochrany týče. Nařízení v tomto smyslu spatřujeme jako nadbytečné,“ sdělila redakci.

Vše je v procesu  

Jedním z důvodů pro zavedení nového právního rámce jsou ale podle Evropské komise právě rozdílná pravidla v jednotlivých zemích. Ta jsou navíc do značné míry zastaralá, protože nereagují na rychlý vývoj internetu, uvedl minulý měsíc na konferenci v Praze zástupce vedoucího oddělení on-line služeb na Generálním ředitelství Evropské komise pro vnitřní trh a služby Harrie Temmink (EurActiv 18.10.2012).

Novelizovat dosavadní předpisy se Komise rozhodla již v roce 2009. Spolu s kritizovaným nařízením na začátku letošního roku představila návrh směrnice upravující ochranu osobních údajů, se kterými nakládá policie a justice.

Návrhy se v současnosti zabývají v prvním čtení experti členských států v pracovní skupině Rady EU.  Jednotlivé členské země tedy mohou k novým pravidlům vznášet své připomínky. Irsko, které převezme v lednu 2013 předsednictví v Radě, by rádo dotáhlo vyjednávání do konce během následujícího půl roku. Podle Koutka lze však očekávat, že debaty budou v Radě trvat déle.  

Oficiální pozice Evropské parlamentu je dosud neznámá. Výbor pro občanské svobody, spravedlnost a vnitřní věci by měl stanovisko vydat do konce letošního roku, podobně jako další výbory, které jsou do jednání zapojeny. Podle zdrojů EurActivu lze očekávat, že europoslanci budou klást důraz především na ochranu soukromí a také na integrační potenciál nového nařízení.  

Administrativní nálož?  

Česká republika návrh předpisů uvítala, má k němu ale řadu připomínek. Jako hlavní problém spatřuje zvýšení administrativní zátěže, kterou mohou nová pravidla přinést. Ta by prý dopadla nejen na velké nadnárodní firmy, ale také na malé podnikatele, orgány veřejné správy i soukromé osoby.

„Nařízení sice v několika ustanoveních rozlišuje mezi malými a většími podniky, ale v zásadě upravuje jejich povinnosti stejně,“ uvedl Ondřej Koutek z ministerstva vnitra. „Přináší také nová řešení zamýšlená pro konkrétní sektor, například přenositelnost údajů, ale zobecňuje je na všechny nebo většinu případů zpracování,“ dodal.  

Konkrétním příkladem velké zátěže je prý zmíněná povinnost jmenovat inspektora ochrany údajů. Ministerstvo v tomto případě navrhuje, aby bylo zřízení funkce nezávazné.

Novela sice přináší nové povinnosti, ty ale při správném nastavení systémů zpracování osobních údajů nemusí znamenat dlouhodobé zvýšení administrativní zátěže. Přinesou spíše náklady na počáteční změnu fungování, větší promýšlení systému zpracování už při jejich navrhování a omezení zbytečných zpracování osobních údajů, namítá právní expert z nevládní neziskové organizace Iuridicum Remedium Jan Vobořil.

Za snížení byrokratické zátěže pak považuje omezení nebo odstranění registrační povinnosti – na jejím základě musí správci osobních dat registrovat jejich zpracování u Úřadu pro ochranu osobních údajů. „Její jediný smysl v současnosti spatřuji v tom, že ten, kdo registraci provádí, se musí zamyslet nad účelem zpracování osobních údajů a jeho dalšími parametry,“ dodal právník.  

Jak na globální scéně?

Evropští provozovatelé webových stránek si v souvislosti s nařízením stěžují také na to, že je bude znevýhodňovat ve srovnání s firmami mimo Evropskou unii.    

Přísnější legislativa se bude týkat pouze společností majících sídlo v některém z členských států EU, avšak největšími hráči v oblasti podnikání na internetu jsou globální společnosti se sídlem mimo EU, upozornila Kateřina Hrdinová z Centrum Holdings. „Domníváme se, že reálně hrozí zhoršení podmínek podnikání českých subjektů, respektive subjektů majících sídlo v některém z členských států EU, oproti jejich nadnárodním konkurentům,“ řekla.

Podle návrhu by se měla pravidla pro zpracování údajů osob s bydlištěm v EU vztahovat i na správce, kteří nesídlí v Unii. Tedy alespoň v případě, že zpracování údajů souvisí s nabídkou zboží nebo služeb v EU nebo se sledováním chování těchto osob.

„ČR si ovšem klade otázku, jak k dodržování režimu ochrany donutit správce ze třetí země, který poskytuje službu na dálku a který nemá v rámci EU zájmy, vůči kterým by bylo možné provádět vynucovací aktivity,“ uvedl Ondřej Koutek.

Ministerstvo se proto domnívá, že pokusy o vztažení evropské regulace na mimounijní správce a zpracovatele nebudou příliš efektivní. Postavení evropských firem ve srovnání s konkurencí ze třetích zemí by tak prý mohlo být skutečně znevýhodněno.  

„Při posuzování vlivu ochranu soukromí na konkurenceschopnost nesmíme předně pomíjet fakt, že právo na soukromí je jedním ze základních práv, o nichž se naše společnost usnesla, že je bude chránit,“ připomněl však právník Jan Vobořil. Tato ochrana s sebou podle jeho slov přináší náklady, které ale není možné snížit na úroveň zemí, jež tato práva nerespektují.   

To, že některé země ochranu údajů „neřeší“ tolik jako EU, může podle něj sice znamenat menší náklady pro jejich firmy. „Na druhou stranu to může odrazovat zákazníky od využívání jejich služeb. Otázka ochrany soukromí podle našich zkušeností nabývá na významu a je stále důležitější pro rostoucí množství lidí, a to nejen v Evropě, ale i v mimoevropských zemích,“ zdůraznil.

To je pravda i podle nového průzkumu celosvětové sítě poradenských společností KPMG. Ten ukázal, že o bezpečnost svých osobních údajů se při komunikaci po internetu obává 90 % uživatelů.