Data a jejich nová ochrana – LAW FIT 2016

Vstupujeme do doby DATA-DRIVEN SCIENCE

Těmito slovy zahájil konferenci, jako již tradičně, děkan fakulty IT při ČVUT Pavel Tvrdík.

„Na změnu formy dat je třeba v právním prostředí reagovat,“ navázal Zdeněk Kučera, advokát z advokátní kanceláře Baker & McKenzie a elegantně nasměroval přednášející nejen ke komentování současné situace, ale také ke zhodnocení možných důsledků z Obecného nařízení o ochraně osobních údajů (GDPR – General data Protection Regulation), k jehož přijetí došlo Evropským parlamentem v dubnu 2016 a jenž modernizuje zásady, které byly v roce 1995 stanoveny směrnicí o ochraně údajů (Směrnice Evropského parlamentu a Rady 95/46/ES) a jako takovou ji nahradí. Nařízení se vzhledem ke své přímé aplikovatelnosti odrazí také v zákoně č. 101/2000 Sb., o ochraně osobních údajů. V současné době je to materie neosahaná a nepříliš známá, na její adaptaci bude čas do května 2018, kdy nařízení nabude účinnosti.

„Technologie je třeba pochopit, nikoli jim čelit,“ a s takovým postojem je třeba přistupovat i k regulaci, míní bývalá soudkyně Ústavního soudu Ivana Janů. Za zmínku také stojí, že v létě 1996 působila Janů v USA na Ohio University jako lektorka se zaměřením na transformaci ve Střední a Východní Evropě po pádu totalitárních režimů. Od srpna 2015 je předsedkyní Úřadu pro ochranu osobních údajů (dále jen ÚOOU) a nad letošní konferencí převzala záštitu. 

V minulosti se Janů účastnila prací na současné Ústavě České republiky, není proto s podivem, že ve svém projevu akcentovala právo na informační sebeurčení a varovala před technologickou totalitou – úplnému a nedomýšlenému odevzdání se technologiím a technologickým gigantům. Právo na lidskou důstojnost musí zůstat neobchodovatelnou komoditou a vzhledem k tomu, že nově přijaté nařízení klade na soukromí větší důraz, je na dodavatele technologií vyvíjen tlak a aktivní přístup k ochraně dat se jim stává jasnou konkurenční výhodou.

Vnitřní regulace by měla být co nejkompatibilnější se zbytkem světa

…domnívá se Michal Feix ze společnosti Seznam.cz a na věc nahlíží obchodní optikou. Jako zástupce podnikatelské sféry snahy EU v rámci ochrany osobních údajů komparoval především s přístupem Spojených států amerických, který je liberálnější a dle něhož nese zodpovědnost především uživatel služeb. Netajil se svou skepsí, že pravidla Evropské unie na Spojené státy platit prostě nebudou.

Poukázal na přehnanou pozornost k tzv. cookies, které dříve nikoho prý netrápily a kterým je v současné době věnován zvýšený zřetel jakožto nežádoucímu zásahu do soukromí. Podle Feixe však primárním zájmem společností není na základě cookies dat uživatele identifikovat a ve většině případů prý ani uživatel není znám. Cookies identifikují prohlížeč, nikoli osobu; Feix má tedy za to, že data, která osobu výslovně neidentifikují, osobními daty nejsou. EU zastává názor, že lze-li z anonymních (pseudoanonymních) dat dovodit, o koho se jedná, pak o osobní data jde a je třeba je chránit. Tento přísný postoj Evropské unie je podle Feixe pro současný obchodní model v internetovém prostředí, kde není uživatel ochoten za služby platit a kde nezbývá než získávat finanční prostředky od inzerentů, kteří však očekávají podrobná data pro cílení své reklamy, problematický.

Na datech jsme závislí

Stejné potřeby ale trochu jiný cíl má Miroslav Lukeš, generální ředitel MasterCard pro Českou republiku, Rakousko a Slovensko. Pro MasterCard, představitele podnikání, jenž si zakládá především na důvěře s klientem, jsou uživatelova data k nezaplacení a odpovědnost za jejich bezpečnost je pro něj z povahy jeho samotného businessu prý samozřejmá i bez tlaku regulátora. Společnost využívá údaje primárně pro budování vztahu s klientem a také pro inovaci. Česko dle slov Miroslava Lukeše patří v programu MasterPass (globální platební služba využívající mobilních digitálních peněženek) mezi špičky v Evropě.

Odpor je marný

…tvrdil Pavel Kordík k poskytování informací, vyučující předmětů o data miningu, umělé inteligenci a strojového učení na ČVUT. Kordík provedl účastníky konference přehledem nástrojů, jenž sbírají naše data a představil různé účely, za jakými mohou být shromažďována (prezentace zde). Poukázal na možnosti bohulibého využití dat (příkladem třeba doporučení nabídky zaměstnání konkrétnímu uživateli), ale nastínil také kontroverznější využití informací, a to například v oblasti pojišťovnictví, kdy pojišťovna na jejich základě může predikovat, zda se „vyplatí“ do klienta „investovat“…

Nové nařízení GDPR není vládní prioritou

Konference se ve své druhé části přehoupla výrazněji do právnických vod. Josef Prokeš z ÚOOU spolu s Janou Adamcovou, zakladatelkou Institutu pro digitální ekonomiku a rovněž poradkyní místopředsedy vlády pro vědu, výzkum a inovace, představili hlavní prvky nařízení GDPR (General Data Protection Regulation) a diskutovali otázky, které si digitální trh klade.

GDPR přináší několik nových povinností správce (subjektu odpovědného za zpracování údajů). Jednou z takových povinností (vycházející z tzv. minimalizace údajů) je ochrana údajů dle zásad „By Design“ a „By Default“. Data protection by design je princip, jenž počítá s ochranou osobních údajů již od počátku návrhu praktického řešení jejich zpracování (může se jednat o technická řešení typu anonymizace, pseudonymizace a rozdělení oblastí s uloženými daty, nebo personální a organizační opatření). Princip Data protection by default má potom zajistit, aby v základním nastavení služby byly zpracovávány jen osobní údaje, které jsou zcela nezbytné pro její poskytování.

Povinností správce je zajistit za pomoci technických a organizačních prostředků bezpečnost zpracování osobních údajů (zakotveno v § 13, zák. 101/2000 Sb.). Tento pokyn vychází ještě ze směrnice 95/46/ES, novinkou je ale ohlašovací povinnost v případě narušení bezpečnosti („Personal Data Breach“). Správce bude povinen bez odkladu, nejpozději však do 72 hodin, incident ohlásit DPA (Data Protection Authority), do jejíž jurisdikce náleží (v českém případě půjde o Úřad pro ochranu osobních údajů).

Aby GDPR splnilo sjednocovací funkci, obsahuje ustanovení zavádějící silný centrální evropský orgán ochrany osobních údajů – European Data Protection Board. Tento orgán vznikne ze současné pracovní skupiny WP 29 a na rozdíl od ní bude mít rovněž rozhodovací pravomoc. Předpokládá se jeho značná a aktivní role zejména v případech, kdy bude třeba řešit kompetenční spory mezi jednotlivými úřady členských států.

V současné době není nařízení GDPR prioritou na vládním programu. Institut pro digitální ekonomiku situaci aktivně mapuje a na konferenci prezentoval finální podobu svého „working paperu“ ke GDPR, ve kterém uceleně shrnuje vývoj, potřeby a výzvy plynoucí z nového nařízení. V plném znění je dostupný zde.

Josef Prokeš odkázal také na lednové stanovisko 1/2016 ÚOOU k umístění kamerových systémů v bytových domech. Ve stanovisku se odráží zkušenosti z případů řešených nejen na našem území, ale také z těch řešených Soudním dvorem EU, jak tomu bylo  například u třebíčského novináře Františka Ryneše. František Ryneš byl hostem letošního ročníku konference, a ač je jeho případ odbornou veřejností dobře znám, na konferenci zazněla výpověď se skutečnostmi ještě zajímavějšími, než jaké zaznamenala v té době média.

V praxi jsou důkazy v podobě záznamů v zásadě spíše nepřípustné

Závěrem programu konferenčního dne se František Nonemmann, vedoucí právního oddělení ÚOOU, věnoval důkazním prostředkům získaným sice podle hmotného práva, avšak v procesním právu narážejících na nejednoznačnost ve výkladu. Absentuje například jasnost v termínu „osobní údaje“ nebo „zpracování“.

Podle občanského zákoníku existují tituly, ze kterých je záznam jako důkazní prostředek přípustný (§§ 88-89), a to:

• bez souhlasu zaznamenané osoby v zájmu upřednostnění ochrany jiných práv, například zdraví a majetku (viz kauza Ryneš)
• umělecká a zpravodajská licence
• úřední licence
• § 90 rovněž pro všechny uvedené licence rozšiřuje kritérium přiměřenosti využití podobizny.

Přípustnost tedy podléhá především testu proporcionality (účel, právní titul, přiměřenost).

Jakub Harašta (Ústav práva a technologií při MU v Brně) a jeho odkaz na tzv. Poisson Tree - ne vždy platnou doktrínu ovoce z otráveného stromu, pravidlo které říká, že z otráveného stromu (v našem případě nezákonně získaných důkazů) nemůže být zdravé ovoce (zákonné výsledky), byli pikantní tečkou celého dne. Ani letos Právní prostor coby mediální partner na konferenci nechyběl.