Právní konzultantka Eva Škorničková byla svého času jakýmsi zosobněním zavádění GDPR do české legislativy. Byla členkou pracovní skupiny Úřadu vlády k legislativě v oblasti ochrany osobních údajů a Českou republiku zastupuje i v řadě mezinárodních asociací, jež se ochranou osobních údajů zabývají. Bývalý sportovní redaktor České televize Karel Diviš, který je zároveň i jedním ze zakladatelů společnosti IDC-softwarehouse, jež se zabývá kompletním IT outsourcingem a vývojem softwarů, se Evy Škorničkové ptal na to, jak GDPR po téměř třech letech v českém právu funguje a zda ona hysterie, kterou zavádění před více než dvěma lety provázelo, nebyla trochu zbytečná. Otázka také zní, zda firmy, jako jsou Google nebo Facebook, onu legislativu, jež má chránit osobní data Evropanů, dávno nepředběhly.
Jak dneska vlastně funguje GDPR? Nebyla to jen norma, která nám jen měla dopřát klid, že jsou naše data "nějak" chráněna?
Myslím, že to byla jedna z nejambicióznějších norem, která dneska funguje v rámci celé Evropské unie. I v době pandemie tento zákon nabírá víc na své síle, na svém významu. GDPR bylo na evropské úrovni přijato v roce 2016, s účinností od roku 2018. A už v tom roce 2016 se vědělo, že samotné technologie a vývoj online světa a internetu je minimálně pět let vepředu, než vůbec samotná norma začala vznikat.
Celý ten humbuk a ta hysterie vycházely z toho, že tady řada lidí a subjektů nedodržovala stávající právní úpravu.
Teď vidíme, že technologie pokročily zase mnohem rychleji a jsou opět dál než samotný zákon. Tady ale bylo zapotřebí mít nějaký základ, který by ono zpracování našich dat nějakým způsobem upravoval, hlavně v rámci různých aplikací a v rámci internetu.
A co ten zákon přinesl obyčejným lidem? Když se to zavádělo, bylo to hodně mediální téma. Lidé se báli vyfotit dítě ve školce a podobně. Musely se podepisovat nějaké papíry... Dneska je kolem nařízení ticho. Nebyl ten humbuk zbytečný?
Určitě kolem toho byla naprosto zbytečná hysterie. To nařízení se přitom v Evropské unii připravovalo čtyři roky. Pro české prostředí to ale přece jenom jistá novinka byla. Fungoval tu ještě předchozí zákon na ochranu osobních údajů, ale drtivá většina firem ho bohužel nedodržovala. Možná o něm ani nevěděly. Pak sem teprve přišla ona magická čtyři písmena, která byla mimochodem v roce 2018, kdy zákon vstupoval v Česku v účinnost, nejvyhledávanějším spojením na Googlu.
Takže ty obavy při focení dětí ve školce byly zbytečné?
Bylo to určitě špatně pochopeno. Ten zákon jako takový se týká zpracování osobních údajů všemi subjekty, ať už jde o státní správu, nebo soukromoprávní subjekty. Ale hlavní důvod byl ten, že se většina našich životů přesunula do toho online prostředí.
Vznikly tady společnosti typu Facebook, Google, vznikla spousta aplikací, které tady před deseti patnácti lety ještě vůbec neexistovaly. Bylo zapotřebí mít nějakou normu, která by v tomto světě svým způsobem určovala pravidla, za jakých k tomu zpracování dat oněmi velkými společnostmi má docházet. A tím, že je to nařízení obecné, což znamená, že se vztahuje na zpracování údajů všemi subjekty, tak to pokrylo samozřejmě i zpracování údajů ve školách nebo ve školkách. Nicméně i v nich už dávno předtím na základě jiné legislativy fungovaly a stále fungují zákony, na jejichž základě mají školy a školky zpracovávat údaje, mezi něž samozřejmě patří i fotky.
Proto tvrdím, že celý ten humbuk a ta hysterie vycházely z toho, že tady řada lidí a subjektů nedodržovala stávající právní úpravu, ať to byl třeba občanský zákoník, který jasně říká, kdy mohou instituce typu školky, ale i soukromoprávní osoby s těmito věcmi nakládat. Pokud někoho vyfotím a ani se ho nezeptám, jestli si to přeje nebo nikoli, tak pro tenhle případ už dávno legislativa existovala. To nařízení vlastně jen zvýšilo pozornost v celé téhle problematice. Primárně ale bylo namířeno hlavně proti těm velkým technologickým gigantům.
Ale tyhle firmy, o kterých mluvíme, ať je to Google nebo Facebook, přece pořád žádají třeba o naše telefonní čísla, tím pádem je tam to propojení na naše soukromí. Na sociální sítě každý dává spoustu soukromých, ale i pracovních fotek. Každý vidí vazby mezi uživateli. Není to tak, že se Evropa snaží s GDPR něco dělat, ale v Americe si se soukromím takové vrásky nedělají?
Já myslím, že i tam si obzvlášť v dnešní době dělají velké vrásky. To nařízení samotné má navíc extrateritoriální účinnost. To znamená, že tím evropským nařízením, byť se týká zpracování údajů Evropanů, nejen občanů, ale i rezidentů, tak se vlastně týká i společností po celém světě, které mají k datům evropských občanů přístup.
Mgr. Eva Škorničková
Vystudovala práva na Univerzitě Karlově v Praze a mezinárodní právo na University of Ottawa v Kanadě, kde posléze vedla coby konzulka právní a konzulární oddělení českého velvyslanectví. Po návratu do ČR řídila 15 let coby Chief Legal Counsel a jednatelka středoevropské právní divize nadnárodních firem Kimberly-Clark a Mondelez (Kraft Foods), ve kterých se mimo jiné podílela na implementaci vnitřních pravidel a procesů pro oblast ochrany dat pro celosvětovou skupinu firem tvořících korporátní strukturu. Je rovněž členkou pracovní skupiny Úřadu vlády ČR k legislativě v oblasti ochrany osobních údajů. Zároveň zastupuje pro Českou a Slovenskou republiku mezinárodní asociaci IAAP sdružující profesionály působící v oblasti ochrany osobních údajů.
I já jsem tedy zažila ve své praxi dobu, kdy jsem dělala konzultace hlavně pro mimoevropské společnosti. Byla jsem například na školení a na konferenci v Malajsii, kde se o existenci GDPR zajímala řada firem, protože i tam je hodně společností, ať už jsou to IT firmy nebo eshopy, které jsou povinny se tímhle zákonem řídit.
Ale ta data i od těch velkých firem stále unikají. Objevují se informace o tom, jak si naše data z našich mobilních telefonů předávají mezi sebou tajné služby. Nejsem příznivcem žádných konspiračních teorií, ale není to spíš o tom, že se bavíme, jak by ta data bylo dobré chránit, ale tomu Velkému bratrovi už v nakládání s našimi daty nezabráníme?
Já si to úplně nemyslím. Hlavně musíme někde začít něco dělat. Ten digitální svět a to zpracování dat třeba tím Facebookem nebo Googlem je už tak gigantické, že nemůžeme nechat v podstatě v několika rukou soukromoprávních osob, aby měly přístup k datům, ke kterým třeba ani ty tajné služby jako FBI nebo NSA přístup nemají.
A nelze ani úplně souhlasit s tím, že by zrovna výměnu dat mezi tajnými službami mělo vyřešit GDPR. Údaje, které si navzájem sdílí tyto složky, vůbec režimu GDPR nepodléhají. Tam to zpracování podléhalo už dávno předtím mezinárodním smlouvám. A je jasné, že si ty bezpečnostní složky ta data vyměňují. Je to za účelem ochrany hranic, bezpečnosti dané země a podobně. Tam je to především o obrovské důvěře, kterou k sobě tyto instituce musí navzájem mít, aby nedošlo ke zneužití nebo třeba k hacknutí jejich systémů. Přiznám se, že kdyby k těmto datům měl přístup pan Zuckerberg, tak mám daleko větší obavy, než když ten přístup mají bezpečnostní složky.
Co Evu Škorničkovou v době "big data" firem nejvíc děsí? Proč je koronavirová doba na sdílení dat ještě háklivější, než byl život před pandemií? Nežijeme už v době, kdy lidem vlastně ono sdílení osobních dat přestává vadit? A jak si stojí české IT firmy ve světě? Podcast s právničkou a mezinárodně uznávanou expertkou na ochranu osobních údajů a GDPR si můžete poslechnout ZDE.
Reklama
foto: Archiv Evy Škorničkové, zdroj: FlashCast