Digitální Omnibus: Komise EU chce zničit základní zásady GDPR

• Úplné znění návrhu Komise EU

Největší omezení práv na soukromí za poslední roky. Průmyslové lobbistické skupiny úspěšně využily evropských obav z globálního ekonomického tlaku a požadují masivní omezení digitálních práv Evropanů. Prudké změny, které byly dnes navrženy, mohou narušit více než 40 let trvající jasný evropský postoj proti komerčnímu sledování soukromými subjekty, který je zakotven i v článku 8 Listiny základních práv Evropské unie a který má širokou podporu evropské veřejnosti.

Max Schrems: "Digitální omnibus by přinesl prospěch především velkým technologickým firmám, zatímco průměrným společnostem v EU by nepřinesl žádné hmatatelné výhody. Tato navrhovaná reforma je projevem paniky kolem utváření digitální budoucnosti Evropy, nikoliv projevem vůdčího postavení. To, co skutečně potřebujeme, je strategický, dobře navržený dlouhodobý plán, který Evropu posune vpřed."

Malá politická podpora pro změny. Evropská komise vytáhla tuto reformu GDPR z klobouku navzdory tomu, že většina členských států EU výslovně požádala, aby se GDPR znovu neotevíralo. Kromě toho únik textů minulý týden vyvolal silný odpor středových a levicových skupin Evropského parlamentu (S&D, Obnovit a Zelení), které výslovně vyzvaly Komisi, aby tyto masivní škrty v GDPR zastavila. Kromě toho, 127 organizací občanské společnosti (včetně noyb) ostře kritizovalo nečekaný výpad Komise a únik textu.

Přesto dnes pod vedením předsedkyně Komise Ursuly von der Leyenové, Místopředsedkyně Henny Virkkunen a Michaela McGratha, komisaře pro spravedlnost, komise rozhodla pokračovat v zásadních škrtech v GDPR. Hovoří se o masivním politickém tlaku v rámci Komise, aby byly zákony kráceny - bez řádného procesu a analýzy.

Max Schrems: "Politická podpora těchto škrtů ze strany veřejnosti, členských států a Evropského parlamentu je omezená. Zdá se, že Evropská komise se prostě snaží všechny ostatní převálcovat prostřednictvím "zrychleného" postupu, který vypadá spíše jako panická reakce než jako dobře promyšlená, na důkazech založená tvorba zákonů."

Souvislosti: Vliv Německa nebo USA? Jednou z hnacích sil reformy, za kterou stojí např "papírový důkaz" existuje, je Německo. Některé hlasy poukazují také na nedávnou zprávu serveru Politico, že Virkkunenova zpráva americkým podnikům při přímých jednáních zněla, že EU bude "přívětivější k podnikům". Existuje také zprávy o zvyšujícím se tlaku ze strany Trumpovy administrativy na EU, aby omezila ochranu a vyhnula se tak clům.

I když není jasné, odkud přesně tento tlak pochází, je zřejmé, že Evropská komise překvapivě a skrytě vykročila daleko za hranice původního plánu "digitálního omnibusu", který by měl ne zahrnovat změny GDPR.

Evropská komise "postupuje rychle - a porušuje věci". Zdá se, že namísto toho, aby se Evropská komise držela původního plánu "kontroly digitální kondice" v roce 2026, která by měla snížit administrativní zátěž, řídila se heslem Silicon Valley a "rychle se hýbat a rozbíjet věci" a prosadila reformy základních pravidel ve zrychleném řízení. Absence jakéhokoli posouzení dopadů nebo shromažďování důkazů hází přes palubu dlouhodobě zavedené zásady minimálních standardů pro tvorbu právních předpisů EU a následuje "trumpovský" typ nepravidelných změn . Důsledkem je velmi špatná příprava a zákon, který neodpovídá svému účelu.

Max Schrems: "K těmto změnám došlo bez řádných postupů a nejsou založeny na důkazech, ale spíše na strachu a tvrzeních průmyslu. 'Rychle jednat a rozbít věci' není heslo, které by fungovalo při prosazování právních předpisů ovlivňujících nejen životy 450 milionů lidí, ale v konečném důsledku i řádné fungování našich společností a demokracií."

"Tunelové vidění umělé inteligence". Zdá se, že cílem navrhované reformy GDPR je především odstranit veškeré překážky, které by mohly omezit využívání osobních údajů, například údajů ze sociálních sítí, pro umělou inteligenci. Mnohé z těchto změn by však měly obrovské důsledky pro společnost v jiných oblastech než v oblasti UI, například v oblasti online reklamy.

Max Schrems: "Umělá inteligence může být jednou z nejvlivnějších a nejnebezpečnějších technologií pro naši demokracii a společnost. Nicméně narativ o 'závodě o umělou inteligenci' vedl politiky dokonce k tomu, že vyhodili z okna ochrany, které nás měly přesně chránit před tím, aby všechna naše data putovala do velkého neprůhledného algoritmu."

Žádné výhody pro evropské malé a střední podniky - ale otevření stavidel pro "velké kluky". Navzdory častým slibům, že uleví především malým evropským podnikům, jsou navrhované změny cokoli než zjednodušení. Většina článků se stává složitější, nepřehlednější a nelogičtější. Místo aby se Komise snažila snížit potřebu papírování (což je hlavní problém evropských podniků), zavádí právní mezery, které budou moci využívat pouze velké korporace a velké advokátní kanceláře.

Max Schrems: "Komise sice neustále tvrdí, že tato reforma bude dobrá pro malé podniky, ale pro ně je v těchto změnách jen velmi málo. Změny zavedeného práva pouze zvýší koncentraci trhu, vyvolají větší právní nejistotu, vyvolají nové soudní spory a budou vyžadovat dražší právní poradenství. Jediným skutečným příjemcem jsou zde velké technologické a právní firmy."

Smrt tisícem řezů. Podle říjnové veřejné konzultace Komise se měly aspekty návrhu týkající se ochrany údajů zaměřit především na řešení únavy z "cookie bannerů". Dnes však Komise předložila hloubkové škrty v GDPR. Zdá se, že mnohé z těchto škrtů porušují nebo jsou přinejmenším v rozporu s právem na ochranu údajů podle článku 8 Listiny základních práv EU.

Zde je první přehled hlavních problémů:

(1) Nová mezera v GDPR prostřednictvím "pseudonymů" nebo "ID". Komise navrhuje výrazně zúžit definici "osobních údajů" - což by vedlo k tomu, že by se GDPR nevztahovalo na mnoho společností v různých odvětvích. Například na odvětví, která v současnosti fungují prostřednictvím "pseudonymů" nebo náhodných identifikačních čísel, jako jsou zprostředkovatelé údajů nebo reklamní průmysl, by se již (plně) nevztahovala. To by se provedlo přidáním "subjektivního přístupu" do textu GDPR.

Namísto objektivní definice osobních údajů (např. údajů, které jsou spojeny s přímo či nepřímo identifikovatelnou osobou) by subjektivní definice znamenala, že pokud by konkrétní společnost tvrdila, že (zatím) nemůže nebo nemá za cíl (v současné době) identifikovat osobu, přestane se na ni GDPR vztahovat. Takové rozhodování případ od případu je ze své podstaty složitější a je vším, jen ne "zjednodušením". Znamená to také, že údaje mohou být "osobní" nebo ne v závislosti na vnitřním uvažování společnosti nebo vzhledem k okolnostem, které v daném okamžiku má. To může také zkomplikovat spolupráci mezi společnostmi, protože některé by pod GDPR spadaly a jiné ne.

Dále by takový "subjektivní" definice znemožňuje uživatelům nebo úřadům zjistit, zda se na ně GDPR v každém jednotlivém případě vztahuje. V praxi to může způsobit, že GDPR bude jen těžko vymahatelné kvůli nekonečným debatám a neshodám o skutečných záměrech a plánech společnosti.

Max Schrems: "Je to jako zákon o zbraních, který se na zbraně vztahuje pouze tehdy, když majitel potvrdí, že je schopen se zbraní zacházet a hodlá někoho zastřelit. Je zřejmé, jak absurdní jsou takové subjektivní definice."

(2) Stahování osobních údajů z vašeho zařízení? Ustanovení čl. 5 odst. 3 nařízení ePrivacy dosud chránilo uživatele před dálkovým přístupem k údajům uloženým v "koncových zařízeních", jako jsou osobní počítače nebo chytré telefony. To vycházelo z práva na ochranu komunikací podle článku 7 Listiny základních práv EU a zajistilo, že společnosti nemohou "dálkově prohledávat" zařízení.

Komise nyní přidává "bílé seznamy" operací zpracování pro přístup ke koncovým zařízením, které by zahrnovaly "souhrnné statistiky" a "bezpečnostní účely". Ačkoli je obecný směr změn pochopitelný, formulace je extrémně liberální a umožnila by i nadměrné "prohledávání" uživatelských zařízení pro (nepatrné) bezpečnostní účely.

(3) Školení umělé inteligence Meta nebo Google s osobními údaji EU? Když Meta nebo LinkedIn začaly používat údaje ze sociálních sítí, bylo to značně nepopulární. V nedávné studii např pouze 7 % Němců uvedlo, že si přejí, aby Meta používala jejich osobní údaje k tréninku umělé inteligence. Nicméně Komise chce nyní povolit používání vysoce osobních údajů (jako je obsah více než 15 let starého profilu na sociálních sítích) pro trénink AI velkými technologiemi.

Max Schrems: "Neexistuje absolutně žádná veřejná podpora pro to, aby Meta nebo Google zahrnovaly osobní údaje Evropanů do svých algoritmů. Celé roky nám bylo říkáno, že se lidé nemají obávat, protože naše osobní údaje budou použity k našemu "propojení", nebo v lepším případě budou použity pro cílení nějaké reklamy. Nyní jsou všechny vaše údaje strkány do algoritmů společností Meta, Google nebo Amazon. Díky tomu mohou systémy umělé inteligence snáze znát i ty nejintimnější detaily - a následně s lidmi manipulovat. Z toho těží především americký průmysl v hodnotě bilionu dolarů, který na základě našich osobních údajů vytváří modely."

Evropská komise předpokládá, že uživatelé se mohou odhlásit, ale společnosti ani uživatelé obvykle nevědí, čí údaje jsou v tréninkovém souboru dat. I kdyby to věděli, uživatelé by se museli odhlásit tisíckrát ročně, kdykoli by jiná společnost trénovala algoritmus s jejich údaji.

Max Schrems: "Přístup opt-out v praxi nefunguje. Společnosti nemají údaje o smlouvách uživatelů a uživatelé nevědí, kdo trénuje na základě jejich údajů. Tento přístup opt-out je snahou Komise položit fíkový list přes tuto zjevně nezákonnou činnost zpracování."

Komise nechce upřednostnit pouze školení systémů umělé inteligence, ale také "provoz" těchto systémů. To by se rovnalo "divoké kartě", kdy by se jinak nezákonné zpracování stalo legálním jen proto, že se provádí pomocí UI.

Max Schrems: "Obvykle rizikovější technologie musí splňovat vyšší standard. Návrh Komise nyní otevírá stavidla, jakmile je umělá inteligence použita - zatímco tradiční zpracování údajů by stále spadalo pod stávající zákony. To je šílené."

(4) Práva uživatelů zkrácena téměř na nulu - na německou žádost? Na základě vnitrostátní debaty o tom, že přístupová práva podle GDPR mohou být použita k prokázání např. neplacení v pracovních smlouvách, se na základě Německá vláda požadovala masivní omezení těchto práv - a takové použití zarámovala jako "zneužití", přestože GDPR již obsahuje ustanovení o "zneužití". Komise se tímto německým požadavkem řídila a navrhuje omezit používání práva na přístup k údajům pouze na "účely ochrany údajů".

To naopak znamená, že pokud zaměstnanec využije žádost o přístup v pracovním sporu o neproplacené hodiny - například k získání záznamu o odpracovaných hodinách - mohl by ji zaměstnavatel odmítnout jako "zneužívající". Totéž by platilo pro novináře nebo výzkumné pracovníky. Při širším výkladu by to mohlo jít ještě dál. Pokud osoba požádá o přístup ke svým údajům, aby následně vymazala nepravdivé údaje o úvěrovém hodnocení a získala tak v bance levnější úvěr, nemusí být taková práva uplatňována čistě z důvodu "ochrany údajů", ale z ekonomického zájmu.

Toto omezení je jasným porušením judikatury Soudního dvora EU a čl. 8 odst. 2 Listiny. Právo na informační sebeurčení má výslovně za cíl vyrovnat informační propast mezi uživateli a společnostmi, které informace uchovávají, neboť stále více informací se skrývá na serverech společností (např. kopie výkazů pracovní doby). Soudní dvůr EU již několikrát rozhodl, že tato práva lze uplatnit za jakýmkoli účelem - včetně vedení soudních sporů nebo vytváření důkazů.

Max Schrems: "Tato změna je jasným porušením Listiny a judikatury Soudního dvora EU. Správci po celé Evropě ji využijí k dalšímu oslabování práv uživatelů. Skutečnost je taková, že nemáme široce rozšířené zneužívání práv vyplývajících z GDPR ze strany občanů, ale že máme široce rozšířené nedodržování ze strany společností. Ještě větší omezení práv uživatelů ukazuje, jak je Komise odtržena od každodenní zkušenosti uživatelů."