Pražská policie koncem loňského roku sdělila magistrátu, že by si přála nasadit na vybraná místa s vysokou koncentrací obyvatel, jako jsou nádraží, nákupní centra či turisticky atraktivní lokality, systém face recognition, tedy systém pro rozpoznávání tváří. Téměř okamžitě se vzepjala vlna odporu. Jak veřejnost, tak politici se začali předhánět v odsudcích: „Já osobně jsem proti užívání technologie rozpoznávání obličejů na městském kamerovém systému,“ řekl primátor Zdeněk Hřib. „Nevidíme žádné důvody pro zavádění podobného systému,“ řekl Jan Čižinský, lídr Praha sobě. „Míra zásahu do soukromí neodpovídá potenciálním přínosům,“ napsal také Jiří Pospíšil z TOP 09. Jaké jsou vlastně výhody a nevýhody face recognition systémů a proč vyvolávají takový humbuk? Nejen o kamerách a o soukromí jsme mluvili s Ivanou Janů, předsedkyní Úřadu na ochranu osobních údajů.
„Biometrické údaje jsou jedinečným digitálním otiskem každého z nás, proto je GDPR i další unijní předpisy považují za zvláštní kategorii osobních údajů a požadují pro ně důkladnější ochranu,“ vysvětluje Ivana Janů.
Znepokojení, kterému vy říkáte humbuk, je pouze výrazem uvědomění si toho, že jednou pořízený digitální otisk může být použit jindy, jinde, někým neznámým a v úplně jiném kontextu. A hlavně bez ohledu na vůli a legitimní zájmy původního nositele biometrické charakteristiky, z níž se stal volně použitelný a třeba i směnitelný „údaj“. Asi bude dobré připomenout, že používání face recognition Policií České republiky se rovněž řídí zákonem, i když to není GDPR.
Jedním ze zvažovaných míst pro nasazení face recognition byly fotbalové zápasy, na nichž k porušování zákonů dochází poměrně často. Pokud to z hlediska GDPR není možné, nemine se to účinkem?
Pokud jde o zamezení diváckého násilí na stadionech, respektive zamezení vstupu na stadion nežádoucím osobám, musíme se nejprve ptát, zda byly řádně využívány dosavadní možnosti. Například současný trestní zákoník umožňuje potrestat „fanouška“ za úmyslný trestný čin v souvislosti s návštěvou sportovní akce tím, že mu může být zakázán vstup na tyto akce až na dobu deseti let. Ke zpracování biometrických údajů všech návštěvníků by každopádně mělo docházet pouze ve výjimečných, zákonem definovaných situacích, pro což zatím nejsou vytvořeny podmínky, i když jsem osobně na potřebu zákonné úpravy upozorňovala před přijetím domácího adaptačního zákona.
Když tedy já osobně někoho vyfotím na ulici a dám fotku na sociální sítě, je to z mé strany porušení GDPR, nebo ne?
GDPR se vztahuje na zpracování osobních údajů, což je už do jisté míry systematická a cílevědomá činnost s osobními údaji pro definovaný účel. Ne každé nakládání s osobním údajem nebo například fotografií je tedy hned zpracováním osobních údajů. Pokud tedy někdo někoho vyfotí na ulici a fotku dá na sociální sítě, není to porušením GDPR, jelikož nejsou primárně naplněny podmínky pro jeho aplikaci, ale může jít o porušení občanského zákoníku. A není vyloučeno ani porušení jiných norem.
Vždycky uvažujte, zda cenou za rychlou a levnou službu nebude nesolidnost a kupčení s vašimi osobními údaji.
Vždycky bude záležet na obsahu dané fotografie a též i na způsobu jejího využití. Pokaždé platí, že fotografie by měly být využívány přiměřeně a též s přiměřenou empatií vůči zachyceným osobám. Podle občanského zákoníku ovšem obecně platí, že zachytit podobu člověka tak, že podle zobrazení je možné určit jeho totožnost, lze jen s jeho svolením. A také rozšiřovat podobu jiného člověka lze pouze s jeho svolením.
GDPR platí v EU, tedy i v Česku, osmnáct měsíců. Jak byste ten rok a půl zhodnotila? Daří se nám zákon naplňovat a existují nějaká „česká specifika“?
GDPR nepřineslo do naší země žádnou revoluci, jen několik dílčích novinek. Česká specifika ve vymáhání souladu s obecným nařízením o ochraně osobních údajů jsou tři. Tím nejvýznamnějším je podle mého názoru fakt, že tu byla vymahatelnost práv subjektů údajů už podle předchozího zákona o ochraně osobních údajů, takže tady nijak dramatická změna v aktivizaci subjektů údajů neproběhla. Potvrzují to naše poznatky z vlastní dozorové činnosti a ze zpětné vazby od správců v rámci propagace pravidel ochrany osobních údajů.
Druhé specifikum je spojeno s poměrně pozdním přijetím národního adaptačního zákona, jehož důsledkem pak bylo obecné odložení správního trestání. To třetí specifikum je vlastně také spojeno s adaptačním zákonem a je jím zrušení správních pokut pro veřejné subjekty působící v Česku. Takže jsme svědky toho, že byla nastolena značná disproporce mezi odpovědností soukromého a veřejného sektoru při zpracování osobních údajů. Ve všem ostatním jsme ale unijním standardem.
Je pak tedy GDPR opravdu obranou proti Velkému bratrovi, proti dohledu státu? Kde vede hranice, kdy jsou vyváženy zájmy státu i občanů?
Rozhodně! GDPR je společně s dalšími právními předpisy jedním z účinných nástrojů, kterými evropské demokracie disponují při udržování obranného valu proti Velkému distribuovanému bratrovi a propojeným bratříčkům, kteří nectí či cíleně rozvracejí parlamentní demokracie. To ovšem platí, pokud je GDPR používáno řádně a současně s nástroji jiných regulací, dnes tedy zejména ochrany spotřebitele a ochrany hospodářské soutěže. Správně vyvažovat zájmy státu a občanů je ovšem především úkolem zákonodárců. Vyvážený stav stojí a padá s kvalitou přijaté a účinné právní úpravy.
Abych mohl o někom uchovávat jeho soukromá data, potřebuji podle GDPR jeho svolení. Existuje případ, kdy toto svolení mít nemusím? Tady se nenápadně vracím k již zmíněným face recognition systémům, které například fungují na pražském letišti.
Jedním ze stereotypů v oblasti zpracování osobních údajů, který Úřad v rámci své osvětové a poradenské činnosti vyvrací, je ten, že ke zpracování osobních údajů je zpravidla nutný souhlas se zpracováním osobních údajů. V životě je tomu právě naopak. Souhlas toho, jehož osobní údaje se zpracovávají, je pouze jedním z právních základů. Zpracování osobních údajů orgány veřejné moci pro plnění jejich úkolů se děje k plnění zákonem stanovené povinnosti. Pokud si tedy zakoupíte zboží přes internet, je jasné, že internetový prodejce musí nezbytné osobní údaje zpracovávat pro uzavření a plnění smlouvy s vámi jako se subjektem údajů.
Zákazníkovi musí být vždy dána možnost vyjádřit vůli, že si nepřeje, aby mu obchodník zasílal obchodní sdělení, říká Ivana Janů
Co se ale týče kamerových systémů, je nutné vždy přihlédnout k subjektu, který ty systémy provozuje, jelikož kamery mohou být provozovány v různých právních režimech. Typicky jiný režim platí pro kamery například běžného zaměstnavatele a kamery provozované Policí České republiky. U takových kamerových systémů jsou sledovány zcela odlišné účely a aplikují se odlišné právní normy.
Pokud chci jako soukromý subjekt rozesílat informace mailem, typicky třeba newsletterem, jaké podmínky musím splnit, abych byl z hlediska GDPR plně krytý? V jaké formě musí být souhlas? Stačí třeba, aby adresát „zakliknul políčko“ na internetu?
GDPR podléhá jen část informací rozesílaných elektronickou poštou. Šíření obchodních sdělení se řídí zvláštní právní úpravou, která chrání držitele elektronických kontaktů před obtěžováním různými šiřiteli obchodních sdělení, a to jak fyzické, tak právnické osoby. Základní pravidlo pro šíření obchodních sdělení je, že je můžu šířit svým zákazníkům, pokud jde o mé vlastní či obdobné výrobky nebo služby. K tomu obchodník nepotřebuje souhlas od zákazníka. Typicky internetový obchod v souvislosti s prodejem zboží získá emailovou adresu spotřebitele, na kterou mu může následně šířit svá obchodní sdělení, například právě zmiňovaný newsletter.
Zákazníkovi však musí být vždy dána možnost vyjádřit vůli, že si nepřeje, aby mu obchodník zasílal obchodní sdělení. Tuto vůli by měl obchodník umožnit projevit již při odesílání objednávky. V případě, že nejde o zákazníka, je nutné získat pro šíření obchodních sdělení souhlas. Forma udělení souhlasu se může lišit, je však zcela vyloučeno, aby obchodník nabízel předvyplněné políčko se souhlasem.
Dochází u nás k porušování GDPR úmyslně, nebo spíš z neznalosti?
Porušení vznikají spíš podceněním problematiky zpracování osobních údajů a GDPR než z nějakého přímého nekalého úmyslu. Samozřejmě najdou se i tací správci, u nichž je zpracování osobních údajů cíleně prováděno za hranou, ale to jsou ojedinělé případy.
Občané se sice bouří proti potenciálnímu zneužívání dat, přitom sami dávají dobrovolně k dispozici mnohonásobně víc informací, než GDPR postihuje. Někdy jsou to až absurdní věci typu „právě jsme na dovolené a nikdo není doma“.
Žijeme ve společnosti, která umožňuje daleko větší volnost a kvůli novým komunikačním kanálům též i větší možnost sdílet informace. To však s sebou nese i daleko větší odpovědnost každého z nás, jaké informace o sobě anebo i o druhých budeme dobrovolně sdílet. Ne každý samozřejmě předpokládá, že se najde někdo, kdo tyto informace zneužije.
Z mého pohledu je proto důležité, aby se děti, které se již začínají seznamovat s informačními technologiemi v útlém věku, učily též o těchto nástrahách a také o podstatě digitální informace, kterou lze jednoduše kopírovat a dále šířit. Jinými slovy, u informací v digitální podobě je daleko menší míra možnosti ovlivnit její šíření či absolutní smazání z digitálního prostoru. V oblasti osvěty je zde nepopiratelně velká odpovědnost i rodičů a všech výchovných a formativních volnočasových institucí.
Jak se váš úřad dívá na sociální sítě a uchování údajů o uživatelích? Stačí „přijmout podmínky používání“, aby byl provozovatel z obliga? Třeba na Facebooku zadáváme datum narození, bydliště…
Nabídku a pravidla společenského prostoru zvaného sociální sítě určují právě poskytovatelé a provozovatelé sociálních sítí a jejich platící zákazníci, ne dozorové úřady pro ochranu osobních údajů nebo regulátoři a uživatelé služeb. Ochrana osobních údajů jako součást soukromí každého jednotlivého člověka těmto provozovatelům a jejich klientům jen klade dílčí překážky a omezení, byť jejich účinnost není pro mě osobně příliš potěšující.
JUDr. Ivana Janů
Předsedkyně Úřadu pro ochranu osobních údajů vystudovala Právnickou fakultu Univerzity Karlovy v Praze, doktorátu práv v oboru mezinárodního práva veřejného dosáhla v roce 1974. V letech 1989 až 1993 byla poslankyní Federálního shromáždění, od roku 1993 až do roku 2014 pracovala v různých pozicích na Ústavním soudu České republiky. Předsedkyní ÚOOU se stala v roce 2015. Působila také jako členka Sboru poradců International Criminal Law Services Foundation se sídlem v Haagu, jako soudkyně Mezinárodního trestního tribunálu pro bývalou Jugoslávii v Haagu a také v právní sekci Rady Evropy, takzvané Benátské komisi.
Podle evropského práva nejsou osobní údaje komodita na prodej. A proto i celosvětová sociální síť musí dodržovat pravidla daná GDPR, minimálně ve vztahu k osobám na území Evropské unie. Nutné je též odlišit souhlas s podmínkami používání určité služby a souhlas se zpracováním osobních údajů. Důležitá je také transparentnost, jedna z hlavních zásad GDPR. Jejím projevem mají být i srozumitelné a jasné informace o zpracování osobních údajů. Ovšem k prosazení tohoto přístupu se musí spojit regulátoři dalších oblastí společenské činnosti.
Máte nějaká řekněme tři základní doporučení ohledně ochrany osobních dat, která by Češi měli dodržovat?
Zajímejte se o to, co se s vašimi údaji děje. Vyhledejte si informace o tom, jak budou vaše osobní údaje použity, a to dříve, než vyplníte a podepíšete smlouvu nebo kliknete na webový formulář. V případě pochybností se na nejasnosti raději předem a včas ptejte odpovědných osob, pověřenců pro ochranu osobních údajů, správců a zpracovatelů dat.
Zacházejte se svými daty bezpečně. Zejména v prostředí internetu používejte spolehlivé a ověřené služby a komunikační nástroje od důvěryhodných a prověřených poskytovatelů. A pokud dobře neznáte správce aplikace a služby, která je vám nabízena v on-line či mobilním prostředí podezřele jednoduchým způsobem a zadarmo, uvažujte, zda cenou za takovou rychlou a levnou službu nebude nesolidnost a kupčení s vašimi osobními údaji.
Reklama
foto: Profimedia, zdroj: Úřad pro ochranu osobních údajů