Soumrak užitečného internetu? (Díl I)

Nedávno jsem se veřejně trochu subjektivněji vyjádřil na adresu již delší dobu trvajícího sporu společnosti Google, Inc. a evropských regulátorů dohlížejících na ochranu osobních údajů a potažmo i toho našeho, Úřadu pro ochranu osobních údajů (Úřad). Shodou okolností téhož dne vydal Úřad zprávu o tom, jak zamítl registraci zpracování osobních údajů týkající se produktu Street View. Google není můj klient a o tomto případu tak vím jen z veřejně dostupných zdrojů, přesto si dovolím na následujících řádcích polemizovat s tím, co Úřad právě provádí.

A ještě poznámku na úvod – ze svého pohledu jsem k internetu a jeho dopadu na soukromí docela kritický. V době jeho nástupu v ČR a začátku mých univerzitních studií jsem dokonce prohlašoval, že si jej domů nepořídím, protože preferuji osobní kontakt a internet je jen pracovní nástroj. Do roka a do dne jsem však z něj učinil nakonec i nástroj komunikace a zábavy a koneckonců svá studia i svou profesionální kariéru jsem mohl realizovat skoro jen díky němu a zalepovat obálky mne dnes uvidíte jen před Vánoci. Na druhou stranu odmítám zavírat oči před zjevně negativními dopady digitální současnosti, která se vyznačuje množstvím (až redundancí) snadno dostupných dat o čemkoliv a o komkoliv a současně tato data z našeho světa nemizí (kdyby jedničky a nuly měly nějakou hmotnost, tak za chvíli k sobě přitáhneme gravitací Měsíc a nemusíme na něj za drahé peníze lítat). Právo zapomenout (být zapomenut), jakožto určitá součást lidské podstaty a v mnoha disciplínách práva dokonce vymáhané (např. promlčení v civilu i trestu, zahlazení odsouzení v trestu), je tak technologickými prostředky čím dál více omezováno. Z tohoto důvodu pak spatřuji jako nezbytné, aby to bylo právo, které dopad těchto technologických změn ovlivňujících kvalitu lidského života bude regulovat. V celkovém výsledku však určitě nejsem schopen posuzovat, zda nové technologie na internetu (či internet sám) jsou lidstvu více přínosem nebo naopak. Zcela jistě však platí, že jejich objevení a užívání nás posouvají dál a je na nás všech, abychom se právě s těmi negativy poprali – doufám, že ten boj bude férový a na otázku v názvu tohoto článku nebudu muset odpovídat kladně.

Předpokládám, že Street View všichni znáte, pokud ne, tak zde je ukázka pohledu na Karlův most – ulicí projel vůz se speciální kamerou umožňující snímání obrazu s úhlem pohledu 360° a následně byly tyto obrazové materiály transformovány tak, aby umožnily velice věrné prohlížení ulice, jako kdybyste po ní tehdy šli vy. Při otočení doprava nebo doleva uvidíte další auta na silnici, jimž byla rozmazána registrační značka; podobným způsobem jsou rozmázlé i obličeje kolemjdoucích (je jich dost, lidé se rádi dívají přímo do objektivu) – oboje je již standardní automatická technologie s cílem omezit dopady na soukromí, kterou Google používá na základě zkušeností z USA, kde službu v roce 2007 zprovoznil poprvé. Podotýkám, že po čtyřech letech navíc Google už není sám, zatím omezeným projektem je např. Mapjack, dále tu jsou nebo brzy budou Microsoft Street Slide, ale u nás také nejnověji Zlaté stránky.

Jsou v případě Street View dány kompetence Úřadu? Z dostupných informací vyplývá, že Google se pokusil dosáhnout registrace zpracování osobních údajů, jehož účelem je zřejmě snímání obrazových záznamů pro použití v aplikaci Street View. A z tiskové zprávy Úřadu vyplývá, že tuto registraci odmítl, proti čemuž Google podal rozklad. Předpokládám tedy, že Úřad svou pravomoc dovodil, neboli že při pořizování záznamů a jejich využití ve Street View dochází ke zpracování osobních údajů, proti čemuž měl Úřad námitky (viz dále).

Předně bych se rád zastavil nad tím nejzákladnějším: jde o zpracování osobních údajů? Dle § 4 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů („Zákon“) je osobním údajem informace týkající se určeného nebo určitelného subjektu údajů. Zpracováním se pak rozumí systematická operace s osobními údaji (§ 4 písm. e) Zákona), přičemž Zákon se vůbec nevztahuje na nahodilé shromažďování, pokud nejsou údaje dále zpracovávány (§ 3 odst. 4 Zákona).

Odpovědět na otázku, zda jde o zpracování osobních údajů, se pokusím na nějakém rozumném příkladu: V první situaci jde muž Letenskými sady asi někdy kolem poledne v pozdním létě (suchá tráva, ale ještě zelené stromy, při troše pátrání lze objevit na stavbě tunelu Blanka reklamu na hudební festival z roku 2009), patrně z oběda. Dle oblečení by to mohl být úředník, třeba z Ministerstva vnitra? Díky rozmazanému obličeji nejsem více schopen určit, byť jeho blízcí kolegové z MV by ho třeba poznali. Ve druhé situaci dva lidé vcházejí do domu na ulici Jana Zajíce (číslo popisné je také vidět), zřejmě přijeli tmavým Audi v popředí. A nyní si ještě představme, že snímky neprošly korekcí (tváře a registrační značky vozidel nejsou rozmazány).

Troufám si říci, že rozhodně tyto záběry neobsahují informaci o určených osobách. Ani řidič googlevozu, ani další osoby, které pracují na zpracování těchto snímků, nejsou schopni ani podle nerozmazaných obličejů říci, kdo konkrétně se na záznamech vyskytuje (pokud velikou náhodou tyto osoby nebudou znát jinak). Ale jak je to s tou určitelností?

Zákon zcela shodně se směrnicí 95/46/ES považuje za určitelnou takovou osobu, kterou lze „identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“ („who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity“). O muži v sadech (první situace) jsem kromě jeho fyzického popisu schopen dovodit snad jen ekonomickou situaci (jde v obleku), zatímco o lidech v druhé situaci kromě těchže vlastností možná ještě sociální pozadí (auto, bydliště), ale opravdu váhám nad tím, zda jako správce osobních údajů (Google), popřípadě jakákoliv třetí osoba, budu schopen tyto vlastnosti využít pro jednoznačnou identifikaci těchto osob (ani kolegové z MV si nebudou s určitostí jisti, že sady jde skutečně jejich spolupracovník).

Pojem určitelnosti dle mého názoru nebyl a snad ani jej v tomto pojetí není možné blížeji specifikovat, neboť existuje mnoho způsobů, jak konkrétní osobu ztotožnit (a to nemusím ani znát její jméno, stačí např. „ten chlápek v klobouku a s knírkem, co si tu každý pátek kupuje noviny“). Za účelem právní regulace, máme-li dosáhnout alespoň elementární právní jistoty, ale musíme nějaký způsob definování najít. Bod 26 směrnice 95/46/ES říká, že „je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby,“ což mi tak nanejvýš dovolí položit další otázku: co je to rozumně? Ve stanovisku WP 29 Evropské komise č. 4/2007 se například hovoří o ceně jako měřítku pro určení, zda pokus o identifikaci osoby je ještě rozumný. Jsou zde ale i další faktory, které musí být vzaty v úvahu, včetně postavení správce, (ohrožených) zájmů subjektů údajů, různé dysfunkce (např. pravděpodobnost úniku údajů) a také stav techniky, který je nutné se pokusit předvídat pro celou dobu zpracování údajů.

A teď zpátky k našim příkladům – jsem za rozumných podmínek schopen vystopovat identitu těch tří osob? U muže v sadech bych si na to nevsadil bez detektivní kanceláře (což je ale podle mne právě způsob, který už rozumný není, neboť představuje spíše výjimečné řešení). U dvou osob, které zřejmě právě vchází do dveří domu, kde mají byt, už mám asi větší šanci, ale: co když tam nebydlí oni, ale babička? Kdo z těch deseti jmen na zvoncích jsou tito dva? Je to Audi služební, patří jemu nebo jí nebo jejímu tátovi? Když se půjdu postavit před ten dům, možná uvidím tuto scénu na vlastní oči, ale co jsem schopen reálně s takovým „zážitkem“ udělat, resp. v čem mi Street View nad míru přiměřenou ulehčil při shromažďování údajů o této dvojici? Bude-li mým zájmem vytvořit si profil těchto dvou osob, pak je budu sledovat déle než oněch 10 vteřin, po které kolem nich projížděl googlevůz. Trochu zde již odbočuji od hlavní otázky určitelnosti, ale tento můstek je důležitý pro další posouzení celého systému a nejsem jediný, kdo samotnou povahu údajů dává do kontextu s účelem zpracování. Dle mého názoru mi předchozí smršť pochybností totiž spíše naznačila, že ani u dotyčné dvojice, byť indicií je více než u muže v sadech, se rozumným způsobem nepřiblížím k její určitelnosti, nemám-li na té určitelnosti eminentní zájem (pak ale budu mít i jiné prostředky a jak jsem řekl, údaje ze Street View nebudou pro mne příliš relevantní).

A nakonec, jak je patrné, dochází před zveřejněním na internetu k anonymizaci osobních údajů (tváří), tj. ke zpracování osobních údajů dochází víceméně jen po určité mezidobí – zde bychom tedy dle návodu Evropské komise měli přihlédnout k bezpečnostním pravidlům, která Google přijal pro zpracování před vymazáním tváří. Za předpokladu, že jsou dostatečná a efektivně tak zabraňují přístupu třetích osob k těmto záznamům, neměly by být považovány záznamy z googlevozu za údaje o určitelných osobách.

A kdyby přeci jen Google po určitou dobu zpracovával osobní údaje, a to až do anonymizace tváří, má být Street View nebo jeho přípravná fáze považováno za zpracování osobních údajů? V již citovaném stanovisku č. 4/2007 vyslovila pracovní skupina Evropská komise názor, že přijetím dostatečných opatření k anonymizaci může být zaručeno, že ke zpracování osobních údajů vůbec nedochází – co ovšem nebylo řečeno, kdy má docházet k anonymizaci. Dovedu si představit takové technické řešení, že k obrazovým záznamům nemůže mít před anonymizací nikdo přístup, tj. i když to bude trvat třeba rok, tak neanonymizované údaje nejsou přístupné (pokud někdo systém neobejde), tj. časové hledisko nemusí být rozhodující – spíše výsledek. A tím by bylo, že ani takto nejsou osobní údaje zpracovávány ve smyslu evropské legislativy o ochraně osobních údajů.

Nakonec k účelu zpracování a jeho spojení s definicí osobních údajů, jak jsem avizoval výše: cílem Street View není dokumentovat výskyt osob na ulicích, na tom se snad shodneme. Proč by tedy daný systém měl být považován za systém zpracovávající osobní údaje? V rubrice „K PROBLÉMŮM Z PRAXE“ se Úřad v červnu letošního roku vyjádřil například k otázce, zda zpracování portrétních fotografií je zpracováním citlivých osobních údajů (barevná portrétní fotografie například odhalí rasu). S využitím stanoviska pracovní skupiny Evropské komise č. 5/2009 Úřad konstatuje, že nikoliv, pokud není cíleným účelem zpracování fotek evidence rasového původu. Nemohu této velice zajímavé argumentace užít nejen pro hodnocení „kvalifikovaného“ zpracování osobních údajů (tj. citlivých osobních údajů), ale také pro zpracování samotných údajů? Ve stejném stanovisku navíc Úřad shledal, že „[p]ořízení a následné použití jednotlivých fotografií nebo časově omezeného obrazového nebo zvukového záznamu projevu fyzické osoby (skupiny osob) – jednání, schůze, jiné akce“ není zpracováním osobních údajů. Není průjezd googlevozu obdobou časově omezeného záznamu (včetně případného extrému, kdy snímaná osoba možná zvědavě sledovala googlevůz při venčení psa)?

Tento post bych tedy rád uzavřel konstatováním, že dle mého názoru náhodným snímkováním ulic, po nichž se pohybují fyzické osoby, nedochází ke zpracování osobních údajů. V dalším díle bych se rád věnoval tomu, zda jde o zpracování (pro jistotu, neboť Úřad je očividně opačného názoru) a podmínkám, které Úřad požaduje pro umožnění fungování systému Street View v České republice. A také odpovím na otázku položenou v názvu (?).

P.S. Doufám, že Úřad mezitím nezakáže Street View v ČR úplně, pak by se výše uvedené odkazy na příklady staly nefunkčními…