Internet a ochrana osobních údajů: 1. část
6.9.2013, Michal Spáčil, článek
Právní úprava ochrany osobních údajů je mezinárodně i vnitrostátně natolik roztříštěná, že sepsat pro čtenáře srozumitelnou „kuchařku“, z níž by bylo hned jasné, kdo má na co právo, není zkrátka možné, i kdybychom moc chtěli.
Můžeme se však pokusit vnést do tématu trochu světla a ukázat alespoň na hlavní body, kolem nichž se ochrana osobních údajů na internetu točí, a na otevřené otázky a problémy, které při tom vznikají. Nevyhneme se častým odskočením do historie a do práva blízkého i vzdáleného zahraničí. Když už nic jiného, tak aspoň ukážeme, proč je v tom takový chaos.
Poznámka redakce:
Tímto začínáme cyklus článků, jež se budou zabývat otázkou práva v souvislosti s IT a které budou z pera Michala Spáčila, dřívějšího tiskového mluvčího Ústavního soudu České republiky.
První ze zdrojů babylónského zmatení, které v této oblasti práva panuje a na nějž si ukážeme, je propast mezi americkým a evropským pojetím ochrany osobních údajů. Obecně vzato informační zdroje ze Spojených států na webu dominují, a proto je běžný návštěvník webových stránek, i českých, daleko častěji konfrontován s americkou podobou ochrany osobních údajů, než s tou, která se jej doopravdy týká a která je zakotvena v českých a evropských předpisech. Nekritické nebo nedbalé překlady z angličtiny situaci příliš nepomáhají, stejně zprávy o soudních procesech z USA, komentovaných bez alespoň rámcové znalosti toho „jak je to u nás“.
Americké a české, potažmo evropské právo se od sebe diametrálně liší, a to až tak, že vám nejeden český civilista (odborník na občanské právo) řekne, že americké právo podle něj vůbec žádným právem není. Samozřejmě pouze v soukromí a za zavřenými dveřmi. Zbytek světa se pak buď řídí některým z tradičních právních systémů, které na nové fenomény obvykle nenabízejí žádné odpovědi, nebo lavíruje mezi americkým a evropským pojetím, případně ochranu osobních údajů neřeší vůbec.
Proč je ochrana osobních údajů v USA a v Evropě tak rozdílná, si řekneme dále (stejně jako to, v čem se shodují). Abychom dostáli slibu z úvodu, podíváme se dále na obě. Prozatím si odneseme...
Právo je oborem nesmírně konzervativním. Dnešní české (německé, rakouské, francouzské, ruské,...) občanské právo je ve své podstatě verzí 2.0 tisíce let starého práva římského, angloamerické právo zase vychází z dávného zvykového práva germánských kmenů a dodnes nese mnohé jeho rysy. Ani právo šaría se obzvláštní dynamikou nevyznačuje (abychom jmenovali alespoň hlavní systémy). I když se totiž společnost stále mění, vztahy mezi lidmi zůstávají co do své podstaty neměnné po generace. Všichni přece intuitivně chápeme pojmy jako vlastnictví, výpůjčka, manželství, dluh, daň a tak dále, v mnohém stejně jako naši předkové.
Právo se samozřejmě vyvíjí, v některých ohledech dokonce i k lepšímu (oblast lidských práv), ve svém celku však zůstává pozoruhodně stabilní. Jistěže existovaly a existují technické obory, za nimiž právo více či méně úspěšně klopýtá – jako příklad můžeme uvést třeba právo letecké. Jeho základní principy však vycházejí ze starobylého a osvědčeného práva mořského a kromě speciálních technických fines (které však nemají žádný mravní, ale pouze technický rozměr) jej ve skutečnosti pohodlně vtěsnáme do tradičních právních principů a zásad.
Jinými slovy (a s nadsázkou), je pramalá šance, že při tvorbě a výkladu dnešního práva narazíme na nějaký zásadní problém, který nebyl řešen starším či pozdějším římským právem. S jednou obrovskou výjimkou – internetem. Dopad této technologie svým významem daleko přesahuje třeba význam knihtisku a je srovnatelný snad jen s vynálezem zemědělství či písma. Není vyloučeno, že časem povede k obrovským strukturálním změnám společnosti a tím i právního řádu. Nevíme, vždyť internet je stár teprve pár desetiletí. Už nyní je však jasné, že tradiční právní konstrukce na něj nestačí, že zkrátka přestávají být k použití.
Jako mezititulek jsme si dovolili použít parafrázi slavného výroku minulého pana prezidenta. A to pro ilustrování teze, naznačené v minulém odstavci: nástup internetu byl tak rychlý a natolik změnil způsob, jakým se díváme na tradiční instituty, jako je i ochrana soukromí, že se ocitl v právním vakuu, o němž vůbec netušíme, čím jej vyplnit.
Toto vakuum je spíše ideové, než normativní, nejde o to, že bychom měli málo právních předpisů, jimiž se spojení zákonodárci všech zemí snaží zvrátit (což nelze) nebo aspoň zbrzdit vývoj tam, kde se jim nehodí, a v jiných oblastech (jako je invaze orgánů státu do soukromí uživatelů webu) zase uspíšit. Nebo že bychom měli málo odborníků na „právo informačních systémů“. Jde o to, že nevíme, co by v těch normách mělo být a v čem přesně by se uvedení odborníci měli vyznat.
Generace právníků, kteří už vyrůstali před obrazovkou počítače, právě přebírá veslo; co z toho vzejde, nelze vůbec dohlédnout. Rozhodování soudů je nejednotné a subjektivistické (jak přesně chcete určit hranici mezi právem jednoho na soukromí a právem druhého na informace?). Mezinárodně deklarovaná jednota v boji s „pirátstvím“ a dalšími projevy na internetu jen zakrývá strukturální nekoncepčnost všech pokusů o regulaci internetu a začíná připomínat zákopovou informační válku vlád proti vlastnímu obyvatelstvu. Nikdo nic neví. „Duševní vlastnictví“ například je metafora, sice podnětná, ale stále jen metafora. Tvrdit, že duševní vlastnictví je vlastnictví jako každé jiné (a přiznat mu stejnou ochranu) je jako tvrdit, že e-kniha je kniha jako každá jiná (a zkoušet s ní podepřít almaru). Z toho plyne
V čem mezinárodní shoda rozhodně panuje, je vymezení práva na ochranu osobních údajů jako součásti práva na ochranu soukromí. Právě tuto oblast lidského života však opomíjí jeden z nejdůležitějších právních textů vůbec, jímž je americká ústava z roku 1787. (Otcům ústavodárcům se o celosvětové informační síti jistě nezdálo ani v nejděsivějších chiliastických vizích.) Jasně, řeknete si, ale ta má přece dodatky, včetně toho slavného prvního. Problém je, že ani v těchto dodatcích ochranu soukromí nenajdeme. Právní ochrana soukromí v USA je dnes dána především četnými rozhodnutími Nejvyššího soudu USA, která za oceánem působí jako jeden z nejvýznamnějších pramenů práva.
Důvodem velké váhy rozhodnutí amerických soudů, oněch z televize známých „precedentů“ je – pro evropského právníka dosti kuriózní – představa, že právo existuje jaksi objektivně mimo nás a u soudu se přičiněním zúčastněných „nalézá“. Odtud pramení obrovská právní síla judikatury v USA (a též Velké Británii), zatímco u nás je její role daleko menší. (Chceme-li být úplně up-to-date, musíme ještě poznamenat, že v horké současnosti se oba systémy přece jen začínají sbližovat, ale to je na jiné povídání). Za judikaturou Nejvyššího soudu USA ve věci ochrany soukromí, potažmo osobních údajů, však není žádná ucelená koncepce nebo jednotná filosofie, což je častým terčem kritiky (u nás např. znalec amerického práva R. Seltenreich).
Nechceme však nyní vzbudit mylný dojem, že je ochraně osobních údajů věnována v USA menší pozornost. Je tomu právě naopak, tato agenda vznikla právě ve Spojených státech, a to už na počátku šedesátých let. Tehdy totiž vznikl první projekt celonárodního centra, obří databáze, v níž by byly centrálně uchovávány informace o všech obyvatelích USA. Technicky to možné bylo, politicky nikoliv – projekt byl zastaven pro masivní odpor obyvatel. Tehdy se však ochrana mechanicky zpracovávaných osobních údajů poprvé dostala do hledáčku právníků i široké veřejnosti a už v něm zůstala.
Na počátku 80. let už byly alespoň v obrysech známy všechny sporné momenty ochrany osobních údajů ve vztahu k jejich elektronickému zpracování, s nimiž se potýkáme i dnes.
Prvním z nich je proces, který bychom mohli nazvat ztrátou jedinečnosti. Shromáždíme-li o někom určitou masu čísel, která mají silnou výpovědní hodnotu, budeme mít tendenci „zaměnit mapu s krajinou“ a tedy považovat onoho člověka za redukovatelného právě na tyto číselné údaje. Nebezpečí tohoto jevu samozřejmě roste s masou zpracovávaných údajů.
V raném období počítačů, kdy představy o jejich fungování a možnostech čerpali jak právníci, tak i široká veřejnost spíš z (pro nás) srandovních sci-fi filmů, než ze skutečné práce s nimi, mohly obavy z takovéto redukce individua pocházet z prosté technofobie. V současnosti ovšem právě na základě mohutných databází o uživatelích internetu typujeme zločince a teroristy pomocí automatických algoritmů, které se v principu neliší od systémů cílené reklamy, čímž se blaženě vracíme k principu ordálu neboli božího soudu – obojí je vlastně morbidní verze rulety.
Možnost zneužití shromážděných osobních dat už ani nestojí za zmínku. Ze strany orgánů moci i soukromníků k němu dochází neustále. I zde je však patrný rozdíl mezi Evropou a USA (můžeme jen doufat, že ne pouze rétorický). Zatímco státy Evropské unie, vázané unijním právem, kladou shromažďování a správě osobních údajů mnohé právní překážky – a to jak jednotlivcům, tak státům (pionýrem bylo Švédsko v roce 1973), Spojené státy zatím tíhnou ke generování čím dál obsáhlejších souborů dat, k nimž má přístup čím dál větší množství autorizovaných i neautorizovaných zvědavců. Z posledních událostí se můžeme odvážit závěru, že důvěrnost těchto databází prostě nemůže být zachována. Dříve nebo později jejich nejskandálnější části nevyhnutelně někdo vytroubí do světa.
Rizikem popsaným též již na počátku osmdesátek je fakt, že jednou uložená digitální data jsou s námi, měřeno délkou lidského života, navěky. Lze jistě namítnout, že přečíst dnes 5/4 disketu může být velký problém, o děrných páskách nemluvě. Nicméně životnost datových médií dnes již nehraje roli – hostitel (úložiště) se mění, parazit (data) zůstává. Každý zažil nebo udělal věci, kterými se nechlubí na potkání, a nemusí jít jen o zasloužený pobyt v městské šatlavě nebo šavli na maturitním večírku. Ještě nedávno se na podobné věci jednoduše časem zapomnělo, dnes mohou provázet svého autora jako celoživotní stigma. V afektu před 10 lety napsaný názor do banální diskuse může zničit slibnou kariéru. Změnit identitu je dnes snazší než vymazat své digitální stopy. Zapíšeme si teď
Na popsaná nebezpečí se snaží reagovat legislativa Evropské unie, která jde zejména cestou vytváření specializovaných orgánů, majících ochranu osobních dat v náplni práce. V některém z příštích dílů se podíváme, jak se jí to daří.
Poznámka redakce:
Tímto začínáme cyklus článků, jež se budou zabývat otázkou práva v souvislosti s IT a které budou z pera Michala Spáčila, dřívějšího tiskového mluvčího Ústavního soudu České republiky.
USA, Evropa a ti ostatní
První ze zdrojů babylónského zmatení, které v této oblasti práva panuje a na nějž si ukážeme, je propast mezi americkým a evropským pojetím ochrany osobních údajů. Obecně vzato informační zdroje ze Spojených států na webu dominují, a proto je běžný návštěvník webových stránek, i českých, daleko častěji konfrontován s americkou podobou ochrany osobních údajů, než s tou, která se jej doopravdy týká a která je zakotvena v českých a evropských předpisech. Nekritické nebo nedbalé překlady z angličtiny situaci příliš nepomáhají, stejně zprávy o soudních procesech z USA, komentovaných bez alespoň rámcové znalosti toho „jak je to u nás“.
Americké a české, potažmo evropské právo se od sebe diametrálně liší, a to až tak, že vám nejeden český civilista (odborník na občanské právo) řekne, že americké právo podle něj vůbec žádným právem není. Samozřejmě pouze v soukromí a za zavřenými dveřmi. Zbytek světa se pak buď řídí některým z tradičních právních systémů, které na nové fenomény obvykle nenabízejí žádné odpovědi, nebo lavíruje mezi americkým a evropským pojetím, případně ochranu osobních údajů neřeší vůbec.
Proč je ochrana osobních údajů v USA a v Evropě tak rozdílná, si řekneme dále (stejně jako to, v čem se shodují). Abychom dostáli slibu z úvodu, podíváme se dále na obě. Prozatím si odneseme...
Poučení první: Ochrana osobních údajů v USA funguje v mnohém jinak než u nás. Informace o ní zpoza Atlantiku pro nás nejsou relevantní. |
Internet jako kopanec do stavby právního myšlení
Právo je oborem nesmírně konzervativním. Dnešní české (německé, rakouské, francouzské, ruské,...) občanské právo je ve své podstatě verzí 2.0 tisíce let starého práva římského, angloamerické právo zase vychází z dávného zvykového práva germánských kmenů a dodnes nese mnohé jeho rysy. Ani právo šaría se obzvláštní dynamikou nevyznačuje (abychom jmenovali alespoň hlavní systémy). I když se totiž společnost stále mění, vztahy mezi lidmi zůstávají co do své podstaty neměnné po generace. Všichni přece intuitivně chápeme pojmy jako vlastnictví, výpůjčka, manželství, dluh, daň a tak dále, v mnohém stejně jako naši předkové.
Právo se samozřejmě vyvíjí, v některých ohledech dokonce i k lepšímu (oblast lidských práv), ve svém celku však zůstává pozoruhodně stabilní. Jistěže existovaly a existují technické obory, za nimiž právo více či méně úspěšně klopýtá – jako příklad můžeme uvést třeba právo letecké. Jeho základní principy však vycházejí ze starobylého a osvědčeného práva mořského a kromě speciálních technických fines (které však nemají žádný mravní, ale pouze technický rozměr) jej ve skutečnosti pohodlně vtěsnáme do tradičních právních principů a zásad.
Jinými slovy (a s nadsázkou), je pramalá šance, že při tvorbě a výkladu dnešního práva narazíme na nějaký zásadní problém, který nebyl řešen starším či pozdějším římským právem. S jednou obrovskou výjimkou – internetem. Dopad této technologie svým významem daleko přesahuje třeba význam knihtisku a je srovnatelný snad jen s vynálezem zemědělství či písma. Není vyloučeno, že časem povede k obrovským strukturálním změnám společnosti a tím i právního řádu. Nevíme, vždyť internet je stár teprve pár desetiletí. Už nyní je však jasné, že tradiční právní konstrukce na něj nestačí, že zkrátka přestávají být k použití.
Útěk geeků před právníky
Jako mezititulek jsme si dovolili použít parafrázi slavného výroku minulého pana prezidenta. A to pro ilustrování teze, naznačené v minulém odstavci: nástup internetu byl tak rychlý a natolik změnil způsob, jakým se díváme na tradiční instituty, jako je i ochrana soukromí, že se ocitl v právním vakuu, o němž vůbec netušíme, čím jej vyplnit.
Toto vakuum je spíše ideové, než normativní, nejde o to, že bychom měli málo právních předpisů, jimiž se spojení zákonodárci všech zemí snaží zvrátit (což nelze) nebo aspoň zbrzdit vývoj tam, kde se jim nehodí, a v jiných oblastech (jako je invaze orgánů státu do soukromí uživatelů webu) zase uspíšit. Nebo že bychom měli málo odborníků na „právo informačních systémů“. Jde o to, že nevíme, co by v těch normách mělo být a v čem přesně by se uvedení odborníci měli vyznat.
Generace právníků, kteří už vyrůstali před obrazovkou počítače, právě přebírá veslo; co z toho vzejde, nelze vůbec dohlédnout. Rozhodování soudů je nejednotné a subjektivistické (jak přesně chcete určit hranici mezi právem jednoho na soukromí a právem druhého na informace?). Mezinárodně deklarovaná jednota v boji s „pirátstvím“ a dalšími projevy na internetu jen zakrývá strukturální nekoncepčnost všech pokusů o regulaci internetu a začíná připomínat zákopovou informační válku vlád proti vlastnímu obyvatelstvu. Nikdo nic neví. „Duševní vlastnictví“ například je metafora, sice podnětná, ale stále jen metafora. Tvrdit, že duševní vlastnictví je vlastnictví jako každé jiné (a přiznat mu stejnou ochranu) je jako tvrdit, že e-kniha je kniha jako každá jiná (a zkoušet s ní podepřít almaru). Z toho plyne
Poučení druhé: Přes silná prohlášení a dílčí regulace právníci dosud vůbec netuší, co si s internetem počít. |
Otcové zakladatelé a internet
V čem mezinárodní shoda rozhodně panuje, je vymezení práva na ochranu osobních údajů jako součásti práva na ochranu soukromí. Právě tuto oblast lidského života však opomíjí jeden z nejdůležitějších právních textů vůbec, jímž je americká ústava z roku 1787. (Otcům ústavodárcům se o celosvětové informační síti jistě nezdálo ani v nejděsivějších chiliastických vizích.) Jasně, řeknete si, ale ta má přece dodatky, včetně toho slavného prvního. Problém je, že ani v těchto dodatcích ochranu soukromí nenajdeme. Právní ochrana soukromí v USA je dnes dána především četnými rozhodnutími Nejvyššího soudu USA, která za oceánem působí jako jeden z nejvýznamnějších pramenů práva.
Důvodem velké váhy rozhodnutí amerických soudů, oněch z televize známých „precedentů“ je – pro evropského právníka dosti kuriózní – představa, že právo existuje jaksi objektivně mimo nás a u soudu se přičiněním zúčastněných „nalézá“. Odtud pramení obrovská právní síla judikatury v USA (a též Velké Británii), zatímco u nás je její role daleko menší. (Chceme-li být úplně up-to-date, musíme ještě poznamenat, že v horké současnosti se oba systémy přece jen začínají sbližovat, ale to je na jiné povídání). Za judikaturou Nejvyššího soudu USA ve věci ochrany soukromí, potažmo osobních údajů, však není žádná ucelená koncepce nebo jednotná filosofie, což je častým terčem kritiky (u nás např. znalec amerického práva R. Seltenreich).
Nechceme však nyní vzbudit mylný dojem, že je ochraně osobních údajů věnována v USA menší pozornost. Je tomu právě naopak, tato agenda vznikla právě ve Spojených státech, a to už na počátku šedesátých let. Tehdy totiž vznikl první projekt celonárodního centra, obří databáze, v níž by byly centrálně uchovávány informace o všech obyvatelích USA. Technicky to možné bylo, politicky nikoliv – projekt byl zastaven pro masivní odpor obyvatel. Tehdy se však ochrana mechanicky zpracovávaných osobních údajů poprvé dostala do hledáčku právníků i široké veřejnosti a už v něm zůstala.
Tři hlavní průšvihy Děda Vševěda
Na počátku 80. let už byly alespoň v obrysech známy všechny sporné momenty ochrany osobních údajů ve vztahu k jejich elektronickému zpracování, s nimiž se potýkáme i dnes.
Prvním z nich je proces, který bychom mohli nazvat ztrátou jedinečnosti. Shromáždíme-li o někom určitou masu čísel, která mají silnou výpovědní hodnotu, budeme mít tendenci „zaměnit mapu s krajinou“ a tedy považovat onoho člověka za redukovatelného právě na tyto číselné údaje. Nebezpečí tohoto jevu samozřejmě roste s masou zpracovávaných údajů.
V raném období počítačů, kdy představy o jejich fungování a možnostech čerpali jak právníci, tak i široká veřejnost spíš z (pro nás) srandovních sci-fi filmů, než ze skutečné práce s nimi, mohly obavy z takovéto redukce individua pocházet z prosté technofobie. V současnosti ovšem právě na základě mohutných databází o uživatelích internetu typujeme zločince a teroristy pomocí automatických algoritmů, které se v principu neliší od systémů cílené reklamy, čímž se blaženě vracíme k principu ordálu neboli božího soudu – obojí je vlastně morbidní verze rulety.
Možnost zneužití shromážděných osobních dat už ani nestojí za zmínku. Ze strany orgánů moci i soukromníků k němu dochází neustále. I zde je však patrný rozdíl mezi Evropou a USA (můžeme jen doufat, že ne pouze rétorický). Zatímco státy Evropské unie, vázané unijním právem, kladou shromažďování a správě osobních údajů mnohé právní překážky – a to jak jednotlivcům, tak státům (pionýrem bylo Švédsko v roce 1973), Spojené státy zatím tíhnou ke generování čím dál obsáhlejších souborů dat, k nimž má přístup čím dál větší množství autorizovaných i neautorizovaných zvědavců. Z posledních událostí se můžeme odvážit závěru, že důvěrnost těchto databází prostě nemůže být zachována. Dříve nebo později jejich nejskandálnější části nevyhnutelně někdo vytroubí do světa.
Rizikem popsaným též již na počátku osmdesátek je fakt, že jednou uložená digitální data jsou s námi, měřeno délkou lidského života, navěky. Lze jistě namítnout, že přečíst dnes 5/4 disketu může být velký problém, o děrných páskách nemluvě. Nicméně životnost datových médií dnes již nehraje roli – hostitel (úložiště) se mění, parazit (data) zůstává. Každý zažil nebo udělal věci, kterými se nechlubí na potkání, a nemusí jít jen o zasloužený pobyt v městské šatlavě nebo šavli na maturitním večírku. Ještě nedávno se na podobné věci jednoduše časem zapomnělo, dnes mohou provázet svého autora jako celoživotní stigma. V afektu před 10 lety napsaný názor do banální diskuse může zničit slibnou kariéru. Změnit identitu je dnes snazší než vymazat své digitální stopy. Zapíšeme si teď
Poučení třetí: Problémy plynoucí z elektronického zpracování osobních údajů nejsou nic nového. Diskutuje se o nich bez valných výsledků již čtyřicet let. |
Na popsaná nebezpečí se snaží reagovat legislativa Evropské unie, která jde zejména cestou vytváření specializovaných orgánů, majících ochranu osobních dat v náplni práce. V některém z příštích dílů se podíváme, jak se jí to daří.