Vyšlo na Lupě, 8.11.2010
Vytištěno z adresy: http://www.earchiv.cz/b10/b1108001.php3

Ochrana údajů v EU: je čas na změny?

Základ celého evropského systému ochrany osobních údajů vznikl ještě před masovým rozvojem Internetu, a jeho implementace v jednotlivých členských zemích také není příliš jednotná. Evropská komise již pracuje na jeho celkové revizi, a nyní otevírá veřejnou diskusi nad navrhovanými změnami. Ty by měly dopadnout například i na sociální sítě.

O Evropě, přesněji o Evropské unii, se říká, že má velmi propracovaná a přísná pravidla ochrany osobních údajů. A že díky nim zajišťuje poměrně vysoký standard ochrany osobních údajů, vyšší než v jiných zemích. Současně je ale kritizována za nejednotnou implementaci těchto pravidel v jednotlivých členských zemích, což komplikuje „nadnárodní“ působení nejrůznějších poskytovatelů. V neposlední řadě jsou mnozí národní „ochránci osobních údajů“ kritizováni za to, že celou ochranu místy přehánějí a brzdí tak, či dokonce úplně blokují, některé zajímavé a užitečné služby.

Na všem je asi notný kus pravdy. Evropská unie skutečně má dosti propracovaný rámec ochrany osobních údajů, zahrnující jak legislativu (evropské směrnice a doporučení, transponované do národních legislativ), tak i „regulační orgány“ řešící celou agendu ochrany osobních údajů na národních úrovních  (u nás jde o Úřad pro ochranu osobních údajů).

Stejně tak je pravdou, že konkrétní transpozice a implementace jednotných pravidel na národních úrovních není zdaleka ideální (jednotná). A také na činnost  jednotlivých národních regulátorů mohou panovat různé názory – včetně názorů na to, že někdy  svou „misi“ skutečně  přehánějí. Pro mne osobně je příkladem „přehnání“ ze strany našeho ÚOOÚ nedávná kauza s výškou kamer u služby Street View.

Rámec je dosti starý

Na druhou stranu je vhodné si připomenout, že základy celého dnešního evropského rámce ochrany osobních údajů vznikly v polovině devadesátých let, a tedy ještě před (masovým) nástupem Internetu.

Výchozí směrnice (Směrnice Evropského parlamentu a Rady 95/46/ES) „o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů“ pochází z října roku 1995. V té době se český Internet teprve otevíral možnosti svého komerčního využití, a třeba do vzniku Seznamu či Neviditelného psa zbývala ještě řada měsíců. A do vzniku Lupy (2.4.1998) dokonce několik let.

Následovaly i novější směrnice, ale ty byly již konkrétněji zaměřeny – jen na oblast telekomunikací a nikoli na „služby informační společnosti“. Takže třeba směrnice 2002/58/ES (Směrnice o soukromí a elektronických komunikacích, z roku 2002) se týkala „zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací“. Tu pak v roce 2006 doplnila směrnice 2006/24/ES o „data retention“, týkající se uchovávání  provozních a lokalizačních údajů telekomunikačními operátory, a v roce 2009 ji aktualizovala ještě směrnice 2009/136/ES.

Celkově je ale nutné konstatovat, že i přes určité dílčí (a spíše nesystematické) úpravy by základ celé právní úpravy ochrany osobních údajů skutečně zasloužil určitou „větší a systematičtější“ aktualizaci. A to jak pokud jde o tradiční oblast telekomunikací, telekomunikačních operátorů a jejich služeb, tak i pokud jde o nejrůznější on-line služby a aktivity, které již spadají spíše do oblasti „služeb informační společnosti“, než do telekomunikací.

Nová úskalí

Pravdou také je, že na obzoru (či již dávno mezi námi) jsou i nová úskalí, na která současný rámec ochrany osobních údajů příliš nepamatuje.

Příkladem může být fenomén “cloud computingu“. I když se asi jen málokdo shodne na tom, o co přesně jde a jak to definovat, mnohem větší míra konsensu panuje nad tím, že právě zde je třeba podrobněji ošetřit otázku ochrany osobních údajů. A vlastně nejen těch osobních, ale i všech dalších údajů (třeba důležitých firemních údajů), které se mají dostat někam „do oblak“ (do „cloudu“) – protože než se tak stane  (než někdo svěří svá data „oblaku“), chce mít jasno v tom, co a jak se s těmito daty bude dít, podle jakých pravidel se s nimi bude nakládat, kdo za ně ponese odpovědnost  atd. A to rozhodně není triviální (a není to dosud příliš řešeno) již jen kvůli tomu, že v cloudu není příliš jasné, kde konkrétně se takováto data nachází či zpracovávají, a čí pravidla (které země) by se na ně měla vztahovat.

Navíc cloud computing je obvykle vnímán jako „něco“, co je spíše pro firmy. Nicméně řada služeb, fungujících na principu „cloudu“, je určena přímo fyzickým osobám, ať již to takto prezentují či nikoli. A jejich problémy s ochranou osobních údajů bývají obdobné, ne-li ještě mnohem horší.

Třeba i v tom, že sjednávání  nějaké konkrétní služby pro firmu je typicky mnohem „symetričtější“ a vyváženější, než v případě poskytování služby soukromé osobě. V tom smyslu, že u firemních zákazníků se obvykle uzavírá více „individualizovaná“ smlouva, kterou si firemní zákazník nechává posoudit svými právníky, a kde si poskytovatel raději sám dává pozor a „tolik si nedovolí“ i z pohledu toho, co a jak po svém zákazníkovu požaduje a jaká práva si vyhrazuje.

Jinými slovy: firemní klient má šanci na mnohem vyváženější smlouvu a podmínky, než klient, který je soukromou osobou. Protože soukromá osoba obvykle nemá kapacitu a znalosti na detailní prostudování podmínek poskytované služby, včetně ochrany osobních dat, stejně jako šanci vynutit si vstřícnější podmínky poskytování služby, včetně podmínek nakládání s vlastními osobními údaji. A tak poskytovatel může důležité prvky své smlouvy různě „skrývat“ (činit méně viditelnými či jen nápadnými), a vynucovat si taková práva nakládání s osobními údaji klienta, která jdou nad rámec určité „laťky“.

Takže určitě nezaškodí nějak oprášit a znovu promyslet (15 let stará) pravidla o tom, kde takováto „laťka“ vlastně leží a co všechno má zahrnovat, včetně toho jak má být popsána a komunikována - aby to bylo korektní vůči všem zákazníkům či uživatelům, ale současně to umožňovalo poskytovat příslušné služby těm, kteří je chtějí využívat. A to vše i v kontextu sociálních sítí, které jsou dnes opravdu velkým „shromaždištěm“ osobních údajů.

Jenže nové problémy a nová úskalí se zdaleka netýkají jen situace, kdy zákazník (uživatel) využívá nějakou službu vědomě a z vlastní iniciativy. S jeho osobními údaji je čím dál tím více nakládáno „novými způsoby“ i z iniciativy druhé strany, a třeba i zcela bez jeho vědomí. Pak je neméně důležité podrobněji promyslet a vhodně „ošetřit“, zda a kdy musí být subjekt údajů o probíhajících aktivitách informován, a jak je to s jeho souhlasem: kdy takový souhlas není nutný, kdy může být z něčeho odvozen (jako implicitní souhlas), a kdy musí být jeho souhlas explicitní.

Příkladem mohou být nejrůznější sledování aktivit uživatelů na Internetu, ať již pro potřeby individualizované („behaviorální“) reklamy, či k jiným účelům. I zde je velmi záhodno zamyslet se hlouběji nad základními „pravidly hry“ (nehledě na určité dílčí snahy a pokusy, které již proběhly či jsou připravovány).

Co dělá EU?

Evropská komise si naštěstí je vědoma toho, že její pravidla ochrany osobních údajů vychází ze základů, které jsou již poněkud staršího data. Navíc je tlačena i dalším problémem, kterým je ne zcela jednotná transpozice (ale i praktická aplikace) těchto pravidel v jednotlivých členských státech. To pak způsobuje, že zájemci o poskytování jedné a téže služby v celé EU se musí přizpůsobovat 27 (obecně různým) požadavkům a kritériím.

Se snahou o změnu a celkovou revizi ochrany osobních údajů  přišla sama Komise již v loňském roce:  v květnu 2009 uspořádala na toto téma první konferenci, která nastolila hlavní otázky: o jakých změnách by se mělo uvažovat, v souvislosti s novými technologiemi a službami, a při pokračující globalizaci celého on-line světa.

Po skončení úvodní konference, až do konce roku 2009, následovala veřejná diskuse (public consultation), v rámci které se kdokoli mohl k nastoleným tématům vyjádřit. Sešlo se na 168 příspěvků, od jednotlivců až po velké firmy či vlády států. Z ČR ale bohužel nic.

V letošním roce probíhaly „cílené“ konzultace se zainteresovanými subjekty. V jejich závěru se konala další konference, či spíše setkání se „stakeholdery“ (zainteresovanými subjekty), na kterém Evropská komise předložila seznam 60 otázek, na které hledá odpovědi.  

Mezi těmito otázkami byla řada poměrně zásadních věcí. Jako například:

  • mělo by být zakázáno „profilování“ (jako sestavování  profilu uživatele na základě jeho chování)?
  • mělo by být zavedeno „vlastnické právo“ subjektu na jeho osobní údaje?
  • jak dosáhnout „práva být zapomenut“ (tj. smazání  údajů o vlastní osobě) v kontextu data retention (kdy je takovéto uchovávání naopak požadováno)?
  • měl by být rozšířen okruh citlivých dat? Například o biometrická či genetická data, historii rodiny apod.
  • měl by být explicitně vymezen  a  definován princip „minimalizace dat“ (aby zpracovatel údajů neuchovával více osobních údajů, než kolik jich nezbytně potřebuje)?
  • měla by být současná definice „jednoznačného souhlasu“ (unambiguous consent) změněna tak, aby vždy šlo o explicitní souhlas? Pokud ano, jak by se to řešilo v praxi, zejména v on-line světě?

No a minulý čtvrtek, 4. listopadu 2010, přišla Evropská komise s další etapou: s návrhem „strategie, jak posílit předpisy EU o ochraně údajů“.  Není to ale tak, že by již šlo o samotnou novou podobu celého rámce ochrany osobních údajů. Ta by měla být předložena až koncem roku 2011. Nyní jde vlastně o novou konzultaci, nad dalším materiálem. V něm už je ale jeho předkladatel (Komise) mnohem blíže nové podobě celého rámce, než tomu bylo při předchozí konzultaci v roce 2009: nyní se už neptá „co“ je třeba řešit (jakými otázkami se nově zabývat), ale už v hrubých rysech nastoluje to, čeho chce dosáhnout. A tak diskuse by už měla být spíše o tom, jak konkrétně toho dosáhnout. Byť někdy je vše ještě prezentováno ještě v rovině otázky „zda“: například že Komise zváží zavedení toho a toho.

A jelikož jde stále o diskusi, resp. o veřejnou konzultaci, lze se do ní zapojit a k navrhovaným cílům se vyjádřit – jako občan, firma či orgán veřejné moci.  S termínem do 15. ledna 2011.

Co Komise navrhuje?

Z těch opatření, které Komise hodlá prosadit, lze zmínit například obecnou povinnost informovat o všech kompromitacích (narušeních bezpečnosti) osobních údajů. Taková povinnost dnes platí jen pro telekomunikační operátory, ale nikoli pro poskytovatele služeb informační společnosti. Tedy třeba pro provozovatele různých webových služeb, sociálních sítí atd. Nově by takováto povinnost měla být obecná, a měla by se tedy týkat všech, kteří zpracovávají osobní údaje. Tedy například i bank apod.

Komise se také hodlá zaměřit na samotné vymezení pojmu osobní údaj (zpřesnit ho), na informování směrem k subjektům údajů (aby správci a zpracovatelé údajů museli jasně a srozumitelně sdělovat vše, co s údaji budou dělat a k čemu je potřebují). S tím souvisí i požadavek na vyšší kontrolu subjektu údajů nad tím, co o nich kdo shromažďuje a zpracovává.

Dále Komise hodlá zpřesnit zásadu „minimalizace údajů“ (aby správci a zpracovatelé sbírali a zpracovávali skutečně jen takový rozsah údajů, jaký nezbytně potřebují), a posílit práva subjektů údajů při výkonu jejich práv, například na opravu, vymazání či zablokování údajů. Včetně „práva být zapomenut“ (dosáhnout smazání všech údajů o sobě).

Materiál Komise sice neříká, jak přesně toho chce dosáhnout, ale naznačuje některé možnosti a konkrétní opatření: zavedení lhůt pro reakci správce či zpracovatele údajů, možnost výkonu práv on-line způsobem, či princip, podle kterého by výkon těchto práv ze strany subjektu údajů musel být vždy bezplatný.

Při popisu kontextu, kterého by se tato opatření měla týkat, jsou explicitně zmíněny sociální sítě. Svým způsobem by tak došlo k určité regulaci sociálních sítí, které by musely (zdarma, on-line a v příslušné lhůtě) reagovat na požadavky svých uživatelů, například na smazání některých jejich osobních údajů, či úplné a nenávratné zrušení jejich profilu. Zmiňována je dokonce i jakási „přenositelnost údajů“, v rámci které by si uživatelé (coby subjekty údajů) mohly vyžádat přesun svých údajů od jedné služby k jiné službě (s jejich smazáním u původní služby). A to všude tam, kde to bude technicky proveditelné, a aniž by tomu správce údajů mohl bránit.

Velmi zajímavá je oblast osvěty a celkové informovanosti. Zde materiál Komise koketuje s myšlenkou uzákonění povinnosti zvyšovat informovanost v oblasti ochrany údajů („posoudí začlenění povinnosti do právního rámce“). Souběžně s tím chce posoudit i možnost spolufinancovat takovéto činnosti, vedoucí k vyšší informovanosti, a to z rozpočtu Unie!!!

Asi nejméně jasno pak má materiál Komise u vyjadřování souhlasu ze strany subjektu údajů. Zatímco předchozí konzultační materiál ještě zmiňoval možnost zúžit „jednoznačný souhlas“ jen na explicitní souhlas (a tím vlastně i na princip OPT-IN), nynější konzultační materiál už  takto kategorický není. A pouze konstatuje, že:

Komise posoudí způsoby, jak zpřesnit a posílit pravidla pro udělování souhlasu.