Ochrání nám EU osobní údaje na internetu?

Zbytečná byrokracie a náklady nebo potřebná ochrana osobních údajů? Co přináší v prosinci dohodnutá kompromisní verze General data protection regulation?

Nařízení na ochranu osobních údajů (General data protection regulation, GDPR) v půlce prosince vítězně zdolalo trialog mezi Evropskou komisí, Evropským parlamentem a Radou ministrů. Před Vánoci je stihl schválit i výbor Evropského parlamentu LIBE (Výbor pro občanské svobody, spravedlnost a vnitřní věci). Teď se čeká, že finální texty budou formálně přijaty Parlamentem a Radou na začátku roku 2016 s tím, že nová pravidla začnou platit o dva roky později.

Jednání trvala čtyři roky a nařízení je nejkomplexnějším souborem pravidel na ochranu dat na světě. Nebude se týkat jen EU, ale všech firem, které cílí na evropské zákazníky. 

Právníci, kteří se specializují na ochranu údajů, signalizují, že nové nařízení je mnohem přísnější než současná legislativa. Rovněž není pochyb, že se občanům EU dostane bezprecedentní šance ochránit své údaje. Novinky, jako „právo být zapomenut“ či možnost vyžádání si svých dat na disku, patří jen k těm nejviditelnějším.

Regulátoři budou mít daleko více možností, jak si došlápnout na firmy, které pravidla porušují. Pomoci mají drakonické pokuty za porušení nařízení. Odpověď firem, kterou mimo jiné publikoval DigitalEurope, je opatrná: „Vítají harmonizaci, ale bojí se ztráty konkurenceschopnosti, zbytečné byrokracie či zaostávání v inovacích.“

Kompromis na všech stranách

Nařízení je každopádně kompromisním textem, se kterým není vlastně úplně spokojena žádná z dotčených stran (ani firmy, prosazující menší regulaci, ani neziskové organizace požadující větší záruky pro ochranu soukromí). Což je vlastně dobře, jak poznamenal Eduardo Ustaran (@EUstaran), odborník orientující se na ochranu údajů a poradce britské vlády při vyjednávání GDPR. 

První reakce expertů, kteří do detailu začínají rozebírat jednotlivé články nařízení, asi firmy moc nepotěší. Vzhledem k délce a složitosti celého textu se všichni shodují na jednom: bude potřeba angažovat další experty/právníky, kteří by nařízení rozuměli a dokázali jednotlivé články interpretovat a aplikovat v praxi.

Přemýšlíte-li tedy o perspektivním zaměstnání do budoucna, toto se jeví jako velice zajímavé odvětví. Jak glosovali jiní novináři, je možné, že tím Evropa vyřeší problém se zaměstnaností.

Jaké jsou novinky a změny oproti původní směrnici z roku 1995?

Největší rozdíl tkví v tom, že nařízení (které je tím pádem přímo účinné a netransponuje se zvláštním zákonem) harmonizuje rozdílné datové režimy 28 států EU. Firmy by se tak měly snadněji orientovat a nemusí rozumět 28 různým datovým režimům. 

Jeho součástí je takzvaný koncept one-stop-shop (jednotného kontaktního místa pro ochranu údajů), který má podle EK usnadnit práci firmám v EU. Ovšem i občané mohou využít této novinky a například zažalovat Google či Facebook skrze český Úřad pro ochranu osobních údajů (ÚOOÚ) a nemusí psát stížnost v angličtině irskému regulátorovi.

Nutno dodat, že navrhované sankce pro firmy, které budou nové nařízení porušovat, jsou opravdu značné. Pokuty by mohly dosahovat až výše 4 % celosvětového ročního obratu firmy nebo 20 milionů eur, podle toho, co bude vyšší (viz článek 79 nařízení).

Nejdůležitější části nařízení

Rodičovský souhlas s používáním sociálních sítí a aplikací pro děti mladší 16 let. 

Toto byla a je jedna z nejkontroverznějších částí celého nařízení. Týká se pouze online aktivit (neplatí tedy pro offline aktivity). Po celou dobu projednávání nařízení nikdo nenavrhl jiný údaj než 13 let věku (platí například v USA - ovšem v praxi je třeba na Facebooku rozhodně hodně mladších dětí). V posledních týdnech trialogů se však najednou objevila věková hranice 16 let. 

Vzhledem k tomu, že velké firmy typu Google a Facebook prý tyto informace sdělily dále, objevily se mezi veřejností velké tlaky na opětovné snížení hranice na 13 let. V konečném textu je pak tato pasáž upravená na 13–16 let v diskreci jednotlivých států. Což ovšem znamená, že pokud stát nezasáhne a neimplementuje do svého zákona nižší věkovou hranici, bude platit hranice 16 let věku s rodičovským souhlasem. 

Představme si situaci, že se patnáctiletý teenager, který s mobilem málem i spí, přijde zeptat rodičů, zda mu dovolí nainstalovat novou seznamovací aplikaci… Dětští odborníci upozorňují, že tak jen vzroste nechuť mladých k dodržování zákonů, snaha o jejich obcházení a další problémy, které jsou s tímto spojené. 

Jeden z argumentů například zní, že určité komunity se bez anonymního prostředí sociálních sítí často velmi těžko obejdou (LGBT) apod. Je tu také problém s harmonizací – pokud má hladce fungovat jednotný trh, je nepraktické zjišťovat, jak se podmínky liší v jednotlivých státech. Rovněž hrozí, že firmy se rovnou rozhodnou pro věkovou hranici 16 let, aby byly z obliga. Podle posledních zpráv to vypadá, že se Velká Británie rozhodla pro opt-out z této části nařízení a nechává hranici na 13 letech věku. Věková hranice v UK byla dosud ještě nižší (12 let).

Souhlas se zpracováním dat.

Celé nařízení se snaží o návrat kontroly nad osobními údaji zpět občanům, což lze vysvětlit například tím, že je kladen mnohem větší důraz na souhlas osoby se zpracováním jeho dat.

Souhlas by měl být podle článku 4(8) „svobodný, specifický, informovaný a jednoznačný…“ V odůvodnění (recitals) je ovšem docela vysvětleno, co tím zákonodárci míní. Někdy stačí místo souhlasu pouze to, jak se uživatel na internetu zachová (tzv. conduct) – například zaškrtnutí možnosti na stránce či jiná podobná aktivní forma souhlasu. Výslovný souhlas je požadován pouze pro speciální kategorii dat (článek 9), jako jsou zdravotní údaje či genetické údaje.

Už také nebude platit, že firmy napíší do podmínek užívání něco, čeho si občan nevšimne, rovněž nebude možné napsat, že pokud nesouhlasíme s podmínkami, nemusíme službu využívat. 

Vezměme si jako příklad firmu, která má své služby pro mobily svázané s určením polohy. Pokud bude souhlas nezbytný pro výkon služby, neměl by to v rámci nařízení být problém. Ovšem, pokud by firma chtěla využít osobní údaje získané za účelem sledování polohy, k jiným účelům, které neuvedla, například k marketingu, už by to problém být mohl, protože k tomu nedal uživatel výslovný souhlas.

Právníci jako Ustaran tvrdí, že se firmy budou uchylovat k jiným formám souhlasu se službami, aby nečelily přílišnému riziku v podobě pokut od regulátorů.

Extrateritorialita

GDPR nově přesahuje hranice EU. I firmy se sídlem mimo EU budou muset dodržovat nové nařízení, pokud obchodují v EU a zpracovávají data, která zde vznikla (viz článek 3(2)). Zda firmy své závazky dodržují, budou sledovat nezávislé úřady pro ochranu údajů, kterým GDPR dává velké možnosti pokutovat firmy při porušení pravidel (viz článek 79).

Vezměme si příklad, kdy americká firma umístí sledovací cookie do počítače evropského občana. Bude se evropské nařízení vztahovat i na tuto situaci? Podle názoru expertů spíše ano.

V minulosti se vždy posuzovalo tzv. use of equipment – to znamená, že velmi záleželo na tom, kde například sídlí servery jednotlivých firem. Pokud to bylo na území EU, platilo právo EU. V situaci, kdy nebylo jasné, kde sídlí servery společnosti cílící na evropského zákazníka, nastal problém. Proto bylo tak těžké jednat například s Googlem. 

Oproti tomu se nařízení nově zaměřuje na ochranu občanů EU (cílení služeb na lidi), nikoliv na místo, kde se sběr dat provádí. To znamená, že kdokoli, kdo nabízí služby nebo monitoruje občany EU, by si měl nejdříve přečíst GDPR. Nebude to ovšem tak, že by se teď GDPR vztahovalo na všechny zahraniční firmy, které například registrují pouze jednoho zákazníka z EU. Spíše půjde o stránky, které primárně cílí na občany EU, prostřednictvím jazyka stránek, měny, ve které lze provádět transakce, či výslovně zmiňují evropské zákazníky nebo jim prodávají služby apod. Tato oblast bude určitě potřebovat náležité vysvětlení a pokyny ze strany EK.

Cloud

Jedná se o odvětví, na které nařízení dopadne velkou měrou. Vypadá to, že většina zodpovědnosti bude přesunuta na poskytovatele cloudových služeb. Podle názoru expertky na ochranu dat Ruth Boardman z Bird&Bird bude asi velice složité ošetřit jejich zodpovědnost. Ovšem, mohlo by se stát, že pokud budou menší firmy používat cloudové služby, nedopadne na ně nařízení tolik, jako na velké hráče. 

Větší firmy by se tak mohly stát ručiteli menších firem, které svá data přenesou do cloudu. Tuto záležitost bude muset EK osvětlit, případně bude muset vydat vodítka, která by specifikovala, jak se mají firmy v těchto případech chovat. Jako prozatímní řešení se nabízí využít cloudové služby, které prokazatelně sídlí v Evropě či mají ISO certifikaci – například ISO 27001.

Inspektoři ochrany údajů (Data protection officers – DPOs)

Jde o jeden z oříšků, který vyjednavači dlouho řešili a byl předmětem sporů. V původním návrhu bylo uvedeno, že každá větší firma, zpracovávající osobní údaje by měla zaměstnat člověka, který bude mít tuto oblast na starosti. Proti tomu zástupci ze soukromého sektoru hodně protestovali. V dojednaném nařízení nakonec došlo ke kompromisu, oproti dosavadním textům nařízení je potřeba jmenovat DPO pouze pro firmy, které se zabývají citlivými údaji, případně pracují s big daty. Více viz článek 35 nařízení. 

To také značně vyzvedává EK ve svém prohlášení, kde slibuje, že pro malé a střední podniky se otevřou nové trhy a omezí se jim prý administrativní náklady.

Zda má Komise ve svém prohlášení pravdu, se ukáže velice brzo. Zatím je třeba také připomenout nové povinnosti, které budou mít správci údajů na svých bedrech.

Zodpovědnost firem

Správci údajů mohou očekávat celou řadu nových pravidel, například povinnosti dělat hodnocení dopadu na soukromí (PIAs), vést si záznamy o provedených operacích, konzultovat s ÚOOÚ případy přenosu dat, kdy hrozí rizika apod. Firmy by se také měly snažit o využití technologií, které budou „privacy friendly“, případně používat technologická řešení, která již soukromí uživatelů zohledňují.

Privacy by design/default/PETs (privacy enhancing technologies)

Nařízení se nevztahuje na data, která jsou plně anonymizována. Zato však zavádí novou definici tzv. pseudonymizace vs anonymizace. Anonymní data nejsou součástí nařízení, jeho součástí ovšem jsou tzv. pseudonymizovaná data, tedy údaje zbavené identifikátorů, použitelné například pro statistické účely. Pseudonymizace je v nařízení několikrát zmíněna, jako řešení PETs.

Oznámení o ztrátě/zneužití dat (Data breach notification)

Oznámit rychle, že došlo ke zneužití osobních údajů, je povinnost, která asi přidělá firmám i dalším správcům údajů vrásky na čele. Mělo by se tak stát do 72 hodin. Například společnosti a organizace musí co nejdříve informovat ÚOOÚ o závažném narušení ochrany údajů, aby mohli uživatelé přijmout vhodná opatření. 

Časový harmonogram

Nařízení bylo schváleno v rámci trialogu, teď už je vše spíše otázka formalit. Ještě je třeba celé GDPR přeložit a publikovat v oficiálním věstníku EU (1–2 měsíce), předpokládá se, že v prvním čtvrtletí bude nařízení oficiálně publikováno a přibližně za dva roky poté vejde v platnost (20 dní + 2 roky). 

Bude tedy v mezidobí platit stará legislativa (směrnice z roku 1995)? 

Technicky se nebude měnit nic, stále bude platit stará směrnice, prakticky se ovšem může stát, že se firmy, spolu s dozorovými orgány, budou snažit řešit některé věci již podle nastávajícího nařízení. Například ve staré směrnici nebylo nutné vyplňovat zprávy na posuzování dopadů na soukromí (PIAs – Privacy impact assesments). V mezidobí se budou muset hlavně připravovat státy. Některé z článků dávají dost prostoru pro kompromisy a každý stát se bude muset rozhodnout, co s nimi udělá. 

Větší harmonizace?

Jedním z důvodů, proč se měnila směrnice za nařízení, byla větší harmonizace práva na ochranu údajů v EU. Ovšem je otázka, jestli se to opravdu povedlo. Například nadále bude fungovat všech 28 úřadů na ochranu údajů (v ČR je to Úřad pro ochranu osobních údajů), které si budou chtít do jisté míry uchovat svou nezávislost. Také je pravdou, že každý úřad může právo interpretovat podle zvyklostí v daném státě, případně kulturních a dalších činitelů, které toto mohou ovlivnit. Takže nadále bude důležité vědět, jak bude každá země právo interpretovat. Rovněž bude důležité vědět, jak ochrana údajů souvisí s dalšími zákony (například protikorupčními, finančními, telekomunikačními, zdravotními atd.), některé jsou již harmonizované na celoevropskou úroveň, jiné nikoli.

Právo být zapomenut a právo na přenositelnost osobních údajů

O tzv. „right to be forgotten“, bylo již napsáno hodně. Nařízení však nově přináší i kompletně nové právo občanů na požádání o přenesení vlastních údajů mezi jednotlivými poskytovateli. Více například zde.

Směrnice o ochraně údajů orgány činnými v trestním řízení

Za součást reformy je počítána i Směrnice o ochraně údajů orgány činnými v trestním řízení. Cílem této směrnice je, aby údaje obětí, svědků a osob podezřelých ze spáchání trestného činu byly během trestního stíhání nebo prosazovaní práva patřičně chráněny. Mělo by to usnadnit přeshraniční spolupráci mezi policií a státními zástupci, a napomoci účinnějšímu boji proti trestné činnosti a terorismu v celé Evropě

Jak souvisí GDPR se Safe Harbor?

„Zatímco překvapivé odmítnutí dohody Safe Harbor znejistělo tisíce firem, je to jen vršek ledovce v porovnáním se změnami, které přináší GDPR“, takto označují odborníci z TRUSTe souvislost obou dohod.


Zdroj: Truste.com

Přeshraniční přenos dat do USA, který se dříve řešil přes Safe Harbor a po rozhodnutí ECJ o případu Schrems byl pozastaven, se usilovně řeší při novém vyjednávání dohody mezi EK a zástupci US. Komisařka Věra Jourová chce celou věc vyřešit v lednu 2016.

Co bude dále?

Bude hodně záležet na tom, jak si s nařízením poradí jednotlivé státy EU a jejich regulátoři. Jak je psáno výše, každý stát má jiné zvyklosti a aplikaci práva v praxi. Již teď vidíme, že se ona jednota drolí, pokud si vezmeme například Británii a její rozhodnutí ohledně věku dětí, které by měly mít přístup k online službám. Firmy se zase bojí o své inovace a finanční prostředky, které budou muset místo do inovaci investovat do „byrokracie“. 

CIF16

Panují rovněž obavy, že se nepodaří nastavit správnou rovnováhu mezi ochranou základních práv občanů EU a jejich práva na soukromí a schopností firem být konkurenceschopnější v porovnání se zbytkem světa. I přes všechny pochyby je ovšem nutno přiznat, že se EU podařilo schválit dohodu, která je svým dosahem a dopadem v oblasti ochrany údajů srovnatelná s tou, která byla v polovině měsíce schválena na klimatické konferenci v Paříži na COP21. 

Dopady celého nařízení na chod EU a firem budou značné, teď bude hodně záležet na tom, jak se příležitost návratu údajů zpět do rukou občanů EU povede realizovat v praxi.

43 názorů Vstoupit do diskuse
poslední názor přidán 11. 1. 2016 12:41

Školení Google Analytics

  •  
    Jak vyhodnocovat úspěšnost reklamních kampaní.
  • Jak ovládat Google Analytics a najít co potřebuji.
  • Jak měřit hodnotu objednávek z webu.

Detailní informace o školení Google Analytics »