Facebook padl. Internetového obra porazil student

Zní to jako příběh z pohádek pro právníky. Mladý rakouský student práv Max Schrems se vzepřel a v soudní bitvě porazil internetové giganty v čele s Facebookem a přerušil tok milionů osobních dat Evropanů přes Atlantský oceán. Způsobil tím jednu z největších bouří v online byznysu, kterou musí s USA řešit česká eurokomisařka Věra Jourová.

Jan Klesla 2.2.2016
Facebook a další internetoví giganti mají problém. | na serveru Lidovky.cz | aktuální zprávy Facebook a další internetoví giganti mají problém. | foto: Reuters
Facebook a další internetoví giganti mají problém. | na serveru Lidovky.cz | aktuální zprávy

Mohli být klidně spolužáci, potkat se na studentském večírku, možná i soupeřit o přízeň nějaké slečny. Dělí je jen pár let, patří do internetové generace a IT jim změnilo život. Namísto toho se přetahují o soukromí každého z nás, a pokud se někdy potkají, bude to nejspíš v soudní síni. První je jedním z nejbohatších mužů na planetě, druhý byl donedávna obyčejný student, dnes ikona boje za ochranu osobních dat. Sociální síť Facebook a její zakladatel Mark Zuckerberg se stali hlavním cílem soudní války vedené rakouským právníkem Maxem Schremsem.

Původní snaha nachytat globální firmu na neznalosti pravidel přerostla se špionážním skandálem vlády USA do souboje o to, jestli mohou data Evropanů volně putovat přes oceán, kde se snadno ocitnou v rukou amerických tajných služeb. Přímo učebnicový souboj Davida s Goliášem dnes znamená obrovský problém nejen pro IT obry ze Silicon Valley. Otázka, jestli je pro naše soukromí na druhém břehu oceánu doslova „bezpečný přístav“, se totiž dostala k soudcům nejvyšší instance Evropské unie v Lucemburku. A ti koncem loňského roku řekli, že ne.

Washingtone, máme tu problém

Vše začalo vcelku nenápadně, když Schrems studoval jeden semestr na Santa Clara University v USA. Na jednu hodinu práva na ochranu soukromí zavítal právník Facebooku Ed Palmieri a mladý Rakušan měl jasno. „Rozhodl jsem se o tom napsat ročníkovou práci,“ vyprávěl Schrems LN. Po návratu do Vídně ho ale kamarádi přesvědčili, aby ji poslal úřadu pro ochranu osobních údajů v Irsku, kde má Facebook evropské sídlo. A během několika večerů Schrems seminárku proměnil na 22 stížností.

To, co od Palmieriho slyšel, byla totiž prý snůška nesmyslů a nepochopení. V americké firmě zjevně evropským předpisům na ochranu dat vůbec nerozuměli - a co hůř, mnohdy si je vykládali po svém a dost svérázně. Kde například legislativa EU vyžaduje od lidí souhlas, aby mohly firmy dále používat jejich osobní data, řekl si Facebook, že naopak lidé musí vyslovit nesouhlas, pokud se jim to nelíbí.

Kde legislativa EU vyžaduje od lidí souhlas, aby mohly firmy dále používat jejich osobní data, řekl si Facebook, že naopak lidé musí vyslovit nesouhlas.

Ještě více Schremse zarazilo, když z největší sociální sítě vymohl všechna data, která shromažďovala o něm samotném. „Nechtěli mi je poslat a pak jsem pochopil proč,“ uvedl. Dostal soubor odpovídající 1222 stránkám textu, dalece přesahující příspěvky, které sám dobrovolně sdílel. Databáze obsahovala i třeba smazané zprávy a statusy, informace o přihlášení, GPS souřadnice, odkud se přihlásil z telefonu, a dokonce i jeho odhadované e-mailové adresy, které sám nikam nezadal.

Irský úřad však stížnosti na porušování jeho práv odmítl s obsáhlým odůvodněním, které Schremse vůbec neuspokojilo, právě naopak. Nakonec mu navíc blahosklonně doporučili, aby se s Facebookem raději nějak domluvil. Takže se rozhodl udělat pravý opak a podal žalobu. I proto, že se společnost připravovala ke vstupu na burzu, rozjela se za tehdy třiadvacetiletým studentem do Vídně deputace firemních právníků. Vedl ji hlavní lobbista pro Evropu, bývalý britský liberálnědemokratický poslanec a člen Sněmovny lordů Richard Beecroft Allan, baron Allan of Hallam.

Budoucího právníka nepřesvědčili, spíš se jim ho podařilo utvrdit v názoru, že v tom, co dělají, nehodlají přestat. Následně propukla kauza Edwarda Snowdena, který odhalil rozsah sledovacích programů amerických tajných služeb známých jako PRISM. Boj o data sbíraná Facebookem tak dostal úplně nový rozměr, protože se ukázalo, že prakticky mohla sloužit nejen pro jeho reklamu, ale i ke sledování vládou USA.

V roce 2014 tak Schrems podal v Rakousku hromadnou žalobu, kde firmu obvinil i ze spolupráce s americkou Národní bezpečnostní agenturou (NSA). To sice Mark Zuckerberg přímo popřel, jeho právníci se ale snažili soudu raději vyhnout a zabránit tomu, aby věc vůbec projednával. Původní spor v Irsku se pak od tamního nejvyššího soudu v témže roce posunul k Soudnímu dvoru EU.

Následující rok se pro Schremse nevyvíjel zpočátku příliš dobře. V červenci se vídeňský soud skutečně odmítl hromadnou žalobou zabývat. V říjnu se však karta obrátila a nadřízená instance to přehodnotila. Především ale 6. října 2015 zasáhla Evropu zpráva, že evropští soudci dali ve staré při s irskými úředníky Schremsovi za pravdu a zablokovali tok milionů osobních dat z EU do USA.

Revoluce české komisařky

Jedním z těch, komu problém přistál na stole především, byla česká eurokomisařka Věra Jourová. V rámci své agendy spravedlnosti měla na starosti právě probíhající závěrečnou fázi vyjednávání dlouho připravovaných nových celoevropských pravidel ochrany soukromí.

Evropský soudní dvůr fakticky zboural základy fungování mnoha internetových, ale i obyčejných společností.

„Bylo nutné rychle reagovat. Museli jsme zajistit, aby předávání údajů mohlo pokračovat. Zároveň jsme zintenzivnili jednání s USA o novém rámci pro předávání osobních údajů přes Atlantik,“ popisuje Jourová s tím, že ji rozhodnutí nepřekvapilo. Dodává ale, že je v souladu s ním nutné zaručit, že budou data chráněna i když opustí území EU. „Musí platit, že k osobním údajům se pojí práva, která s nimi musí cestovat, ať už jsou převedena kamkoli,“ vysvětluje.

Rychlá reakce byla rozhodně namístě. Evropský soudní dvůr totiž fakticky zboural základy fungování mnoha internetových, ale i obyčejných společností. Online systémy dnes běžně fungují na serverech umístěných fyzicky na druhé straně zeměkoule, především v USA, a bez automatického přenosu dat něco takového není reálné.

Pro americké území jej zajišťovala patnáct let stará výjimka označovaná jako „safe harbour“. A právě tehdejší rozhodnutí Evropské komise tuto dohodu uzavřít evropští soudci zneplatnili s tím, že tím lidé přišli o příliš velkou část ochrany.

Z USA přitečou každoročně do Evropy online služby za 140 miliard eur a rozhodnutí nemá dopad jen na giganty jako Facebook, Google, Amazon či Twitter, ale celkem na více než 4400 firem včetně těch malých a středních nebo startupů. A ty na rozdíl od velkých tak snadno neuzavřou individuální dohody nebo nepřemístí své servery na starý kontinent.

Že jde o velký problém i u nás, dokazuje dopis, který Americká obchodní komora a Svaz průmyslu a dopravy rozeslaly 2. listopadu celé české vládě. Apelují v něm na rychlou dohodu, protože jejich členů se rozhodnutí v EU bezprostředně dotýká. „Takzvaný bezpečný přístav je klíčovým nástrojem pro společnosti všech velikostí a oborů, zejména malé a střední podniky,“ napsali zástupci podnikatelů ministrům.

Z USA přitečou každoročně do Evropy online služby za 140 miliard eur a rozhodnutí nemá dopad jen na giganty jako Facebook, Google, Amazon či Twitter, ale celkem na více než 4400 firem.

Jourová představila návrh dohody s USA v úterý 2. února. Jednání trvala dlouho a podmínky byly dojednány doslova až na poslední chvíli – o víkendu před stanoveným termínem konce ledna, kdy původní Safe Harbor přestal definitivně platit. „Několikrát jsem telefonovala s ministryní obchodu USA Penny Pritzker a v listopadu jsem ve Washingtonu vedla intenzivní jednání, kde jsme se dohodli na dalších krocích s cílem dospět počátkem roku 2016 k jasnému závěru,“ popisuje eurokomisařka. A dodává, že návrh nyní ještě musí schválit celá Evropská komise.

Jak již dříve uvedla, americký skandál a potřeba nové smlouvy s USA byly jedním z hnacích motorů celé reformy ochrany dat. Nové nařízení, které bude automaticky platit ve všech členských zemích, obsahuje moderní pravidla ochrany soukromí v digitální době v rámci EU i právě při předávání dat do zahraničí.

Na finální podobě klíčového předpisu se před koncem roku dohodla s poslanci europarlamentu, hájícími tradičně občany, a zástupci států, kteří jsou zase obvykle na straně firem. Společně s dohodou s USA jde bez nadsázky o revoluční balíček, který ovlivní život každého z půlmiliardy Evropanů, a česká komisařka se díky němu zapíše do dějin.

Nová fronta

Pravidla platná od roku 2018 nahradí i český zákon a obsahují některé zásadní změny při nakládání s našimi daty. Vyžaduje se například přísnější souhlas, větší kontrola, právo na informace, co se s nimi děje, a jejich přenositelnost ke konkurenční službě. Také právo na jejich smazání a dnes již známé „právo být zapomenut“ v internetových vyhledávačích. S jejich přijetím se otevírá nová kapitola i pro český Úřad pro ochranu osobních údajů, v jehož čele od podzimu stojí bývalá místopředsedkyně Ústavního soudu Ivana Janů, jejímž hlavním úkolem je vylepšit nepříliš dobrou pověst strážců soukromí. Napříště to budou právě oni, na koho se budou Češi obracet se stížností třeba proti Facebooku.

Pro firmy přináší nová legislativa celou řadu povinností, eurokomisařka ale zdůrazňuje, že dopad na ně má mít hlavně pozitivní. „Přínosy se odhadují na 2,3 miliardy eur ročně, jelikož nová pravidla výrazně sníží administrativní zátěž, zejména pro malé a střední podniky,“ tvrdí Jourová s tím, že posílení ochrany dat je pro Evropu také velká obchodní příležitost. Komise se snaží vybudovat jednotný digitální trh a pro ten jsou pravidla soukromí naprosto zásadní.

Jak bude vypadat praxe, se teprve ukáže, boj o naše soukromí ale rozhodně pokračuje. Minulý týden se nechala slyšet i kolegyně Jourové, komisařka pro hospodářskou soutěž Margrethe Vestager. Podle ní může antimonopolní pravidla porušovat i shromažďování obrovského množství osobních údajů malou skupinkou internetových firem. Zvláště pokud je zneužijí jako výhodu proti konkurenci. Ve válce o data se otevírá nová fronta.

O aktuálním vývoji kauzy viz: Jourová má hotová pravidla, jak Brusel ohlídá naše data mířící do USA