úterý 31. července 2018

Evropa jako světový standard pro bezpečnost (osobních) dat

Diskuze o potřebě nového rámce pro kybernetickou bezpečnost a ochranu dat (včetně osobních údajů) probíhaly v rámci Evropy poslední dekádu poměrně kontinuálně. Výraznější hlasy se však začaly ozývat až okolo roku 2010 a vyústily v lednu 2012 zveřejněním prvního návrhu GDPR (pozn. General Data Protection Regulation – obecné nařízení o ochraně osobních údajů). Ten se od finální verze schválené v dubnu 2016 v mnohém lišil. Jedno však bylo jasné – EU čeká revoluce na poli ochrany osobních údajů. A nejen těch.

Mnozí, kteří odmítali přijetí nových pravidel, vycházeli zejména z toho, že přísnější rámec ochrany (osobních) údajů či komplikovanější požadavky na kybernetickou bezpečnost mohou zpomalit či dokonce zcela ukončit jakýkoliv další technologický vývoj v Evropě a odsunout tak EU na druhou kolej technologického a digitálního světa.

Právní úprava digitálního prostředí v EU

Ačkoliv je GDPR závazné teprve dva měsíce, jeho podobu známe už více než dva roky, během kterých organizace měly (relativně) dostatek času se na nová pravidla ochrany osobních údajů připravit.  Další soubor nových pravidel – tentokrát na poli kybernetické bezpečnosti – přinesla tzv. NIS Directive (Directive on security of network and information systemssměrnice 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii). Ta je k dnešnímu dni implementována ve většině členských států[1] a rovněž představuje jeden z nosných pilířů pro právní regulaci kybernetického prostředí napříč EU. 

Bezpečnost digitálního světa pro EU jedno ze současných stěžejních témat, samotné zabezpečení dat, infrastruktury a systémů, avšak není jediným předpokladem funkčnosti digitálního prostředí v rámci EU. Kromě bezpečnostních opatření je stejně významným prvkem celého právního rámce a zajištění volného trhu podmínka volného pohybu (osobních) dat v rámci EU. Členské státy, díky jednotné právní úpravě, nabízejí rovnocennou ochranu pro data uchovávaná a/nebo přenášená přes jejich území, a právě díky tomu nelze v rámci EU stanovit jakákoliv dílčí omezení (s výjimkou např. vnitřní bezpečnosti). V této souvislosti se však nejedná pouze o volný přenos osobních údajů[2], ale stejně tak o zajištění volného pohybu všech neosobních dat. Aby EU zajistila zcela volný jednotný digitální trh napříč všemi členskými státy, chystá nyní nařízení o volném pohybu neosobních údajů, od kterého si evropský zákonodárce slibuje maximalizaci efektivity, úspory z rozsahu a nabídky nových služeb na digitálním trhu EU a v oblasti vývoje umělé inteligence.

Celý právní rámec pro ochranu (osobních) údajů a kybernetické bezpečnosti by pak měl být v průběhu roku 2018 doplněn novým ePrivacy Regulation – nařízením o ochraně osobních údajů v elektronických komunikacích (o kterém však v tuto chvíli probíhají poměrně bujará vyjednávání a o jeho finální podobě lze tak v tuto chvíli maximálně spekulovat). Ke schválení finálního znění ePrivacy Regulation s největší pravděpodobností dojde v průběhu rakouského předsednictví Rady EU (Rakousko označilo přijetí ePrivacy Regulation za hlavní prioritu v oblasti digitální ekonomiky), přičemž Rakousko je známé svým protekcionistickým přístupem v oblasti ochrany soukromí[3]; finální znění tak může ještě zvýšit požadavky kladené na online zpracování osobních údajů.

Dopady právní regulace

O čem tedy takto robustní právní režim volného pohybu údajů / nakládání s údaji / zabezpečení svědčí?

Přísná pravidla pro nakládání s (osobními) údaji, mohou být pro IT developery a softwarové společnosti v mnohém svazující a zároveň pro ně mohou představovat překážky – jak se ostatně ozývají některé hlasy, a to zejména z oblasti vývoje umělé inteligence. Pro tyto účely GDPR zdůrazňuje především využití pseudonymizace a anonymizace údajů, které mohou usnadnit nakládání s údaji pro další technologický rozvoj.

Z globálního hlediska se však zdá, že EU stanovila přijetím GDPR a ostatních souvisejících předpisů digitálního trhu nový světový standard ochrany soukromí jednotlivce, jak potvrzuje – jeden příklad za všechny – nový zákon o ochraně osobních údajů státu Kalifornie.

People should be in control of their information online and companies should be held to high standards in explaining what data they have and how they use it, especially when they sell data.

Obdobně byla přijata nová pravidla ochrany soukromí a osobních údajů v Jihoafrické republice a připravují se v Thajsku či Singapuru. Zdá se tak, že evropské principy ochrany osobních údajů jsou (a budou) postupně přebírána a implementována ostatními státy světa, které mají zájem (i) umožnit svým společnostem bezproblémový obchod s evropskými hráči, (ii) zajistit svým občanům odpovídající úroveň ochrany osobních údajů.

Tato vlna nových předpisů samozřejmě nepřišla svévolně. Evropské předpisy (zejména tedy GDPR) ztěžují přenosy osobních údajů do zemí, které nenabízejí odpovídající úroveň ochrany soukromí osob a podmiňují takové přenosy dalšími právními konstrukty – ať se jedná o tzv. adequacy decisions, uzavření standardních smluvních doložek či závazných podnikových pravidel.[4] Ostatně není potřeba dívat se ani mimo EU – stejným problémům může do budoucna čelit i Velká Británie, pokud nevyřeší tuto otázku v rámci vyjednávání podmínek BREXITu.

Neméně významným hybatelem globálního vývoje jsou nadnárodní korporace, které, pokud chtějí působit v EU či alespoň mířit na evropský trh, musejí rovněž splnit pravidla vyžadovaná GDPR. Pro tyto společnosti tak znamená přizpůsobení se GDPR nejen nastavení konzistentních pravidel (a s tím související úspory), ale rovněž vidinu toho, že pokud jednou nastaví vnitřní systémy a předpisy v souladu s GDPR, vyhoví tak (do budoucna) celosvětovým standardům. Tomu nasvědčují nejen již probíhající zákonodárné iniciativy, ale rovněž přísliby jednotlivých regulátorů. Např. úřad pro ochranu osobních údajů v Hong Kongu, jehož stávající legislativa na ochranu osobních údajů vychází ze směrnice 95/46/EC, již oznámil, že chystá novelu stávající legislativy tak, aby vyhovovala požadavkům GDPR; jako mezikrok zatím hongkongský regulátor vydal vodítka pro splnění požadavků GDPR potvrzující celosvětový význam GDPR.

Evropa jako safe harbor pro ukládání dat

Jak se (zatím) zdá, původní obavy o to, že se EU stane v digitálním světě druhotným hráčem, jsou liché.
Nejen díky robustní a komplexní právní regulaci kybernetického prostředí (stanovující shodná pravidla pro soukromý i veřejný sektor), ale rovněž díky celosvětovému dopadu těchto předpisů se Evropa pomalu stává útočištěm technologických společností a datových center – zejména Německo či Francie se tak pomalu stávají centrem nadnárodních korporací. Mnohé společnosti navíc vnímají splnění požadavků GDPR a možnosti nabídnout uložení osobních údajů na území EU jako  významný PR krok vůči svým zákazníkům, který jim může přinést nové příležitosti.[5]

Základní principy EU ohledně ochrany soukromí jsou navíc dlouhodobě za celosvětový standard považované – jak je patrné i z výše zmíněných právních předpisů (např. Hong Kong, USA, Jihoafrická republika), ale rovněž množstvím mezinárodních dohod, které tyto principy rovněž převzaly za vlastní – včetně Úmluvy Rady Evropy č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů), ale i samotných adequacy decisions vydaných Evropskou Komisí, které potvrzují úroveň ochrany soukromí poskytovaném v daném státě a tedy i naplnění základních principů ochrany osobních údajů.

Závěrem

Ačkoliv GDPR (o kterém jsem již pojednával v nedávném článku GDPR – Quo Vadis EU?) i ostatní předpisy z kybernetického balíčku předpisů EU mají své nedostatky, tak základní principy a standardy, které přinášejí, mohou celosvětově posílit ochranu jednotlivce nejen proti silným státům, ale stejně tak proti (často i silnějším) nadnárodním korporacím. A jak dokazuje i nedávná kauza Facebooku a Cambdrige Analytica, přesně toto by měl být směr, jak v globalizovaném světě zajistit kontrolu nad vlastním soukromím každému jednotlivci.




[1] Česká republika byla dokonce v oblasti kybernetické bezpečnosti průkopníkem, když mezi prvními státy na světě již v roce 2014 přijala komplexní předpis stanovující pravidla kybernetické bezpečnosti (především pro veřejnou správu, ale rovněž pro některé komerční subjekty, jejichž kybernetická infrastruktura měla v očích zákonodárce zásadní vliv na fungování státu).
[2] Volný pohyb osobních údajů je stěžejním principem GDPR a základních pravidel pro ochranu osobních údajů v rámci Evropy – ze stejného principu vycházela rovněž předcházející směrnice 95/46/ES, a rovněž také např. Úmluva Rady Evropy č. 108 (Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů).
[3] Rakousko např. jako jediný členský stát hlasovalo proti přijetí GDPR, jelikož se z pohledu jeho reprezentantů jednalo o příliš benevolentní předpis, nijak neposouvající úroveň ochrany oproti předcházející směrnici 95/46/ES.
[4] Srov. Kapitola V GDPR.

[5] Stejně zajímavě mohou působit nová partnerství, která za účelem působení v EU vznikají (jen namátkou nově oznámená kooperace mezi: BT Global Services a Amazon, Microsoft a Cisco Systems Inc, španělskou Telefonica SA a Amazonem či mezi německým Deutsche Telekom a čínskými Huawei Technologies).

Žádné komentáře: