Newsletter

Týdenní přehled nejdůležitějších zpráv
do vaší e-mailové schránky

Newsletter
Přihlásit se k odběru

Miliardové pokuty kvůli ochraně dat jsou strašákem, v praxi nepadnou, říká právník roku v oblasti IT

Miliardové pokuty kvůli ochraně dat jsou strašákem, v praxi nepadnou, říká právník roku v oblasti IT

Miliardové pokuty, které budou firmám už za pár měsíců hrozit při nedodržování pravidel ochrany osobních údajů, jsou podle Zdeňka Kučery, právníka roku 2017 v oblasti informačních technologií, většinou jen obrovským strašákem. Firmy by ale podle advokáta, jenž pracuje pro kancelář Kinstellar, neměly brát GDPR na lehkou váhu. Může totiž zcela změnit některé zavedené byznys modely. A jak Kučera pro INFO.CZ varuje, v souvislosti s dalším právním předpisem, takzvaným ePrivacy, třeba i zcela zlikvidovat některé online marketéry. 

Obrovským tématem současnosti, které souvisí právě s IT, je nové evropská nařízení o ochraně osobních údajů, GDPR, podle kterého bude nutné od května postupovat. Jaký máte na tento právní předpis názor?

Rozumím frustraci, kterou podnikatelé i přípravě na účinnost nařízení zažívají. Zejména z toho důvodu, že zkušenosti ukázaly, že fyzické osoby se o ochranu svých dat příliš nezajímají. Přesto společnosti musí při přípravě na účinnost nařízení často vynaložit nemalé prostředky. Ty by ale nemusely být tak vysoké, kdyby společnosti dodržovaly už nyní platící pravidla ochrany osobních údajů. Většina firem však ochraně osobních údajů dosud nevěnovala tak velkou pozornost. A teď, když přichází strašák v podobě obrovských pokut, což je většinou ale opravdu jenom strašák, začíná být toto téma zajímavější.

Společnosti, které sobí čistě v regulovaném průmyslu, jako je farmacie, bankovnictví či pojišťovnictví, jsou na hrozbu vysokých pokut zvyklé a s podobnými pravidly pracují, složitější je to ale například pro e-shopy, které dosud vnímaly regulaci vlastně jen spotřebitelským právem.

Vysoké pokuty za nedodržování pravidel, které mohou dosáhnout až výše 20 milionů eur nebo čtyř procent z obratu podnikatele, tedy mají firmy jen postrašit, ale reálně podle vás nebudou ukládány?

Nařízení předpokládá řadu podmínek, které musí brát Úřad pro ochranu osobních údajů v potaz ve chvíli, kdy o pokutě rozhoduje. Řeší se, jak firma k údajům přistupuje, zda nešlo o nahodilé pochybení zaměstnance či například, zda v případě úniku osobních dat tento problém společnost nahlásila.

Dalším významným faktorem je to, že řada pravidel v nařízení ještě není v tuto chvíli zcela jednoznačně interpretována. Nedovedu si tak představit, že by úřad od prvního dne, nebo od prvních měsíců, ustál uložení vysoké pokuty za porušení pravidel, které se nacházejí právě v šedé interpretační zóně. Samozřejmě, pokud například někdo položí zdravotnickou dokumentaci k popelnicím, půjde o jednoznačné porušení. Nejednoznačná pravidla platí typicky například pro oblast online marketingu.

I přesto, že povinnost chránit osobní údaje nepřichází až s GDPR, ale platí už v současnosti?

Úřad pro ochranu osobních údajů postupoval při sankcionování jednotlivých prohřešků podle stávajících předpisů poměrně rozumně. Nejvyšší pokuty padaly v řádech milionů korun, nejvyšší mohla být udělena ve výši deset milionů korun. V případě vysokých pokut jde ale jen o jednotky případů, které spočívaly v naprosto flagrantním porušení ochrany osobních údajů ve velkém rozsahu.

Co je tedy v současnosti nejasné?

Pro řadu společností je například nejasná otázka, zdali budou muset jmenovat pověřence pro ochranu osobních údajů. Někteří kolegové tvrdí, že svého pověřence bude muset mít každý e-shop. S tímto nesouhlasím, většiny e-shopů se tato povinnost nedotkne. Naopak jednoznačné je to například u zdravotnických zařízení, které zpracovávají údaje o pacientech.

Úřad by v nejednoznačných případech neměl něco ihned sankcionovat, ale spíše vysvětlovat. O což se vlastně v posledních měsících snaží a uveřejňuje určitá vodítka. Doporučuji sledovat například také velmi zajímavé názory britského úřadu pro ochranu osobních údajů. Ten je sice o trochu liberálnější než ty ostatní, ale vodítka, která publikuje, jsou jasná a zabývají se konkrétními situacemi, které podnikatelé řeší.

Velké firmy se na GDPR jistě připravují, jsou na zavádění podobných novinek zvyklé. Ale jak by k této situaci měly přistoupit třeba právě drobné e-shopy?

Osobní data jsou pro tyto obchody jednou z nejdůležitějších komodit, s nimiž pracují. Ať už jde o profilování zákazníků či jejich oslovování e-maily. Stejně jako musí řidič dbát o to, aby neměl sjeté pneumatiky a měl povinné ručení, musejí i tito podnikatelé dbát právních předpisů a jednoznačně už by se měli na tyto situace připravovat.

Pokud se bavíme o online marketingu, tak jej GDPR společně s nařízením ePrivacy ovlivňuje zcela zásadně. U některých společností mohou kompletně změnit jejich byznys model. Jsou totiž daleko rigidnější v případně poskytování souhlasů a v oblasti používání cookies. Pokud zůstane nařízení ePrivacy ve stávající podobě, může mít pro některé online marketéry až likvidační důsledky. Je tak zapotřebí sledovat probíhající diskuse a být v nich slyšet, nařízení ePrivacy totiž stále ještě můžeme změnit.

Co by nově například nebylo možné?

V řadě případů remarketing v dnešní podobě a také provádění analytiky bez souhlasu. Podle nařízení ePrivacy totiž budete muset například k analýze cookies třetích stran poskytnout souhlas. Internetový prohlížeč bude muset být nastavený na nepoužívání těchto institutů, budete tak muset spotřebitele žádat o to, aby si možnost použití cookies zapnul a odsouhlasil jejich jednotlivé použití. Tedy to, co nyní dělají společnosti prakticky automaticky a jak bez souhlasu profilují své zákazníky, do budoucna nepůjde.

Osobně se významně věnujete také právním souvislostem umělé inteligence… Co vás na tomto tématu zajímá?

Umělá inteligence je nadána určitou formou samostatného učení, které vede k jednáním, jež nelze ovlivnit. To zcela mění zavedené koncepty právní odpovědnosti, která je postavena to tom, že jsem důsledek mohl ovlivnit, nebo jej měl či mohl předpokládat. Tady vůbec nevím, k jakému chování se robot uchýlí.

To souvisí i s algoritmy, které jsou v těchto přístrojích vtěleny, ty musí být naprosto neutrální. Neměly by proto probíhat diskuse, zda má samořízené auto v případě nehody spíše zabít babičku, nebo maminku s kočárkem. Takové rozhodnutí by podle mého názoru nikdo nemělo být naprogramováno. Systém si tuto situaci musí sám vyhodnotit a vy na ni nebudete mít vliv.

Zajímavé diskuse se týkají například oblasti obranného průmyslu, třeba nasazení humanoidů ve standardních bojích. Státy se zatím přikláněji spíše k zakázání použití takovýchto technologií. Nikdy totiž nevíte, jak bude tento robot postupovat. Přesto jsou tyto přístroje v některých zemích vyvíjeny a řeší se i obchodování s nimi.

Jiným případem jsou drony. Například ty izraelské, které pozorují hranice, jsou schopny samy vyhodnotit, když jim dochází energie a vrátí se, aby mohly být nabity. Jde tak o přístroj, který je schopen se postarat sám o sebe. Česká armáda je naopak v posledních letech hodně pozadu v nákupu vojenského materiálu, v současnosti musí dořešit hlavně radary a helikoptéry.

Právo je vždy ve vleku informačních technologií a patrně se mu je nikdy nepodaří předhonit. Kam až tento vývoj může dojít?

Podívejme se právě na roboty. Jejich jednání můžeme plně podřadit pod standardní ustanovení dnešního občanského zákoníku. Je ale otázka, do jaké ry můžeme být odpovědni za to, že se technologie určitým způsobem rozhodne a my už to nemáme pod kontrolou. To je ale ten základní fenomén samostatného učení. Že nemůžeme odpovídat za to, zda jelo auto doleva nebo doprava, protože algoritmy, které jsme mu vtiskli, byly natolik obecné, že jsme na to nemohli mít vliv.

Pokud jde o právní přístup, nejprve musí vzniknout problém, který nebude po diskusích podřaditelný pod současná pravidla. Musíme proto hledat nové cesty. V případě aut tak například nyní diskutujeme o jakémsi povinném ručení a o tom, že by každý provozovatel takovéto technologie příspíval do určitého fondu, z něhož by byly hrazeny případné škody. Tento koncept by mohl velmi dobře fungovat.

Je nutné vnímat ale také to, že právo informačních technologií zasahuje do všech oblastí práva. Kupříkladu hodně věcí, které máme na sobě a při sobě, jsme si koupili na internetu. Možná nám tam s nimi někdo poradil a nejspíš to nebyl člověk, ale určitý program, chatbot. Na ulici nás monitorují kamery, využíváme platební karty, všechno je to elektronika. Proto mi přijde liché, když se někdo domnívá, že je tento obor okrajový. Naopak je multidisciplionární a zasahuje do všech oblastí práva.

Kdy jste se ostatně vy rozhodl, že se budete věnovat právě právu informačních technologií?

Zhruba před 13 lety, ale je třeba brát v potaz, že IT právo je velmi mladý obor. Přesto první impuls možná přišel na základní škole, kde jsme počítače používali už v první třídě, což bylo na přelomu 80. a 90. let unikátní. Navštěvování základní školy s rozšířenou výukou počítačů byla ale vlastně asi jen prostá lenost, tu školu jsem měl totiž nejblíž domovu.

Později mě bavila logika a vždy jsem měl pocit, že musím někde hledat spravedlnost, a proto jsem šel cestou práva. Právo informačních technologií jsem začal brát velmi vážně při studiích ve Švýcarsku u profesora Webera, to byla velká motivace. Nyní už osm let tento obor garantuji na Fakultě informačních technologií ČVUT. To byl největší posun, jsem totiž v každodenním kontaktu s někým, kdo tyto technologie vytváří a kdo se i na právní otazníky dívá úplně jiným způsobem než právníci.

  
 
Přejít na homepageVíce z kategorieZpět na začátek