„Internet se změní zásadním způsobem, už nebude takový, jak ho dnes známe,“ řekl ve svém vystoupení na čtvrtém ročníku konference LAW FIT 2016 Josef Prokeš, ředitel správní sekce Úřadu pro ochranu osobních údajů (ÚOOÚ). Podstatná část setkání právníků, studentů, zástupců státní správy a internetových podnikatelů se tentokrát nesla ve stínu v dubnu schváleného nařízení Evropské unie o ochraně osobních údajů (GDPR).
Pro celou debatu ovšem bylo příznačné, že dnes vlastně ještě nikdo není schopný odhadnout, jak konkrétně nařízení podobu internetu změní. „Neznalost nařízení je velká. Nařízení zatím studují jak úředníci, tak zástupci průmyslu,“ připustil Prokeš. První přesnější výklad jednotlivých obecných pravidel se tak podle něj od úřadů na ochranu údajů dá čekat až v průběhu podzimu. Z hlediska nařízení je času dost – v platnost totiž vstoupí až na jaře roku 2018. „Nejen trh, ale i úřad se v průběhu dvou let musí adaptovat na nový evropský předpis,“ dodala ve svém vystoupení také šéfka ÚOOÚ Ivana Janů.
Bývalá ústavní soudkyně zdůraznila, že ani v měnícím se prostředí internetu nesmíme zapomínat na „právo na informační sebeurčení“. „Právě uvedená pravidla, pokud budou férově a rozumně prosazována, mohou být srozumitelným pojítkem k uchopení srozumitelného pojmu soukromí, neodmyslitelně spjatého s právem na lidskou důstojnost, které tradičně je a musí i nadále zůstat neobchodovatelnou komoditou. Soukromí člověka v tomto století jistě prochází proměnami, rezignovat však na jeho důležitost v nárocích na jeho ochranu není možno, to je imperativ.“
Neuvážené využívání technologií podle Janů může ohrožovat vývoj společnosti a nadbytečné zásahy do soukromí mohou vést k podřízenosti společnosti technice. „Technologická totalita pro mne znamená nejen prosazování neujasněných a neodpovědných konceptů zpracování dat, ale také úplné a nedomyšlené odevzdání se technologiím a technologickým gigantům bez patřičného prostoru pro informační sebeurčení člověka nás všech,“ řekla. „Informační sebeurčení je úzce svázáno s důstojností člověka coby středobodem, ze kterého vycházejí všechna další základní práva obsažená v Listině a ve všech mezinárodních lidskoprávních dokumentech,“ dodala předsedkyně ÚOOÚ.
Příliš moc ochrany škodí
Protipól ochranářského přístupu k osobním údajům nabídl na LAW FIT 2016 zástupce generálního ředitele Seznam.cz Michal Feix. Podle něj je evropská představa o nutnosti chránit občany před riziky ve srovnání se světem notně přehnaná. „Problémem Evropy myslím je, že jsme filozoficky přesvědčeni, že evropský občan je z principu středně erudovaný a kompetentní činit samostatná rozhodnutí. A proto je tu stát, který ho pohlídá, aby neudělal nějakou chybu nebo aby se mu něco zlého nestalo. Když to porovnáte s filozofií, kterou razí třeba ve Spojených státech, tak tam je mnohem větší míra odpovědnosti na individuálním občanovi.“
Přísnější evropská pravidla pro ochranu osobních údajů podle Feixe mohou poškodit zdejší internetové podnikatele. „Evropa se dnes chlubí, že má nejlepší ochranu osobních údajů na světě. A to je problém, protože to je naše zásadní konkurenční nevýhoda oproti všem ostatním na světě, kteří ta pravidla nemají stejná,“ argumentoval.
Seznam je – jako řada dalších digitálních firem – závislý na příjmech z reklamy. A ukazuje se, že reklamní model je stále pro uživatele nejpřijatelnější – jejich ochota za služby či obsah přímo platit se v praxi ukazuje jako mizivá. Proto se internetový byznys snaží peníze získávat od inzerentů. Ti ale za peníze vyžadují služby, které jim dávají smysl. Svět digitální reklamy se přitom v uplynulých letech výrazně proměnil. Od cílení odhadovaného podle obsahového zaměření serverů (například na základě předpokladu, že na server o autech chodí hlavně muži) přešel k metodám založeným na datech o chování uživatelů.
Pseudoanonymní či anonymní?
„Dříve jsme se bavili o tom, zda cílíme na muže nebo na ženy, kde asi bydlí a kolik je jim asi let, dnes se bavíme o věcech, které se nazývají třeba nákupní úmysl. Můžete také cílit na různé cílové skupiny, jako třeba ‚chystá se na dovolenou‘ a podobně,“ vysvětloval ve své přednášce Lukáš Rýdl z agentury Dobrý web. „Každý klient, který dnes investuje peníze do své digitální propagace, očekává, že se na konci dozví, co přesně mu taková investice přinesla,“ dodal. A k tomu jsou podle něj zapotřebí velká množství dat a analytické práce.
„Prakticky všechny metody cílení reklamy jsou dnes postavené na jednom podobném principu: snažíte se z chování počítače uhádnout, o jakou osobu se přibližně jedná,“ vysvětloval také Feix. Evropa se podle něj v poslední době snaží odpovědět na otázku, zda tyto tzv. pseudoanonymní údaje jsou nebo nejsou osobními daty. „My se snažíme tvrdit, že data, která v tomto směru osobu jednoznačně neidentifikují, osobními daty nejsou. Problém, na který narážíme, je, že pokud vyvinete nějaké extrémní matematické a výzkumné úsilí, tak pochopitelně existují situace, ve kterých i z těch pseudoanonymních dat jste schopní určit, o jakou osobu se jedná,“ připustil Feix.
Ano, jde zejména o známou kontroverzi kolem cookies. „Je to technologie, která je stará prakticky jako webová stránka sama. Dvacet let nikomu nevadila a na internetu dvacet let bez problémů fungovala. Posledních asi pět let je ale kolem ní ohromný rozruch. Pokud se ale detailně technicky podíváte na to, co je cookie a jaká informace se v cookie ukládá, nemůžete nikdy dospět k jinému závěru, než že se nejedná o informaci, která identifikuje člověka, ale která identifikuje webový prohlížeč,“ přesvědčoval Feix.
Připustil ale také, že někdy i rozpoznání webového prohlížeče může v důsledku vést k identifikaci konkrétního člověka. „Ale zároveň konstatuji, že v drtivé většině všech online firem po světě dnes prakticky není u reklamních systémů důležité, kdo konkrétně u toho počítače sedí. Potřebujete vědět zhruba věkové rozpětí, pohlaví, zajímají vás ideálně zájmy, koníčky, tedy poměrně obecné věci,“ dodal Feix.
Žádné zásadní změny
Pro digitální trh bude každopádně v praxi důležité hlavně to, jak bude ÚOOÚ (případně jiný regulátor) nové nařízení o ochraně osobních údajů vykládat. V tomto směru zatím moc jasno není.
Podle Josefa Prokeše se ovšem mění celkový rámec ochrany osobních dat. „Každý hráč, který se dosud o žádnou ochranu dat nestaral, se s tím teď musí nějak vypořádat,“ řekl. Pokud se ale tuzemské firmy už ochranou dat zabývaly, neměly by pro ně změny být až tak velké. „Z hlediska hmotně-právního se o žádné zásadní změny nejedná. Pokud si vezmete starší stanoviska úřadu, zjistíte, že se tyto věci objevují ve velmi podobném tvaru,“ dodal Prokeš.
