Obecné nařízení k ochraně osobních údajů se na evropské úrovni diskutuje od ledna roku 2012. Z pohledu Seznam.cz je červenou linií návrhu jednostranné vymezení povinností pro správce osobních údajů, uplatnění principu „presumpce viny“, značný prostor pro subjektivní výklad klíčových ustanovení a nedomyšlenost dopadů pro práci s daty, nejen těmi osobními.
Přetrvávající existenci řady sporných opatření, včetně samotné definice osobního údaje a nakládání s ním v digitálním světě, jsme si opětovně ověřili na konci května 2015, kdy se zástupci Seznam.cz (Michal Feix a Libor Manda) sešli v Bruselu se zpravodajem uvedeného nařízení v Evropském parlamentu (EP) Janem P. Albrechtem a jeho poradcem Ralfem Bendrathem.
Byť jsme v debatě s MEP Albrechtem otevřeli řada témat, mezi jinými i profilování, zpracování údajů dětí do 13 let věku či přenositelnost dat, největšímu prostoru se v souhrnu dostalo schopnosti identifikovat konkrétní osobu, či tuto učinit identifikovatelnou. A to s odkazem na možnost propojit online identifikátory, typu souborů cookies či IP adres, s ostatními daty.
Pozice MEP Albrechta a jeho poradce byla následující: „pokud správce údajů neidentifikuje prostřednictvím online identifikátorů či jejich propojením s dalšími dostupnými informacemi/daty konkrétní fyzickou osobu, nebo tuto neučiní přímo či nepřímo identifikovatelnou, návrh nařízení k ochraně osobních údajů se na něj vůbec nevztahuje.“ Naše technicky zaměřené dotazy k okolnostem, za kterých leze či nelze na online identifikátor pohlížet jakožto na osobní údaj, opakovaně vysvětloval argumentem, že nařízení se na obsahové společnosti v podstatě vůbec nemusí vztahovat.
Přestože by pro nás mohlo být opakované ujišťování od jednoho z hybatelů nařízení pozitivní zprávou, čteme dotčené skutečnosti jinak. Neuralgickým bodem citovaného přístupu je odlišný výklad „přímo či nepřímo identifikovatelné osoby“. Recitativ 23 nařízení si identifikovatelnost fyzické osoby spojuje s „přihlédnutím ke všem prostředkům, o nichž lze důvodně předpokládat, že je správce nebo jakákoli jiná osoba použijí pro přímou či nepřímou identifikaci dané osoby“. Stejná část nařízení dále zmiňuje potřebu vzít v potaz všechny objektivní faktory (náklady a čas na zjištění), a to s přihlédnutím k dostupné technologii a technologickému rozvoji obecně.
Převedeme-li uvedené do praxe, vyvstává nám zde mnoho zajímavých procesních i technických otázek. Mezi jinými i následující, s nimiž jsme opětovně oslovili poslance Albrechta:
1) Je správce zodpovědný za zpracování osobních údajů za předpokladu, že má technické prostředky a kapacitu k propojení on-line identifikátorů s dalšími daty, ale nechce jich využít k identifikaci fyzické osoby? Bude tento spadat do platnosti nařízení k ochraně osobních údajů?
2) A co správce, kterého od záměru identifikovat konkrétní fyzickou osobu, dělí pouze stávající nedostatečná technologická či kapacitní nevybavenost? Jak se bude nahlížet na něj?
3) Jak bude správce osobních údajů prokazovat, že nezpracoval konkrétní osobní údaje (např. když k tomu bude vyzván danou fyzickou osobou či národním úřadem pro ochranu osobních údajů)? Navíc, neměl by zde platit obecný právní princi, kdy se dokazuje vinna, nikoli opak?
4) Je výše prezentovaný přístup ke zpracování osobních údajů jednoznačně obsažený/zřejmý z návrhu nařízení? Dle nás tomu tak není.
Máte-li názor k diskutovanému návrhu nařízení k ochraně osobních údajů, či nám prostě chcete poskytnout odpověď či komentář na výše položené otázky, uvítáme to. Třeba nám pomůžete změnit náš dosavadní pohled na nařízení coby na normu, která ve svém důsledku rozhodně nepřispěje ke zvýšení právní jistoty pro všechny zúčastněné.