Advokátka Jana Pattynová: Cílem GDPR je chránit soukromí osob, ne pomáhat firmám

Advokátka Janna Pattynová se specializuje se na oblast informačních technologií, telekomunikací, ochranu osobních údajů nebo kybernetickou bezpečnost. Hlavním cílem zákona GDPR je podle ní chránit soukromí osob, nikoliv pomáhat firmám.

Máte bohaté zkušenosti v poskytování poradenství. Na čem jste se konkrétně podílela?
S digitální transformací došlo k velkému posunu ve vnímání role technologií a jejich právní regulace. Před několika lety jsme tradičně pracovali pouze pro čistě technologické společnosti – IT společnosti, digitální platformy a telekomunikační operátory. V posledních letech se celá řada firem snaží „digitálně transformovat“ a stát se také technologickou společností – ať už jde o banky, retailové společnosti, veřejnou správu nebo třeba i nemocnice. Tím se tradiční profil našich klientů mění z čistě technologických společností na jakékoli podnikatele zavádějící nebo provozující sofistikované technologie.
Nicméně za sebe musím říct, že na nejzajímavějších projektech pracuji pořád pro tradiční technologické společnosti, které jsou v této oblasti většinou o několik kroků napřed. Málokterá společnost řeší regulaci umělé inteligence nebo cloudových technologií v takové komplexitě jako Microsoft. Práce pro telekomunikační operátory a regulátory mi zase dává vhled do právních otázek rozvoje 5G sítí. Každý právník se inspiruje a učí nové věci hlavně na projektech svých klientů. Proto je skvělé mít příležitost pracovat pro ty nejlepší ve svém oboru.

V současné době probíhá digitalizace státní správy, byl spuštěn Portál občana, chystají se i další digitální projekty. Územní samosprávné celky nejsou v souvislosti s výkonem veřejné moci trestně odpovědné podle zákona o trestní odpovědnosti právnických osob. Pokud právnické osoby nenesou trestněprávní odpovědnost, kdo tedy bude zodpovědný v případě zneužití dat či neoprávněného přístupu k osobním údajům? A v případě zneužití některým ze zaměstnanců institucí?
Při výkonu veřejné správy nebo samosprávy je trestní odpovědnost až posledním a extrémním nástrojem vynucení práva. Zároveň to, že samosprávné celky nejsou trestně odpovědné jako právnické osoby, neznamená, že nemohou být trestně odpovědní jejich jednotliví zaměstnanci. Jako mnohem větší problém však vnímám, že podle nejnovějšího znění adaptačního zákona k GDPR, které schválil jak Senát, tak Poslanecká sněmovna, byly zcela zrušeny pokuty za porušení GDPR pro tzv. veřejné subjekty, tedy zejména orgány státní správy a samosprávy. Stát tím říká, že po podnikatelích bude drakonickými sankcemi vynucovat ochranu soukromí, ale sám tuto oblast tak vážně brát nechce. Přitom veřejná správa má přístup k velkému rozsahu informací o občanech a občané si nemohou vybrat, zda tyto údaje poskytnou či nikoli. Pokud se mi nelíbí, jak Facebook nakládá s mými osobními údaji, mohu ho přestat používat. Pokud by se mi však nelíbilo, jak s mými údaji nakládá Finanční správa nebo Česká správa sociálního zabezpečení, nemohu jejich služby s díky odmítnout.

Svět technologií dnes už není jen záležitost jednoho státu, díky telekomunikacím, internetu, vesmírným satelitům a dalším technickým vymoženostem dneška. A také díky i tomu, že firmy jsou mezinárodně propojené. Jak se dá zajistit bezpečnost těchto technologií, a především informací získaných díky nim? A z hlediska právního?
Stručně řečeno, velmi obtížně. Novým fenoménem posledních let je, že do kybernetické kriminality se zapojují i skupiny financované některými státy, které mají často finanční možnosti i know-how, kterému ani velké podniky nemohou konkurovat. Málokterý podnik si může dovolit investovat do kybernetické bezpečnosti miliardové částky.  Řešením mohou být cloudová úložiště, která tyto investice vynakládají ve prospěch statisíců zákazníků, ale ani to není samospasné řešení. Největší množství kybernetických útoků je založeno na tzv. social engineering, tedy využití chyby či nepozornosti uživatele vyvolané navozením situace, kdy je z psychologického hlediska pravděpodobné, že uživatel chyby udělá. Myslím, že nikdo dosud neobjevil fungující obranu proti tomuto riziku.
Z právního hlediska je důležité, že postupně začíná vznikat legislativa upravující kybernetickou bezpečnost, a to jak na evropské, tak na národní úrovni. Zatím má jen omezené praktické dopady a výsledky, ale myslím, že do budoucna by se mohlo jednat o jeden z důležitých pilířů regulace digitální ekonomiky.

Jak vidíte úroveň IT technologií a jejich bezpečnost v České republice ve srovnání s ostatními státy EU a ve světě? Jaké je právní ukotvení a také soulad a sladění právních předpisu v EU?
Jsem v této oblasti velmi optimistická. Česká republika je kolébkou kybernetické bezpečnosti, alespoň pokud jde o antivirové programy. Světoví lídři v této oblasti, dnes už konsolidovaní do Avastu, pocházejí právě z České republiky. A stále tu vzniká řada skvělých nových technologií. Je škoda, že Česká republika tuto strategickou oblast více nepodporuje. Nedávno jsem měla možnost se zúčastnit akce britské ambasády ve Vídni, kterou britská vláda financovala pro propagaci britských poskytovatelů technologií a služeb kybernetické bezpečnosti ve střední a východní Evropě. Podobné akce pořádají po celém světě. Je škoda, že Česká republika našim podnikatelům v této oblasti nepomáhá se dostat na mezinárodní trhy.
I v oblasti právní regulace kybernetické bezpečnosti jsme v Evropě průkopníky. Česká republika měla zákon o kybernetické bezpečnosti dlouho předtím, než Evropská unie vydala tzv. NIS směrnici, která tuto oblast harmonizuje napříč Evropou. Dodnes je úroveň české implementace této legislativy v prováděcích předpisech jedna z nejdetailnějších v Evropě.

Jak vnímáte GDPR? Je to spíše problém či skutečně pomáhá lidem i firmám? Komu vlastně GDPR slouží?
GDPR chrání soukromí osob, tedy pokud chcete, slouží lidem. Chrání základní hodnoty, na které jsme si v Evropě zvykli a které považujeme za ústavní práva. Nejde jen o právo na soukromí, ale nepřímo i třeba o ochranu demokracie nebo právo na spravedlivý proces.
Ochranu demokracie prostřednictvím GDPR jsme mohli vidět na příkladu skandálu kolem Facebooku a Cambridge Analytica. Pokud by neexistovala žádná pravidla pro nakládání s osobními údaji, byl by výsledek voleb brzy jen otázkou investice do příslušných technologií.
GDPR je momentálně také hlavní právní normou, která stanoví určité meze pro využití umělé inteligence, tedy hlavně transparentnost a omezení vytvářet derivovaná data. Proto jsem zmínila právo na spravedlivý proces, které si v Evropě tradičně představujeme tak, že lidská bytost (soudce) podle daných pravidel posoudí jednání jiné lidské bytosti nebo podniku. Asi bychom nechtěli, aby o našich právech místo soudce rozhodoval software. Změnám se nevyhne ani tato oblast, ale je důležité nastavit si hranice tak, aby lidské bytosti kontrolovaly technologie a ne naopak.
Nemyslím, že by si GDPR kladlo za cíl pomáhat firmám. Naopak pro firmy přináší GDPR v první řadě povinnosti, náklady a rizika. Přidanou hodnotu pro firmy by bylo možné hledat jen velmi nepřímo – firmy byly při implementaci GDPR donuceny udělat si pořádek v datech a zlepšit bezpečnostní opatření. To pro ně do budoucna může být výhodou, ale jde jen o výhodu v omezení rizika. Těžko lze za implementaci GDPR hledat nějaké nové příjmy či produkty, samozřejmě s výjimkou IT firem a poradenského sektoru.

Jaké povinnosti z GDPR pro podnikatele plynou? Jsou povinnosti odlišné pro velké korporace, státní instituce či pro malé a střední podnikatele a živnostníky? Co z hlediska GDPR hrozí za porušení ustanovených povinností?
Výčet povinností je dlouhý, ale zjednodušeně řečeno by firmy měly zajistit, že zpracovávají jen data, která jim GDPR povoluje zpracovávat. Zároveň by měly tato data chránit řadou procesních i technických opatření a měly by respektovat práva osob, jejichž data zpracovávají. Plnění těchto povinností by měly komplexně dokumentovat, a to jak interně, tak do jisté míry i navenek. Cílem je co nejvíce se přiblížit stavu, kdy každý jednotlivec kontroluje data, která o něm firmy a stát zpracovávají.
GDPR vzniklo zejména proto, že s nástupem technologií lidé přestali být schopni kontrolovat, kdo o nich shromažďuje jaká data. Evropská unie se rozhodla, že kontrolu lidí nad jejich daty lze vynutit jen uložením přímých povinností podnikatelům a jejich důsledným vynucením. Ukázalo se, že to byla správná úvaha, i když na začátku měla víc kritiků než příznivců.
Často je kritizováno, že GDPR nemá žádná de-minimis ustanovení a i malé společnosti mají podobný rozsah povinností jako např. Facebook nebo Google. Z pohledu malých a středních podnikatelů je to nepřiměřená zátěž. Z pohledu zákonodárce je to odůvodněno zejména tím, že jakékoli de-minimis pravidlo by dávalo prostor obejít aplikaci GDPR. I malé podniky mohou zpracovávat velké množství údajů a rizika mohou být i vyšší, než kdyby tyto údaje zpracovávala velká korporace.
A teď k sankcím. Problémem ochrany soukromí je, že data lze získat zadarmo a generovat na nich obrovské příjmy. Proto je porušování soukromí inherentně velmi výnosné. Zároveň nelze očekávat, že by dozorové orgány byly schopny uložit sankci za každé porušení. Proto GDPR může mít reálný dopad pouze pokud budou sankce tak vysoké, že se porušování soukromí nevyplatí. Na základě těchto úvah byly stanoveny sankce ve výši až 20 milionů eur nebo 4 % celkového ročního obratu skupiny, jejíž je daný podnik součástí. Je ale třeba uvést, že dozorový orgán sankci uložit nemusí. Může uložit jen nápravné opatření nebo může uložit sankci podstatně nižší, než je maximální hodnota. To se v praxi i děje. Od přijetí GDPR český Úřad pro ochranu osobních údajů zatím neuložil žádnou pokutu dle GDPR, přestože dle výroční zprávy za rok 2018 zahájil 76 kontrol (s výjimkou kontrol zahájených ve věci nevyžádaných obchodních sdělení) a v řadě z nich shledal porušení GDPR a uložil nápravná opatření. Lze ale předpokládat, že do budoucna bude růst tlak na harmonizaci přístupu k sankcím napříč EU.
Kromě sankcí je třeba počítat i s právem osob poškozených porušením GDPR domáhat se náhrady škody, a to i prostřednictvím hromadných žalob. Právní rámec pro hromadné žaloby v České republice v současné době vzniká.

Velké firmy a korporace si mohou dovolit i větší investice do svých IT technologií. Jak ochranu dat a vše s tím související mohou zabezpečit malé a střední firmy a živnostníci? A jak to mohou zabezpečit právně?
Velkým trendem v této oblasti je „bezpečnost jako služba“. I malé podniky si mohou nakoupit škálovatelné cloudové technologie s vysokou úrovní zabezpečení. Jsem přesvědčená, že zajištění kybernetické bezpečnosti v rámci malé proprietární on-premise infrastruktury je dnes téměř nereálné.
Typickým právním řešením je smlouva, nic lepšího dosud nikdo nevymyslel. Ideální je dobrá smlouva, o kterou se můžete opřít, když nastane problém. Dokud nenastane problém, dobrou smlouvu od špatné běžný člověk, a často ani běžný manažer, nerozezná.

Provozovatelé webových stránek (státní instituce, firmy i podnikatelé) musí nastavit tzv. cookies.  Ty nastavují z různých důvodů v našich zařízeních na dálku (v našem PC, tabletu, mobilu atd.) spolu s některými třetími stranami, a získávají tak informace o přístupu a ukládání dat. Údaje též mohou shromažďovat různé třetí strany například k zobrazování personalizovaného obsahu a reklamy. I když se musí při použití webu dát souhlas k používání cookies, dotyčný tak ztrácí kontrolu, kdo ho vlastně „sleduje“ a získává provozovatel webové stránky tak o něm či firmě získává cenné informace. Kde je tedy potom ochrana soukromí a dat lidí a firem? Dá se proti tomu nějak bránit?
Evropská unie si již této „díry“ v ochraně soukromí také všimla a připravuje nařízení ePrivacy, které by mělo mít podobné sankce jako GDPR a mělo by mimo jiné upravovat oblast cookies. Mohla bych o této problematice hovořit několik hodin, ale radši čtenáře odkážu na náš mini-web k nařízení ePrivacy, kde je řada „minutových článků“ o novinkách v této oblasti. Každý článek testujeme tak, aby nezasvěcený čtenář během jedné minuty získal pochopení některého aspektu budoucího ePrivacy nařízení. Pro náročnější čtenáře jsou připraveny dvouminutové články.

Na únorové konferenci o ICT ve zdravotnictví v pražském hotelu Don Giovanni, jste hovořila o právních aspektech digitalizace nemocnic a zdravotnických zařízení. Jak právně bude zabezpečena ochrana dat ve zdravotnictví a zdravotní dokumentaci?
Tato oblast je právně zabezpečena již řadu let. Vyhláška o zdravotní dokumentaci pochází z roku 2012. Nepřekvapím Vás tedy žádnými převratnými novinkami v této oblasti.
S GDPR se i na nemocnice vztahují vysoké sankce. Nemocnice nemají sankce sníženy jako např. státní správa. Navíc riziko, že pacienti se obrátí na dozorový orgán se stížností je poměrně vysoké, protože údaje o svém zdravotním stavu považují za citlivé. Pokud jsou nespokojeni s nemocnicí, ať už oprávněně nebo neoprávněně, je větší pravděpodobnost, že si budou stěžovat dozorovému orgánu, než pokud by byli nespokojeni např. se svým eshopem. Vidím ale riziko, že GDPR a regulace obecně by ve zdravotnictví mohla mít negativní dopad, pokud by byla odpovědnost za její plnění přenášena na zdravotnické pracovníky. Osobně bych nechtěla, aby se můj lékař musel soustředit víc na moje soukromí a na kybernetickou bezpečnost mých údajů než na moje zdraví. Velmi bych proto apelovala na zákonodárce i zřizovatele nemocnic, aby tento aspekt nepodceňovali.

Údaje o pacientech jsou velice citlivá data. Kdo a jaké instituce po spuštění provozu státní elektronizace zdravotnictví budou mít přístup včetně sdílení zdravotní dokumentace ke zdravotním údajům pacientů?
Pokud máte na mysli věcný záměr zákona o elektronizaci zdravotnictví, jedná se prozatím o poměrně obecný dokument, který pravděpodobně projde ještě řadou změn, než budeme moci mluvit o přesném okruhu subjektů oprávněných přistupovat k datům pacientů. Jedním ze základních vytyčených cílů věcného záměru je zajistit, že údaje poskytované nad rámec zákonných povinností jsou zpřístupněny pouze na základě souhlasu pacienta.

Jak vidíte využití cloudového řešení v kontextu zdravotnictví a elektronizace zdravotnictví? Jak to vidíte z právního hlediska? Dá se právně ošetřit jejich možné zneužití?
Cloudové řešení je obecný koncept, který sám o sobě není dobrý ani špatný. Určitě jsou cloudová řešení, která jsou pro některé oblasti velmi vhodná, a naopak cloudová řešení, která jsou pro některé oblasti zcela nevhodná. Obecně jsou cloudová řešení vhodná tam, kde je třeba zpracovávat velké množství dat či je potřeba velký a škálovatelný výpočetní výkon. Příkladem může být ukládání a další analýza rentgenových snímků. Zjevně nevhodné bude použití cloudových řešení určených pro spotřebitele, tedy např. komunikace mezi lékařem a pacientem ze soukromého emailového účtu lékaře zřízeného na některé bezplatné platformě. Takové řešení samo o sobě porušuje GDPR, zákon o kybernetické bezpečnosti a způsobuje praktická rizika.
Pokud jde o právní řešení, vracíme se ke smlouvě. Data pacientů by neměla být na žádných úložištích, která nemocnice nekontroluje a nemá na ně uzavřenou řádnou smlouvu s adekvátními závazky, pokud jde o technická opatření k ochraně dat. Zdá se to zjevné, ale v nemocnicích se lze v praxi setkat s používáním soukromých emailových schránek, přenášením dat na nekontrolovaná úložiště v rámci výzkumu apod.

Renáta Lucková