Korporace shromažďují údaje o uživatelích zcela běžně, ty soukromé s cílem maximalizace zisku skrze adresnější reklamu či cílenější služby; veřejnoprávní korporace zas s cílem boje proti kriminalitě – tedy alespoň v to doufáme.
V lednu letošního roku se na televizní obrazovky, alespoň na malou chvíli, vrátil kultovní seriál Akta X, který v devadesátých letech takřka definoval populární kulturu své doby. Především na druhé straně Atlantického oceánu to byla doba nebývalé paranoie, nedůvěry vůči státním institucím, strachu z budoucnosti a nejrůznějších konspiračních teorií. Právě na těchto náladách stavěla Akta X – ačkoli se jejich pozdější série dostaly do povědomí spíše díky příběhům o mimozemských návštěvnících, seriál ve svých začátcích (a ještě s mnohem skromnějšími rozpočty) sázel především na příběhy o masovém špehování občanů, zneužívaní osobních dat zkorumpovanými úředníky a všudypřítomné orwellovské kontrole. Není se čemu divit, že se aktuální série vzkříšeného seriálu nevrací ke kořenům, ale navazuje právě na příběhy o mimozemšťanech – masové sledování a paranoia kolem něj není již výsadou fikce, nýbrž každodenní realitou. Korporace shromažďují údaje o uživatelích zcela běžně, ty soukromé s cílem maximalizace zisku skrze adresnější reklamu či cílenější služby; veřejnoprávní korporace zas s cílem boje proti kriminalitě – tedy alespoň v to doufáme.
NSA a shromažďování osobních informací
Většina informací, které od svého bývalého zaměstnavatele NSA (operující se zdaleka největším rozpočtem mezi americkými federálními informačními agenturami) vynesl whistleblower Edward Snowden, se nepotvrdila, a odkazovat na něj je spíše jakýmsi folklorem. Nejzávažnějším odhalením Snowdena je patrně program PRISM, veškeré informace o něm však byly dovozené z interní powerpointové prezentace, k níž navíc není jasné, jakým způsobem Snowden získal přístup – náplní jeho spolupráce s NSA bylo zabezpečování počítačových sítí proti útokům zejména čínských hackerů. PRISM měl spočívat v tom, že velké americké internetové společnosti jako Microsoft, Yahoo, PalTalk, AOL, Skype, YouTube a Apple byly donuceny ke spolupráci s NSA a otevření svých databází pro vyšetřovatele. Později však vyšlo najevo, že PRISM nebyl žádnými zadními dvířky, nýbrž pouze jakousi interní směrnicí a technickým ujednáním, které mělo analytikům usnadnit přístup k údajům, které byly společnostmi vydány na základě soudního příkazu v rámci vyšetřování trestných činů. Kdyby však byl odhalen další, podobný program a jeho pravdivost by se prokázala, patrně by to málokoho překvapilo. Masové sledování je součástí ducha současné doby, a i kdyby se člověk odřezal od internetových technologií, všudypřítomným kamerám, které jsou samozřejmostí dnes již i v českých městech a budovách, se vyhne stěží.
USA vs. EU: legislativní ochrana uživatelských dat
Internetové služby mají globální dopad a odmyslíme-li si umělá omezení vynucená státy či držiteli autorských práv, je web v principu stejný pro uživatele z celého světa. Zároveň platí, že většina největších internetových společností, především těch, které ve velkém spravují uživatelské údaje, pochází ze Spojených států – Google, Facebook, Apple či Microsoft. Jejich datová centra se nacházejí především (ne však výlučně) na americké půdě a tedy i údaje o uživatelích, třeba i těch z Evropy, se často „fyzicky“ nachází na území USA. Legislativní bezproblémovost této situace 15 let zaručovalo rozhodnutí Komise 2000/520/EC, které definovalo režim tzv. bezpečného přístavu (safe harbor) dovolující zahraničním společnostem shromažďovat osobní údaje Evropanů, pokud společnost dodržuje podmínky nastolené směrnicí 95/46/EC, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Především ve světle podezření vznesených Edwardem Snowdenem, která naznačují, že veškerá osobní data nacházející se fyzicky na území USA jsou shromažďována, analyzována a potenciálně zneužívána NSA, bylo však toto rozhodnutí Komise soudně napadeno. Soudní dvůr Evropské unie ve svém rozsudku z počátku října loňského roku prohlásil rozhodnutí Komise za neplatné. Dle rozsudku mají mít členské státy možnost posuzovat dopad předávání dat do zahraničí a nelze automaticky předpokládat, že jsou data chráněna. Především v případě Spojených států nebyla dokázána dostatečná ochrana osobních údajů ze strany legislativy i veřejných orgánů a američtí uživatelé mají v této oblasti méně práv než ti evropští. Tamější veřejné orgány mají navíc k osobním údajům širší přístup, než je nezbytné, a tedy standard ochrany soukromí Evropanů se snižuje pouhým transferem těchto údajů mimo Evropu.
Rozhodnutí běžné uživatele prakticky nijak neovlivnilo, kromě jiného také proto, že většina údajů ke službám internetových gigantů se v USA nachází již od počátku. Poskytovatelé internetových služeb si pouze musí dát pozor, aby nedocházelo k nekontrolovanému internímu převádění dat mezi servery směrem ven z EU, což by vedlo k porušování práva. Změnu pocítily spíše společnosti, které například outsourcují některé své činnosti mimo Unii. Došlo opravdu ke zvýšení standardu ochrany dat občanů EU tím, že jejich data již nejsou vystavena nechtěnému špehování na americké straně? Americké veřejné orgány skutečně mají širší pole působnosti, co se týče přístupu k citlivým datům, z nichž navíc řada podléhá režimu utajení. Za zmínku také stojí větší koncentrace pravomocí v rukou centralizovaných federálních orgánů – Evropská unie zatím žádnou „federální“ tajnou službu nemá a tyto kompetence jsou téměř výlučně v působnosti členských států, což poslední rozsudek Soudního dvora EU jenom podtrhl (třeba v České republice je dle současného právního stavu vyžadováno pro převod dat mimo EU povolení Úřadu pro ochranu osobních údajů). Soudní dvůr EU navíc v poslední době zaujal nebývale aktivní přístup k prohlubování ochrany citlivých údajů, připomeňme třeba právo „být zapomenut“ poskytovatelem internetových služeb, jež soud dovodil v roce 2014 a jež v USA nemá obdobu. Právo uživatele nebýt proti své vůli sledován poskytovatelem webových služeb se vztahuje, snad tím spíše, i na uživatele, kteří dané stránky pouze navštíví a nevytvoří si na nich účet. Francouzský úřad pro ochranu osobních údajů uložil koncem ledna společnosti Facebook povinnost, aby do tří měsíců změnila způsob, jakým informuje neregistrované návštěvníky svého webu o tom, jestli a jak bude nakládáno s informacemi o nich. Rovněž Facebooku zakázal převádět jakákoli osobní data uložená v Evropě do USA, v souladu s aktuálním právním stavem.
EU-US Privacy Shield
Aktuální právní stav je však neudržitelný z řady důvodů. Svazuje ruce společnostem, které vyvážejí osobní údaje z důvodu efektivity a šetření nákladů, což může vést k prodražení výrobků a služeb – připomeňme, že společnosti jako Google nebo Facebook pochází z USA a nemají žádnou použitelnou evropskou alternativu. Z dlouhodobého hlediska je neexistence efektivního režimu sdílení dat překážkou i pro plánované sjednocení vnitřních trhů EU a USA, TTIP, jež je strategickým cílem obou stran. Nakonec ani to, že data zůstanou v EU, zcela nezaručuje jejich bezpečí, zvláště když k nim mají potenciálně přístup vládní agentury členských států, z nichž řada prohlásila nekompromisnost v boji proti terorismu, i za cenu omezování soukromí. Ačkoli není zcela nezbytné, aby byla bezpečnost posilována na úkor práva na soukromí, v hysterii po pařížských teroristických útocích jsou slyšet především hlasy volající po posílení bezpečnosti za každou cenu. Vypadá to, jakoby z této trajektorie nebylo cesty zpět, a tedy je pokrytecké ukazovat prstem na americké standardy, když ty evropské se pouze zhoršují. Řešením by samozřejmě bylo zřízení evropské tajné služby s „federální“ pravomocí, jež by ctila standardy, k nimž se hlásí Soudní dvůr EU. To je ale v současné době v nedohlednu.
Počátkem února oznámila Evropská komise, že bylo dosáhnuto rámcové úmluvy mezi EU a Spojenými státy o novém režimu transferu dat mezi EU a USA. Nová dohoda má pracovní název Privacy Shield (tedy štít pro ochranu soukromí). Jednání probíhala za zavřenými dveřmi a zatím existuje poměrně málo detailních informací o dohodě. Nový režim má vyžadovat přísnější pravidla pro americké společnosti nakládající s osobními údaji Evropanů, rozšířené kontrolní a vynucovací povinnosti pro americké federální orgány, transparentnost a účinnou právní ochranu pro případ porušení individuálních práv – má být třeba jmenován nezávislý ombudsman, který by posuzoval stížnosti občanů EU poškozených nevhodným nakládáním s jejich osobními údaji ze strany amerických úřadů. Eurokomisařka Věra Jourová 8. února oznámila, že znění dohody se nyní dokončuje a mělo by být zveřejněno do konce února. Pracovní skupina složená ze zástupců úřadů pro ochranu osobních údajů jednotlivých členských států (Working Party 29, WP29) by pak do konce března měla vydat stanovisko, jestli je Privacy Shield v souladu s evropským právem a jestli neexistuje předpoklad, že by je mohl Soudní dvůr EU zrušit ze stejných důvodů jako Safe Harbor.
Existence dohody dává naději, že EU a USA dokážou najít společnou řeč i v takových složitých otázkách, jako je ochrana osobních údajů jejich občanů, a je naděje, že obdobným, ryze technickým způsobem, bez politického náboje, půjdou vyřešit i další neshody stojící v cestě třeba implementaci TTIP. Bylo by však naivní očekávat, že dojednání nového právního režimu automaticky povede ke změně politiky amerických státních orgánů a tamějšího standardu ochrany osobních údajů ve světle boje proti terorismu.
Není divu, že vzkříšená Akta X byla přijata diváky i kritiky velice vlažně. Všudypřítomná kontrola, která ještě před pětadvaceti lety byla náplní napínavé fikce, je dnes nudnou realitou a není kvůli ní potřeba zapínat Akta X, pouze aktuální zprávy. Když další Edward Snowden zveřejní materiály o snad ještě širších pravomocech tajných služeb v oblasti sběru dat, většina lidí pravděpodobně pouze pokrčí rameny a přepne kanál.
Vladimír Bízik působí jako spolupracovník Analytického týmu think-tanku Evropské hodnoty.