Soumrak užitečného internetu? (Díl II)
V minulém postu jsem se věnoval službám typu Google Street View a současně se pokusil analyzovat, zda tato služba je zpracováním osobních údajů vyžadující notifikaci v České republice u Úřadu pro ochranu osobních údajů. Dospěl jsem k závěru, že nejde vůbec o osobní údaje, byť mnoho komentátorů vyjádřilo opačný názor (a pro nějž mám porozumění, neboť současná definice toho, co má být považováno za osobní údaj, tuto názorovou šíři připouští – bohužel pro správce, bohudík pro subjekty údajů). V každém případě, slíbil jsem podívat se na celý problém dál. Jenom připomínám, že nehovořím o nejožehavějším tématu „upgradovaného“ Street View, kterým bylo sbírání údajů z volně dostupných wi-fi sítí, ale jen o obrazových záznamech.
Zopakuji zákonnou definici ze zákona č. 101/2000 Sb. (Zákon): zpracováním se rozumí systematická operace s osobními údaji (§ 4 písm. e) Zákona), přičemž Zákon se vůbec nevztahuje na nahodilé shromažďování, pokud nejsou údaje dále zpracovávány (§ 3 odst. 4 Zákona). Uvedená výluka (další nezmiňuji s ohledem na zřejmou nepoužitelnost pro náš případ) ne zcela odpovídá textu směrnice, která svou působnost naopak vymezuje pozitivně: podle čl. 3 směrnice 95/46/ES se „… směrnice … vztahuje na zcela nebo částečně automatizované zpracování osobních údajů, jakož i na neautomatizované zpracování osobních údajů, které jsou obsaženy v rejstříku nebo do něj mají být zařazeny.“ Zatímco tedy směrnice požaduje aplikaci na jakékoliv automatizované zpracování a vedle toho na manuální, při němž je používán tzv. rejstřík (uspořádaný soubor osobních údajů přístupných podle určených kritérií), tak Zákon oboje sdružuje pod pojem systematického shromažďování a do opozice staví nahodilé shromažďování.
Na první pohled se zdá, jako by česká úprava byla benevolentnější, resp. umožňovala širší nakládání s osobními údaji, než jak jej umožňuje směrnice. Pokud by totiž nahodilé shromažďování bylo zajišťováno automatizovaně, tak by se na něj měla vztahovat směrnice, ale už ne Zákon (za předpokladu, že po takto nahodilém shromáždění již nedochází k dalšímu zpracovávání), což by ale, pokud je směrnice správně implementována, nemělo nastat.
Dle mého názoru je toto ale opět místo, kde musíme přihlédnout k účelu, který si správce dat určí pro zpracování, a to ovlivní i nahlížení na pravidla jak podle směrnice, tak podle Zákona.
Možná si někdo řekne, že automatizovaně nelze shromažďovat nahodile. Kdo viděl film Smoke, tak si jistě vzpomene na majitele obchodu s doutníky Auggieho Wrena, který každý den vyšel na roh ulice před obchůdek a vyfotil si křižovatku. Měl z toho pěkné album. Bylo to album nahodilých fotek nebo mělo systém? V albu měl uvedená data, místo bylo zřejmé a čas taky (ráno) a pak samozřejmě obsahovaly osobní údaje – podobizny osob, které na křižovatce zrovna v danou chvíli byly. Při tomto manuálním (neautomatizovaném) zpracování chybí rejstřík, který by byl uspořádán „podle zvláštních hledisek týkajících se osob“, jak to zmiňuje směrnice v bodu 15 preambule. Album tedy není ničím jiným než nahodilou databází náhodně se vyskytujících podobizen (osobních údajů). A teď si odmyslete to, že to činil jen pro osobní potřebu a směrnice by se na něj nevztahovala (pokud bychom tedy přestěhovali ten roh ulice z New Yorku někam do Evropy) a například by místo obřadné procedury se stativem a foťákem na černobílý film umístil nad firmu svého obchodu kameru, která mu tu fotku jednou za den udělá sama. V neděli při cigáru by si prohlédl sedm nových snímků. Povýšil by Auggie díky technickému upgradu nahodilé album na rejstřík ve smyslu směrnice?
Při gramatickém výkladu směrnice musím dojít k závěru, že ano; nahodilé album na počítači (nahodilé proto, že ani při přemíře dat z digitální fotografie nebude triviální systém třídit fotky podle osobních údajů, ale nanejvýše podle času, případně různých údajů o expozici – a výslovně vylučuji software, který umožňuje například detekováním lidských tváří fotky dále katalogizovat) bude odpovídat definici automatizovaného zpracování. Tento výklad je i logický, neboť cílem ať už směrnice nebo Evropské úmluvy č. 108 je ochrana lidského soukromí, kterou si zasluhuje s ohledem na vyšší dopady nových technologií zpracovávajících osobní údaje snadněji, rychleji, levněji. A to naplňuje i Auggieho fotografická vášeň, kterou může zneužít ten, kdo se nabourá do jeho počítače.
Pokud však na tuto situaci aplikuji český Zákon, tak se dle mého názoru uplatní výjimka, že jde o nahodilé shromažďování osobních údajů, které dále nezpracovávám. Jediným zpracováním je totiž ono pořízení (expozice) a uložení do elektronického alba, tedy shromáždění, avšak dále není vytvářen žádný rejstřík, který by umožňoval snadný přístup k osobním údajům – snímky budu muset procházet podle data, což není zvláštní hledisko týkající se osoby.
Jak už jsem výše naznačil, česká úprava není zřejmě až tak přísná, jak to vyžaduje směrnice. Při snaze o použití eurokonformního výkladu se daleko nedostaneme, neboť Zákon zcela jednoznačně stanoví výjimku ze své aplikace a nečiní v tomto vůbec ohled na to, zda jsou zpracovávány osobní údaje automatizovaně či nikoliv.
V tuto chvíli mám na výběr: buď prohlásit českou právní úpravu za nesouladnou s pravidly EU, anebo se pokusit ještě o jednu interpretaci, která dle mého názoru docela dává smysl.
Když se znovu podíváme na definici zpracování osobních údajů, pak se tím podle čl. 2 písm. b) směrnice rozumí „jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů“. Už v předešlém postu jsem se pokusil doložit, že povaha zpracovávaných údajů závisí i na účelu, tj. že neplatí automatické a absolutní pravidlo, že kterýkoliv údaj, pokud je přiřaditelný fyzické osobě, má být považován za osobní údaj. A evropští regulátoři včetně toho českého k tomuto obyčejně přihlížejí zcela v souladu s tím, co obsahují stanoviska WP 29. Pokud tedy účelem shromažďování, ať už automatizovaného či ručního, není zpracování osobních údajů, avšak tyto přesto z povahy věci se incidenčně do ukládaných databází mohou dostat, i tak bychom takovou databázi neměli považovat za databázi osobních údajů a nakládání s touto databází pak není zpracováním ve smyslu směrnice, neboť chybí základní prvek – osobní údaje.
A to je právě to, na co míří česká zákonná úprava, pokud přidává v § 3 odst. 4 dovětek, že „tyto údaje nejsou dále zpracovávány.“ Nakonec to zákon akcentuje tak, že v dovětku už nepoužívá „osobní údaje“, ale pouze jen „údaje“. Česká právní úprava je tedy v tomto ohledu zcela v souladu s evropskými pravidly.
Také to znamená, že by se na Auggieho poloautomatizovanou databázi nevztahovala zákonná úprava týkající se ochrany osobních údajů. A zpátky ke Street View: co má Auggieho album společného s hromadou fotek pořízených z ulic projíždějícím googlevozem? Dle mého názoru velice hodně. Snímky jsou zaznamenávány zcela náhodně, jediná systematika je snaha o úplné pokrytí komunikací zanesených do mapy, čas nehraje vůbec roli (zajímavý postřeh – noční snímky, které by pro mnoho lidí mohly být ještě citlivější záležitostí, tam nehledejte). A pokud jde o nejdiskutovanější osobní údaje, které se na záznamech vyskytují, pak jejich životnost není dlouhá – alespoň Google deklaruje, že než jsou snímky dále zpracovány, proběhne jejich automatické rozmazání. Ať se tedy snažím nahlížet na celý systém Street View sebepřísněji, nemohu najít žádný existující účel pro zpracování osobních údajů. A v souladu s tím, co jsem říkal výše, nepovažuji Street View za systém, ve kterém by docházelo ke zpracování osobních údajů v tom rozsahu a kvalitě, které by jej podřadily pod zákonnou úpravu Zákona.
Co vadí na Street View v Česku?
Dle informací dostupných na webu Úřadu je například (ovšem slovo „například“ je diskutabilní, protože jiné problémy zveřejněny nebyly a buď tedy nejsou, nebo nejsou tak relevantní, že by o nich měla vědět veřejnost; opomíjím formální stránku stanovení zpracovatele na území ČR) problémem výška, ze které kamera na googlevozu snímá ulici. Prý tak vidíme přes ploty a zídky, což je prý „nad rozsah běžného pohledu z ulice“. Jestli si dobře pamatuji prohlášení předsedy Úřadu v médiích, může tak být například zaznamenán počet dětských botek na zápraží. Hmm, diskutujeme zde o obecných dopadech nových technologií a „co by kdyby“, nebo se bavíme o úřadu, jehož kompetence určuje zákon? Není to poprvé, kdy se Úřad vyjadřuje nikoliv jen jako strážce osobních údajů, tak jak mu pravomoci svěřil Zákon, ale pouští se do širších souvislostí ochrany soukromí a osobnosti upravených v civilním právu. Jakkoli by tedy mohl mít pravdu a varovat před nebezpečnými trendy majícími dopady na lidské soukromí, není oprávněn tak činit, zejména ne v rámci správního řízení. Buď musí jasně označit, které fotky „přes plot“ obsahují osobní údaje, nebo to nemůže být Úřad, který v této věci bude dále postupovat.
Když se podíváme na to, kde v Evropě zrovna Google pořizuje nové snímky ulic, zjistíme tyto země: Itálie, Holandsko, Španělsko, Norsko, Irsko, Dánsko, Belgie. Z obrázků ulic není patrné, že by se záznamy z těchto zemí lišily od těch našich, a přesto jsem nezaslechl, že by příslušné úřady hodlaly nějak zakročit proti Street View (naopak Německo se svou snahou o na míru ušitý nový zákon je prozatím extrém a nejsem si jistý, zda aféra s daty wi-fi sítí nebyla jen záminkou). Ovšem, harmonizace ochrany osobních údajů není v EU tak jednolitá, příslušné směrnice umožňují mnoho variací. Přesto bych si z vlastní praxe troufal tvrdit, že přinejmenším základní instituty ochrany osobních údajů, o které jde v tomto případě, se v těchto zemích shodují, neboť jsou založeny právě na definicích obsažených ve směrnicích. Ačkoliv tedy konkrétní přístupy jednotlivých států mohou se lišit například s ohledem na historii toho kterého národa (například na whistle-blowing je obecně v Česku s ohledem na negativní vztah k udávání pochopitelně nahlíženo též negativně a nemá to co dělat s platným právem; v Německu se dle tisku zřejmě také spíše jedná o východoněmeckou záležitost), neočekával bych až tak zásadní rozdíly.
Nakonec to může být vlastně úplně jednoduchý, neprávní důvod. I na úřadech jsou jen lidi a přestože dle pravidel EU má jít o nezávislé úřady, někdo je přeci jen musí jmenovat či navrhnout, a nezávislost se postupně vytrácí. A tak jak nám Evropou putuje volební vlna či se mění politické klima, tak se i pohybují formace s vysokým tlakem na ochranu soukromí, občas se zatáhne mračny těžkými od pokut. Protože toto ale není téma do tohoto blogu, shrnu to jednoduchým konstatováním bez dalšího rozebírání, zda Evropa neudělala chybu, když ochranu osobních údajů svěřila úřadům namísto běžné soudní ochrany.
A jak je to s budoucností „užitečného internetu“? V tomto jsem optimista, protože pokud je něco shledáno užitečné, tak si to zcela jistě, byť možná přes počáteční potíže, nakonec najde svou legální cestu. A jako demokrat musím ctít názor většiny – pokud se usnese na nepřípustnosti něčeho, tak to prostě nebude. Dokud ale zákon něco nezakáže, tak odmítám aktivismus příslušných úřadů, které se pasují do role ochránců a zachránců, a to platí obecně, nejen u osobních údajů.
Celý příspěvek