Reforma ochrany osobních údajů na internetu

Reforma ochrany osobních údajů na internetu

V souvislosti s navrženým zněním nového tzv. obecného nařízení o ochraně osobních údajů[1] na poli Evropské unie by měli být na pozoru nejen poskytovatelé internetových služeb, ale také uživatelé samotní. Zejména potom ti, kteří jsou aktivní na sociálních sítích, či jinak potenciálně ohrožují bezpečí svých osobních údajů.

Nové nařízení je zatím stále ještě ve fázi schvalování a na jeho konečné přijetí si budeme muset minimálně rok počkat, přičemž jeho samotná účinnost se odhaduje až na rok 2017. Koncept ochrany osobních údajů však s novým nařízením nabude zcela odlišných rozměrů, a je proto nezbytné se na tyto změny včas připravit.

Co způsobila kauza odhalení masového sledování uživatelů

Je zřejmé, že zájem o tuto problematiku vzrostl zejména s ohledem na kauzu odhalení masového sledování milionů občanů Národní agenturou pro bezpečnost („NSA“), na nichž se primárně podíleli Google, Yahoo! či Facebook, tedy poskytovatelé služeb, které každý běžný uživatel internetu denně využívá. Přestože nové nařízení je velkým strašákem zejména pro poskytovatele internetových služeb, v tomto článku se zaměříme spíše na dopady, které bude mít pro běžného uživatele.

Proč je nutné chránit své osobní údaje

Předně považuji za nezbytné zdůraznit význam ochrany osobních údajů, který si mnozí z nás neuvědomují. Často nejsme dostatečně obezřetní k osobním informacím, které nejen že ponecháváme neznámým subjektům ke zpracování, často je i vlastní účastí na sociálních sítích do éteru sami vypouštíme bez ohledu na dopady, které taková informace může způsobit.

Případ Drunken Pirate (opilý pirát)

Příkladem takového neuváženého sdílení informací je případ „Drunken Pirate“ (překl. „opilý pirát“) týkající se Američanky Stacy Snyder, která v roce 2005 dokončovala univerzitní studia a čekala pouze na udělení titulu na pedagogické fakultě. Několik dní před promocí ji však vedení školy konfrontovalo s fotografií, kterou sama nahrála na server Myspace. Na této fotografii je zachycena sama Stacy Snyder v pirátském klobouku, popíjející nápoj z plastového kelímku, o němž ani z fotografie nelze usoudit, zda je alkoholický, a tuto fotografii označila jako „Drunken Pirate“.

Samotné pojmenování této fotografie bez jakýchkoliv dalších důkazů a bez ohledu na to, že sama aktérka již dávno překročila věkovou hranici ke konzumaci alkoholu, postačilo vedení školy k tomu, aby chování Snyder odsoudilo jako neprofesionální a podněcující konzumaci alkoholu mládeží, a vedlo k tomu, že ačkoliv splnila všechny studijní povinnosti, vedení školy jí odmítlo titul udělit.

Je proto nutné si uvědomit, že adresáty námi sdílených a šířených informací nejsou pouze naši přátelé a blízcí, ale také zaměstnavatelé, obchodní partneři nebo banky. Opomenout ale nelze ani nebezpečí zneužití osobních údajů nebo například stále se rozmáhající krádež identity.

Jaké změny připravilo nařízení o ochraně osobních údajů

Nařízení o ochraně osobních údajů však již ve svých úvodních ustanoveních proklamuje, že ochrana osobních údajů je chápána jako jedno ze základních lidských práv a svobod, což také odráží, jakým směrem se bude zájem Evropské Unie v budoucnosti ubírat.

Dále je nutno poukázat i na rozdíl v právním předpisu, jež bude tuto právní úpravu reprezentovat. Dosud platná směrnice[2] tak bude nahrazena právně závazným a přímo aplikovatelným nařízením. Bude to pravděpodobně znamenat zrušení zákona o ochraně osobních údajů[3] a výraznou změnu působnosti Úřadu pro ochranu osobních údajů. Tato změna je odrazem snahy o sjednocení mnohdy roztříštěné právní úpravy v jednotlivých členských státech, kdy ochrana osobních údajů je například v Irsku tradičně výrazně nižší než v severských státech nebo v Německu.

Tato jednota se potom bude odrážet zejména v tom, že všichni evropští správci osobních údajů budou podléhat téže právní úpravě, a proto nebude muset běžný uživatel studovat právní řád státu správce osobních údajů, aby se domohl ochrany, ale bude moci vycházet ze znění nařízení samotného.

Co je obsahem osobního údaje a jak kontrolovat jeho zpracování

Předně je důležité si uvědomit, co vlastně obsahuje pojem osobní údaj.

Osobní údaj zahrnuje jakoukoliv informaci, podle které lze přímo či nepřímo identifikovat fyzickou osobu.

Lokalizační údaje a elektronické identifikátory

Nově do této kategorie budou spadat také lokalizační údaje či elektronické identifikátory. Řeč je tak zejména o IP adresách a textových souborech cookies, jejichž význam spočívá zejména v tom, že umožňují prohlížečům pamatovat si informace, které využijí, až v budoucnu tutéž stránku navštívíte. To zahrnuje zejména přístupové údaje, poslední navštívenou stránku, dobu strávenou na dané stránce nebo obsah nákupního košíku.

Opt-in systém a regulace

Jak IP adresy, tak soubory cookies na druhou stranu hrají nesmírně důležitou roli ve vztahu k internetové reklamě. Právě díky nim se často podivujeme nad tím, proč nám vyskakuje reklama na něco, co jsme hledali před několika dny na zcela jiné internetové stránce.

To, jakým způsobem je v současnosti udělován souhlas se zpracováním osobních údajů, lze definovat jako tzv. opt-in systém, jehož princip fungování můžeme vysvětlit na příkladu internetové reklamy. Uživatel musí prvotně jednat a dát najevo svůj zájem o tuto reklamu proto, aby mu byla zasílána. Zároveň mu musí být umožněno kdykoliv tento souhlas odvolat a z odebírání služby se odhlásit.

Problém ovšem nastává tehdy, pokud znění směrnice není respektováno, či není přijata dostatečná vnitrostátní právní úprava, která opt-in systém garantuje.

Opt-out systém a regulace

Příkladem opačného systému, tedy tzv. opt-out systému, je potom nevyžádaná reklama, vyskakovací okna či automatické přihlašování k různým serverům.

Právě zamezení opt-out systému si klade nové nařízení za cíl, a to tím, že bude vždy nutné poskytnout souhlas se zpracováním údajů, přičemž to bude správce (definován v čl. 4 (5) jako „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoliv jiný subjekt, který sám nebo společně s jiným určuje účel, podmínky a prostředky zpracování osobních údajů“), který ponese důkazní břemeno, že subjekt údajů svůj souhlas vyjádřil.

Subjekt má navíc výslovně zakotvené právo svůj souhlas kdykoliv odvolat.

Explicitní či implicitní souhlas

Ačkoliv rozsah informací, které jsou právě díky elektronickým identifikátorům uchovávány, přesahuje hranice naší představivosti, pravdou zůstává, že soubory cookies jsou v současnosti již tak rozšířené, že představa, že musíme udělovat explicitní souhlas prakticky na každé internetové stránce, kterou otevřeme, se nejeví jako uživatelsky přátelská.

V praxi to potom může vést pouze k tomu, že čím více je uživatel dotazován, zda se zpracováním údajů souhlasí, tím menší bude jeho obezřetnost k udělování souhlasu, a význam tohoto ustanovení se tak částečně jeví jako kontraproduktivní.

Potenciální pokuty pro správce

Přesto se dá předpokládat, že správci (eventuálně zpracovatelé, kteří provádí zpracování osobních údajů jménem správce) budou mít zájem na dodržení obsahu nařízení z důvodu poměrně vysokých pokut, které jsou v současnosti vyjádřeny ve výši až 2% ročního obratu, což v případě společností jako je Facebook nebo Google může dosahovat astronomických a nepřiměřených částek.

Práva subjektů osobních údajů

Nařízení také zakotvuje celou řadu práv, která ze zpracování vyplývají přímo subjektu, jehož se týkají. Každému tak musí být známo, kdo jeho údaje zpracovává, účel, pro který jsou údaje určeny, nebo například dobu, po kterou se budou osobní údaje uchovávat, či příjemce nebo kategorie příjemců osobních údajů.

Jakou odpovědnost mají Facebook a Google?

Pro běžný nákup v internetovém obchodě, kde je najisto dané, kdo služby poskytuje a kdo je přijímá, pravděpodobně tato ustanovení nebudou činit velké praktické potíže, obtížnější to však bude se společnostmi typu Google, Facebook apod., které zpracovávají podstatně větší objem údajů a v daleko větším rozsahu. Tyto společnosti se totiž nestaví do role zpracovatele či správce informací, ve svých smluvních podmínkách se této role přímo jednostranně zříkají, a namísto toho se považují za pouhého zprostředkovatele informací, který tudíž nemůže být za informace, které jsou jejich prostřednictvím dohledatelné, odpovědný.

Jejich (Facebooku, Googlu) snahu vyhnout se odpovědnosti ovšem vyvrátil Soudní dvůr EU v rozsudku, který bude popsán níže v souvislosti s nově zakotveným právem být zapomenut.

V souvislosti s odpovědností těchto „gigantů“ je dále třeba upozornit ještě na to, že nové nařízení se má uplatnit také na ty správce, kteří nejsou usazeni na území Evropské unie, ale nabízí zde zboží nebo služby či sledují chování subjektů v EU. Je tak zcela zjevné, na které správce nařízení tímto ustanovením míří.

V praxi je však jen těžko představitelné, jak bude toto nařízení prakticky vymáháno, neboť bez existence mezinárodní smlouvy není dán žádný základ pro to, aby společnost sídlící v USA podléhala úpravě nastolené Evropskou unií.

Právo být zapomenut

Často diskutovaným právem souvisejícím zejména s uchováním osobních údajů je tzv. právo být zapomenut (z angl. the right to be forgotten).

Podle něj tak má každý subjekt údajů právo

požadovat od správce výmaz osobních údajů, které se jej týkají, a zdržení se dalšího šíření těchto údajů, zejména v souvislosti s osobními údaji, které subjekt údajů zpřístupnil v dětském věku, pokud je splněn jeden z těchto důvodů: a) údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) subjekt odvolá svůj souhlas, na jehož základě byly údaje (…) zpracovány.

Právo být zapomenut je nyní v textu nařízení explicitně vyjádřeno

Poprvé je tak toto právo explicitně zahrnuto v textu nařízení, ačkoliv už v květnu 2014 Soudní dvůr Evropské unie (dále jen „SDEU“) toto právo přiznal Španělu Mariu Costeja Gonzálezovi v jeho sporu proti společnosti Google Spain SL[4] na základě stále ještě účinné směrnice.

González si přál vymazat uveřejněnou informaci o nuceném prodeji jeho nemovitosti pro nesplacený dluh na sociálním pojištění z roku 1998. Tento dluh byl posléze splacen, ale jak tomu bývá, informace o tom zůstala na Googlu i nadále dostupná. Soud se tak musel vypořádat s otázkou, zda je skutečně možné požadovat po společnosti Google vymazání údajů a je nutné podotknout, že ani rozhodnutí SDEU nebylo zcela jednotné.

Generální advokát totiž dospěl nejprve k závěru, že správcem osobních údajů může být jen ten, kdo o svém postavení ve vztahu ke konkrétním osobním údajům a konkrétnímu subjektu údajů ví.[5]

S tímto názorem se však SDEU neztotožnil a vycházel zejména z toho, že dluh pana Gonzáleze byl již splacen před mnoha lety, a tudíž informace o jeho existenci není už více nezbytnáa nemůže ani převážit zvědavost a hospodářský zájem provozovatele vyhledávače nad zájmem jednotlivce na jeho smazání.

Pokud by se jednalo o informaci veřejného zájmu, jako například informace rozhodující pro volbu určitého kandidáta ve volbách, nebo informace o osobě veřejně známé, lze usuzovat, že by veřejný zájem na uchování této informace ve vyhledávači převážil.

Význam práva být zapomenut

Je tak zjevné, že text tohoto ustanovení se snaží chránit zejména uživatele sociálních sítí, tedy výslovně mladistvé před tím, aby nemuseli být navždy konfrontováni s prohřešky ze svého mládí, klasicky tomu tak bude s nahráváním fotografií na Facebook, apod.

Problém zejména s touto sociální sítí spočívá v rychlém šíření fotografií a především jejich sdílení či nahrávání jinými uživateli. Je tak vůbec možné úspěšně žádat po jiném uživateli, který fotografii nahrál a je jejím vlastníkem, její smazání? To nám možná prozradí budoucí soudní praxe v této oblasti.

Negativní dopad práva být zapomenut (tzv. Streisand efekt)

V souvislosti s právem na to být zapomenut bych ráda upozornila ještě na několik dopadů, které toto právo může mít. Za prvé se pan González domáhal určité anonymity, ale vzhledem k tomu, že svůj spor dostal až před SDEU, který o dané věci dosud nerozhodoval, teď o panu Gonzálezovi veřejnost neví nic víc než právě tu jedinou věc, kterou se před ní snažil utajit. Vzhledem k tomu, že právo být zapomenut je natolik nové, lze očekávat, že takový efekt bude mít ještě celá řada dalších rozhodnutí v této oblasti. Tento negativní dopad se označuje jako tzv. Streisand efekt.

Obdobný případ se totiž týkal i známé zpěvačky, jejíž vilu nafotila realitní kancelář na západním pobřeží USA a fotografii zveřejnila na svých stránkách, kde se ovšem snažila pouze propagovat lokalitu jako takovou, s osobou ani soukromím Streisand takto nahraná fotografie neměla co do činění. Jednalo se navíc o tak malou realitní agenturu, že její stránky nebyly nikterak hojně navštěvovány. Tím, že se zpěvačka domáhala soudní ochrany, však docílila pouze toho, že případ jako takový přilákal daleko větší pozornost než samotná fotografie na stránkách realitní kanceláře.

Další dopady práva být zapomenut

Dále stojí za zmínku také to, že od tohoto rozsudku společnost Google zaznamenala vysoký nárůst žádostí o to být zapomenut a vymazán z vyhledávače, nikoliv však od původně zamýšlené cílové skupiny, ale od těch, kteří chtějí skrýt informace o jimi spáchaných trestných činech, podvodech, nebo informace o dětské pornografii.

Vzhledem k tomu, že tyto případy je nutno posuzovat každý samostatně, s ohledem k zájmu, který každý jednotlivec na výmazu má, existují také obavy, že se takto formulované právo stane nástrojem pro cenzuru a mnoho odkazů a stránek by tak mohlo zůstat prázdných.

Závěrem k osobním údajům

Závěrem můžeme shrnout, že nové nařízení si klade za cíl umožnit každému snadný přístup k osobním údajům, které nutně poskytujeme denně za účelem přístupu k online službám, tedy zejména za účelem naší účasti na sociálních sítích, za účely online nákupu a podobně. Výchozím bodem je tak možnost vždy dát explicitní souhlas s tím, že naše osobní údaje budou zpracovány, a být informováni o tom, jakým způsobem zpracování bude probíhat.

Konečně také možnost domáhat se odstranění osobních údajů z databáze korporací, pokud s tím subjekt těchto údajů nesouhlasí a jejich uchování již není účelné. Dalším z cílů je také obnova důvěry v online služby, které denně využíváme s ohledem na narůstající kybernetickou kriminalitu a zneužívání osobních údajů.

Více o nařízení EU o ochraně osobních údajů se dozvíte v článku: Způsobí Nařízení o ochraně osobních údajů GDPR revoluci v celé EU?


[1] Legislativní usnesení Evropského parlamentu ze dne 12. března 2014 o návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů)  (COM(2012)0011 – C7-0025/2012;

[2] Směrnice 95/46/EC ze dne 24. října 1995;

[3] Zákon o ochraně osobních údajů č. 101/2000 Sb.;

[4] Rozsudek SDEU, C-131/12 Google Spain SL a Google Inc. v Agencia Espaňola de Protección de Datos (AEPD) a Mario Costeja González, ze dne 13. května 2014;

[5] Viz. Generální advokát Niil Jääskinen, s odkazem na pracovní skupinu zřízenou podle čl. 29 Směrnice 95/46;

5/5 - hodnocení čtenářů