Inflace souhlasu je varovná. Lidé by měli být pány svého soukromí

Nové evropské nařízení na ochranu osobních údajů, bezpečnostní hrozby i postoj nové vlády USA zásadně mění přístup k soukromí Evropanů. „Pokud nebude našim datům v USA zaručena stejná úroveň ochrany, jakou máme v Evropě, dohodu o transferu shodím,“ říká v rozhovoru eurokomisařka Věra Jourová.

Eurokomisařka Věra Jourová. foto: Foto František Vlček.MAFRA

Eurokomisařka Věra Jourová.

Je to přesně rok, co Evropská komise dohodla s USA mechanismus předávání a ochrany soukromých dat přes oceán. Již tak křehkou dohodu, pro niž se vžil termín Privacy Shield (štít soukromí), teď ale může ohrozit nástup nové administrativy prezidenta Donalda Trumpa. Eurokomisařka pro spravedlnost a ochranu spotřebitelů Věra Jourová, do jejíž kompetence Privacy Shield spadá, proto chystá záchrannou misi do Washingtonu. A v rozhovoru mimo jiné říká:

„Z případu cookies a argumentu, že lidé jsou neustále obtěžováni vyjádřením souhlasu, když zase o tolik nejde, jsme se samozřejmě poučili. Pod těmi neustálými ataky jsme se naučili, že máme se vším souhlasit. Až pak půjde o něco zásadnějšího, než jsou cookies, například právě lokalizační a identifikační údaje, tak to prostě odklikneme, jen ať máme klid.“

LIDOVÉ NOVINY: Dohoda o přenosu osobních dat mezi Evropou a USA Privacy Shield je v platnosti zhruba půl roku. Jak jste spokojená s jeho fungováním?

JOUROVÁ: Jsem spokojená s tím, jak se ujala u firem. Rychle se nám do systému začaly hlásit. V současné době máme něco kolem 1200 firem, které už dostaly certifikát, že na základě dohody Privacy Shield mohou přenášet data Evropanů do USA. Zároveň evidujeme asi 800 žádostí o notifikaci.

V současné době máme něco kolem 1200 firem, které už dostaly certifikát, že na základě dohody Privacy Shield mohou přenášet data Evropanů do USA. Zároveň evidujeme asi 800 žádostí o notifikaci.

V původním režimu Safe Harbour jsme měli 4400 firem, tak předpokládám, že počet zapojených společností bude ještě narůstat. Snažili jsme se zajistit v USA i místo, kde si budou lidé moci stěžovat, pokud budou mít nějaké indicie, že jejich data byla zneužita, a to i ze strany organizací typu tajných služeb nebo bezpečnostních orgánů. Proto pod státním tajemníkem Johnem Kerrym vznikl úřad ombudsmana – zatím ale žádný případ neřešil.

LIDOVÉ NOVINY: V USA nastupuje nová administrativa. Co to bude znamenat pro Privacy Shield?

JOUROVÁ: Neumím předjímat, jak se k tomu administrativa Donalda Trumpa postaví. Předpokládám ale, že prezident Trump rozumí důležitosti spolupráce byznysu mezi Amerikou a Evropou a docení – nebo mu to někdo vysvětlí –, jak je pro lidi i byznys důležité, aby transfery dat probíhaly bezproblémově a s veškerou právní jistotou. Nyní čekám na ustanovení vlády, abych mohla zahájit dialog se svým protějškem, kterým pravděpodobně bude Wilbur Ross.

S jeho předchůdkyní Penny Pritzkerovou jsem měla velice dobře nastavenou spolupráci. Chápala, proč Evropanům tolik záleží na tom, aby nebyli nadměrným způsobem sledováni a aby jejich data nebyla zneužívána. Chci se do USA podívat, až se nová vláda usadí na svých židlích, abych se ujistila o kontinuitě.

LIDOVÉ NOVINY: Změnu v přístupu k ochraně dat tedy neočekáváte?

Předpokládám ale, že prezident Trump rozumí důležitosti spolupráce byznysu mezi Amerikou a Evropou a docení – nebo mu to někdo vysvětlí –, jak je pro lidi i byznys důležité, aby transfery dat probíhaly bezproblémově a s veškerou právní jistotou

JOUROVÁ: Doufám v pokračování minimálně v tom, že zůstane v platnosti prezidentský výnos číslo 28, který i v reakci na Snowdenova odhalení stanovuje, jakým způsobem mají být v bezpečnostních složkách aplikována pravidla ochrany osobních údajů. Pokud by se to změnilo, pak musíme být obezřetní a vyhodnotit rizika. Pokud by se měla zásadnějším způsobem měnit legislativa, budu požadovat silnější záruky a nikde není psáno, že tento systém nemůžeme shodit. Já to klidně udělám.

LIDOVÉ NOVINY: Pokud bude uživatel chtít odstranit z webu, například z Facebooku, nějaké informace o své osobě, s jejichž používáním nedal souhlas, co může na základě Privacy Shield učinit?

JOUROVÁ: V případě Facebooku je řešení jednodušší, protože jde o firmu působící v Evropě. Prvně je tedy třeba podat stížnost přímo Facebooku, a když nevyhoví, je na řadě Úřad pro ochranu osobních údajů. Složitější je to v případě firem, které pouze importují data do USA. Pak to bude na základě stížnosti řešit Federal Trade Commission. Pokud by šlo o podezření, že firma vydala má data třetí straně, například tajným službám, pak přichází na řadu institut ombudsmana.

Všechny dotčené americké orgány jsou na základě Privacy Shield povinné to řešit. Nemůže se tedy stát, že by stížnosti Evropanů jen tak ignorovaly. Osobně jsem docela zklamaná z toho, že se neohradil žádný z uživatelů Yahoo, když v říjnu vyšlo najevo, že Yahoo pořizovalo pro americké tajné služby skeny e-mailů.

LIDOVÉ NOVINY: Co když ale uživatel komunikaci s americkými úřady nezvládne, třeba kvůli jazykové bariéře?

Při vyjednávání se nám i přes nelibost americké strany podařilo prosadit, že úřady pro ochranu dat budou pro evropské spotřebitele v jednání s USA advokátem

JOUROVÁ: Vždy doporučuji, i když člověk vládne angličtinou, obracet se na národní úřad pro ochranu dat. Ten buď pomůže, nebo se věci přímo ujme. Při vyjednávání se nám i přes nelibost americké strany podařilo prosadit, že úřady pro ochranu dat budou pro evropské spotřebitele v jednání s USA advokátem.

LIDOVÉ NOVINY: Návrh směrnice o soukromí v elektronických komunikacích mimo jiné nařizuje kromě v obsahu komunikace anonymizovat či vymazávat i čas a místo hovoru a další metadata. Není to v konfliktu s jinými nařízeními, která naopak chtějí provozní a lokalizační údaje uchovávat?

JOUROVÁ: Firmy musejí tyto údaje chránit a zamezit tomu, aby se nedostaly do nepovolaných rukou. Zvlášť v kombinaci s dalšími údaji, které firmy o zákaznících mají, to může znamenat pro soukromí velkou hrozbu. Nad touto pasáží se při vzniku návrhu směrnice vedly velké diskuse. Sama jsem se ptala, zda to nepřeháníme, ale bylo mi vysvětleno, že právě v kombinaci s dalšími údaji jde o nebezpečnou věc.

LIDOVÉ NOVINY: V případě dřívějšího nařízení o takzvaných cookies (anglicky koláček či sušenka – data, která www server pošle prohlížeči a ten je uloží na počítači uživatele. Při další návštěvě téže stránky prohlížeč tato data posílá zpět serveru – pozn. red.) už ale Komise přiznala, že bylo příliš přísné, nic nevyřešilo a vedlo jen k tomu, že dnes uživatele internetu na stránce obtěžuje právní prohlášení, které je nutné potvrdit.

Uživatelé budou mít možnost udělení souhlasu přeskočit. Zároveň by se nemělo stát, že si nesouhlasem zamezím přístup k nějaké základní službě nebo informaci. Nesmí se stát, že budu tlačen k souhlasu i v případě, že to není nutné.

JOUROVÁ: Z případu cookies a argumentu, že lidé jsou neustále obtěžováni vyjádřením souhlasu, když zase o tolik nejde, jsme se samozřejmě poučili. Mně osobně vždycky přišlo varující, jaká nastala inflace souhlasu. Pod těmi neustálými ataky jsme se naučili, že máme se vším souhlasit. Až pak půjde o něco zásadnějšího, než jsou cookies, například právě lokalizační a identifikační údaje, tak to prostě odklikneme, jen ať máme klid.

LIDOVÉ NOVINY: Problematiku cookies nová směrnice rovněž řeší. Píše se v ní, že by uživatel měl mít možnost je odmítnout. Co když ale pak na konkrétní stránku nebudu moci?

JOUROVÁ: Uživatelé budou mít možnost udělení souhlasu přeskočit. Zároveň by se nemělo stát, že si nesouhlasem zamezím přístup k nějaké základní službě nebo informaci. Nesmí se stát, že budu tlačen k souhlasu i v případě, že to není nutné. Myšlenka této legislativy je, aby lidé věděli, co dělají. Aby byli pány svého soukromí a mohli od toho případně dát ruce pryč.

LIDOVÉ NOVINY: Chtějí ale lidé rozhodovat o každé jednotlivosti? Stojí jim to za to?

JOUROVÁ: Věřte tomu, že v Evropě je hodně lidí, kteří chtějí mít přehled o všem. I za cenu toho, že části lidí to bude připadat přehnané nebo obtěžující. V Česku jsme – čistě podle mého vlastního pozorování – méně citliví na to, co se děje s našimi daty, než třeba v Německu. Já jsem navrhovala, jestli by se to například právě u cookies nedalo vyřešit obecným souhlasem.

Možná jsme v přechodné fázi, kdy budujeme kulturu ochrany osobních dat a posílení vlastní odpovědnosti. Třeba v budoucnu k obecnému souhlasu a nesouhlasu dospějeme, ale při konzultacích jsme zjistili, že zatím si většina lidí přeje tento systém.

Rozdíly ve vnímání těchto rizik napříč Evropou jsou však značné. Možná jsme v přechodné fázi, kdy budujeme kulturu ochrany osobních dat a posílení vlastní odpovědnosti. Třeba v budoucnu k obecnému souhlasu a nesouhlasu dospějeme, ale při konzultacích jsme zjistili, že zatím si většina lidí přeje tento systém.

LIDOVÉ NOVINY: Nestřetáváte se se snahami některých národních ministerstev vnitra o zavedení pověstného Velkého bratra?

JOUROVÁ: Samozřejmě že ano. Je to obrovské dilema a střet dvou základních práv – práva na soukromí a práva na bezpečí. Doposud jsme si velmi vážili práva na soukromí a toho, že jsou pro státy jasně stanovené limity zasahování do soukromí a sledování. A já doufám, že to tak i zůstane. Je jasné, že po každém dalším teroristickém útoku, po každém dalším ohrožení bezpečnosti bude sílit tlak na to, aby se bezpečnostní složky snadno dostávaly k datům lidí.

Jsou mezi námi lidé, kteří jsou pod vlivem strachu ochotni vzdát se části svého soukromí. To je asi symbol naší doby. Národní i evropská legislativa ale vždy pamatuje na principy potřebnosti a přiměřenosti a domnívám se, že dokážeme na vyvíjející se situaci pružně reagovat. Jak řekla po teroristickém útoku na newyorská dvojčata Madeleine Albrightová: „Je čas na zásadní akci bezpečnostních a represivních složek, ale zároveň musíme být ostražití, abychom uchovali principy ochrany soukromí a občanských svobod.“

LIDOVÉ NOVINY: Směrnice se věnuje i ochraně proti spamu, a to bez ohledu na technologii. Jak se v praxi bude moci člověk bránit?

Jsou mezi námi lidé, kteří jsou pod vlivem strachu ochotni vzdát se části svého soukromí. To je asi symbol naší doby.

JOUROVÁ: Spamy a přímé marketingové komunikace budou vyžadovat souhlas předem. Ať už půjde o automatická volací zařízení, SMS, e-maily a další, uživatelé budou muset dát svůj souhlas předtím, než se na ně nevyžádaná komerční sdělení obrátí. To se bude principiálně týkat i marketingových telefonátů, pokud ovšem členský stát nepřijme řešení, které dává spotřebitelům právo odmítnout přijímání marketingových telefonátů například tím, že se registrují na seznamu čísel, která nemají být vytáčena.

Firmy, které budou volat s komerčními sděleními či reklamami, budou povinny volat z viditelného čísla nebo používat speciální předvolbu, ze které bude jasné, že jde o marketingový telefonát. Pokud dojde k porušení těchto povinností ze strany firmy, může následovat pokuta až deset milionů eur nebo až dvě procenta jejího světového ročního obratu. Podle toho, co je vyšší.

LIDOVÉ NOVINY: Klíčovou roli a řadu kompetencí získávají národní úřady. Bude to ale fungovat? Třeba český Úřad pro ochranu osobních údajů (ÚOOÚ) je v nelehké personální situaci, kdy mu odborníky přetahuje za násobně vyšší platy soukromý sektor.

JOUROVÁ: S předsedkyní ÚOOÚ Ivanou Janů jsem o tom hovořila. Je pravda, že zákon o státní službě situaci zkomplikoval. Přemýšlíme i nad tím, jak vzbudit zájem lidí o obor ochrany osobních údajů a jak například vysokoškolsky vzdělané lidi motivovat k rekvalifikaci.

Firmy, které budou volat s komerčními sděleními či reklamami, budou povinny volat z viditelného čísla nebo používat speciální předvolbu, ze které bude jasné, že jde o marketingový telefonát

Na druhou stranu si myslím, že zde vzniká zbytečná panika okolo toho, kolik lidí a peněz nové nařízení bude stát. V organizacích sice má vzniknout pověřenec, který bude na dodržování pravidel ochrany dat dohlížet, nikde se ale nepíše, že to musí být nový člověk s novou kvalifikací. Nemusí se zvyšovat počty úředníků ani zaměstnanců firem.

LIDOVÉ NOVINY: Materiály pracovní skupiny vlády v souvislosti s tím hovoří až o 13 tisících nových úředníků a možná ještě více nových zaměstnanců firem. Administrativní náklady mají u malých firem dosáhnout statisíců, u velkých až desítek milionů korun...

JOUROVÁ: Podle mě to nejsou noví úředníci. Jsou to lidé, kteří už na úřadech pracují a jen to dostanou do své pracovní náplně. Nevylučuji, že na některých místech, kde se procesují citlivá data, nebude nutné někoho přijmout, ale bude to spíš z důvodu chybějící kvalifikace než z důvodu nedostatečného počtu lidí. Odhady finančních nákladů považuji stejně jako odhady personální náročnosti za přemrštěné.

LIDOVÉ NOVINY: Neobáváte se, že nová směrnice a budoucí obecné nařízení o ochraně osobních údajů budou vykládány odlišně?

JOUROVÁ: Velmi tvrdě hlídáme, aby se nařízení neroztříštilo do 28, respektive do budoucna do 27 různých způsobů řešení. Záleží hodně na přenesení regulí do národní legislativy. Nejvíc vpředu jsou Němci, kteří to chtějí stihnout do podzimních voleb, takže je budeme sledovat, a pokud se to ukáže jako dobrý příklad z praxe, budeme se snažit zprostředkovat návod i ostatním státům.

Brusel vyhlásil stopku otravným telefonátům

Neděle ráno. Na stolku zvoní telefon. Neznámý hlas nabízí novou službu. „Odkud máte mé číslo?“ „Náhodně ho vytočil počítač.“ Tuto diskusi zná snad každý, kdo měl co do činění s call centrem. Obtěžujícím telefonátům by však už brzy měl být konec. Počítá s tím návrh evropské směrnice na ochranu soukromí, podle něhož budou smět být vytáčena jen čísla lidí, kteří k tomu dají předem souhlas.

Věta o náhodném výběru totiž není pravdivá. Je to základní poučka, kterou před časem nynější redaktor LN, tehdy ještě jako jeden z nováčků v nejmenovaném pražském call centru, dostal od tamního supervizora. Tyto firmy disponují velkými databázemi čísel, mnohdy i propojených se jmény a dalšími údaji. Získávají je od telekomunikačních operátorů, obchodních partnerů, na internetu...

Ochrana proti spamu

„Spamy a přímé marketingové komunikace budou vyžadovat souhlas předem. Bez ohledu na technologii budou muset uživatelé dát souhlas předtím, než se na ně nevyžádaná komerční sdělení obrátí,“ vysvětluje v rozhovoru pro LN komisařka pro spravedlnost a ochranu spotřebitelů Věra Jourová. Takzvaná ochrana proti spamu se tak vztahuje nejen na e-maily a reklamní esemesky, ale i na telefonáty.

Státy EU však budou mít možnost nařízení aplikovat i tak, že spotřebitelům umožní vyhnout se marketingovým hovorům. Například tím, že své telefonní číslo budou moci zapsat na zvláštní seznam odmítajících tyto hovory. Novinkou rovněž je, že call centra už se nebudou moci schovávat. Firmy, které budou potenciálním klientům volat s komerčními sděleními či nabídkami, budou povinny používat viditelná čísla a speciální předvolbu, ze které volaný hned pozná, že jde o marketingový telefonát.

Nová směrnice tak nevyžádané hovory staví na úroveň nevyžádané elektronické pošty. Té se už nyní lze bránit buď odhlášením ze seznamu příjemců, nebo označením „spam“, a e-mailová schránka pak další takové otravné zprávy očím svého uživatele skryje. Majitelům mobilních telefonů ale podobná možnost dosud schází. I když volaný může zavěsit, nikdo už nezabrání tomu, aby call centrum zavolalo znovu. Spotřebitel to nemá jednoduché ani s podáním stížnosti. Pro úspěch je nutné mít nahrávku konkrétního telefonátu, úřady si navíc problém přehazují jako horký brambor.

Vynucování pravidel

Český telekomunikační úřad (ČTÚ) i Česká obchodní inspekce (ČOI) sice takové stížnosti dostávají, odkazují je však na Úřad pro ochranu osobních údajů (ÚOOÚ). Podle něj ale jde o působnost ČTÚ, případně ČOI. Sám řeší jen spam e-mailový. „Stížností na nevyžádaná obchodní sdělení formou e-mailu bylo v roce 2016 zhruba 3800. Při opakovaném nebo hromadném zasílání nevyžádaných obchodních sdělení provádí Úřad pro ochranu osobních údajů kontroly, případně vede správní řízení o uložení pokuty,“ uvedl pro LN mluvčí ÚOOÚ David Pavlát.

To by se teď mělo změnit – úřady na ochranu dat budou moci dodržování pravidel vynutit. Budou k tomu mít i v českém telekomunikačním prostředí doposud nevídané možnosti. V případě, že firmy budou i nadále spamovat navzdory tomu, že je člověk zaregistrovaný na seznamu čísel, na které se nemá volat nebo nikdy nedal souhlas k nevyžádaným hovorům a mailům, může následovat pokuta až deset milionů eur nebo dvě procenta celosvětového obratu.

Opatření výrazně méně těší telekomunikační společnosti. Ty totiž mají nejen z reklamních SMS či telefonátů, ale i například ze sledování pohybu SIM karet a analýzy takzvaných „velkých dat“ dobrý byznys. V případě, že by se velké množství lidí rozhodlo pro jednoduchý zákaz využívání svého čísla k marketingovým účelům, šlo by jen v Česku o ohrožení stamilionových příjmů.

„Big data jsou významným motorem růstu digitální ekonomiky a jejich využití při pseudoanonymizaci dat zákazníků je nezastupitelné pro její další rozvoj. Přílišná regulace v této oblasti může zhatit i aktivity, které jsou obecně prospěšné – například inteligentní dopravní systémy či rozvojové urbanistické studie,“ uvedla Martina Tocháčková, tajemnice Asociace provozovatelů mobilních sítí.

Jourová chce v USA zachránit data

Je to přesně rok, co Evropská komise dohodla s USA mechanismus předávání a ochrany soukromých dat přes oceán. Již tak křehkou dohodu, pro niž se vžil termín Privacy Shield (štít soukromí), teď ale může ohrozit nástup nové administrativy prezidenta Donalda Trumpa, který není jakýmkoliv závazkům ve prospěch Evropy nakloněn. Eurokomisařka pro spravedlnost a ochranu spotřebitelů Věra Jourová, do jejíž kompetence Privacy Shield spadá, proto chystá záchrannou misi do Washingtonu.

Chce se na místě dozvědět, zda dohoda o datech, uzavřená ještě za prezidenta Baracka Obamy, nadále platí. „Prozatím mám v diáři poznamenáno datum 29. března, ještě ale čekám na potvrzení z americké strany,“ řekla LN Jourová. Sejít by se chtěla s ministrem spravedlnosti Jeffem Sessionsem a šéfem resortu obchodu, na nějž Trump navrhl investičního magnáta Wilbura Rosse.

Nepříjemná pozice

Jourová se ovšem ocitla v nepříjemné pozici. Schůzku je třeba doladit co nejdříve – už jen proto, že bez Privacy Shield zůstanou obchodní data klientů takových gigantů, jako je Google nebo Facebook, v Americe fakticky bez právní ochrany, která se vztahuje jen na občany USA. Na druhou stranu ovšem ani Sessions, ani Ross v úřadu ještě oficiálně nejsou. Jejich nominaci musí nejprve schválit americký Senát. Kromě toho nikdo netuší, jak budou jako ministři fungovat. Za sebou mají jen kariéru v byznysu, nikoliv v politice.

V Bruselu nikdo Sessionse ani Rosse osobně nezná. A právě osobní kontakty mohou hrát velkou roli. Podpis Privacy Shield byl loni dlouhou dobu zablokován a jednání prolomil až telefonát mezi místopředsedou Evropské komise Fransem Timmermansem a tehdejším americkým ministrem zahraničí Johnem Kerrym.

Účast amerických firem v systému, který Brusel certifikuje, je dobrovolná. Především proto kritici Privacy Shield překřtili na „Paper Shield“. I „papírový štít“ ale zajišťuje základní práva na ochranu osobních dat – především informace, jaké údaje firma shromažďuje, jak s nimi nakládá a jaké jsou možnosti data ze strany klientů opravit nebo zakázat jejich zpracování.

Nezbytná podpora vlády USA

Podpora americké vlády je ovšem nezbytná. Jen vláda může vyjasnit, za jakých okolností mohou do dat vstupovat tajné služby. Privacy Shield hlídá Federální obchodní komise, pod ministerstvem zahraničí USA funguje i ombudsmanka, která shromažďuje stížnosti na možné zneužití dat. Bez obou těchto článků by Privacy Shield jen těžko fungoval. Jourové tak nezbývá než čekat, zda na model domluvený ještě za Obamy nová administrativa kývne.

„Výstražným signálem by pro nás bylo, kdyby federální komise ztratila ve věci Privacy Shield pravomoci nebo kdyby byl zrušen úřad ombudsmanky. Samozřejmě jde také o podmínky, za jakých data využívají tajné služby,“ vypočítává evropská komisařka. Jourová věří, že na své straně bude mít samotné americké firmy, pro něž je zařazení na certifikovaný seznam výhodou pro podnikání v Evropě. První slova podpory již ostatně přicházejí.

„Vyzýváme vládu, aby měla na paměti podstatné ekonomické výhody transatlantického digitálního trhu,“ prohlásil Bijan Madhani z Asociace počítačového a komunikačního průmyslu (CCIA). V systému Privacy Shield funguje v současnosti 1600 firem. Kromě Googlu a Facebooku třeba také Microsoft, Twitter nebo platforma Airbnb. Hodnota digitálního obchodu, který ročně putuje přes oceán, se odhaduje na 260 miliard dolarů.

Blahoslav Hruška

Věra Jourová

  • Vystudovala obor Teorie kultury a později Právnickou fakultu UK. V devadesátých letech působila v Městském kulturním středisku v Třebíči a na tamním městském úřadě.
  • Roku 2000 nastoupila do konzultační firmy DHV ČR, kde pracovala na projektech z oblasti lidských zdrojů, regionálního rozvoje, hospodářské politiky a fondů EU.
  • V letech 2001 až 2003 pracovala jako vedoucí odboru regionálního rozvoje Krajského úřadu Kraje Vysočina. Po odchodu z krajského úřadu působila jako náměstkyně ministerstva pro místní rozvoj.
  • Od listopadu 2014 je komisařkou pro spravedlnost, ochranu spotřebitelů a otázky rovnosti pohlaví v Junckerově Evropské komisi. Vzdala se proto postů ministryně pro místní rozvoj a místopředsedkyně hnutí ANO.

Diskuse neobsahuje žádné příspěvky.