Radime, zpracování a ochraně osobních údajů se věnuješ již řadu let. Ať už jako pověřenec pro ochranu osobních údajů ve velkých mezinárodních společnostech, nebo jako konzultant či auditor. Svoji kariéru jsi začal v oblasti IT a informační bezpečnosti. Jak jsi se dostal k ochraně osobních údajů, což je přeci jenom trochu jiná oblast, byť přesahů do informační bezpečnosti je tam dost?
Pro mě je celé IT vlastně o lidech. Důvodem pro existenci komerčních firem je, že jsou tu zákazníci a na nich se dají vydělat peníze. Když je jich hodně, tak agenda kolem služeb pro zákazníky už nejde dělat ručně a musí se to podpořit nějakou technologií. Od toho tu je IT, tedy aby to fungovalo a bylo to rychlé a při daném vstupu se nakonec objevil i správný výstup.
Problém je, že jakmile se použije nějaký systém, tak ten obsahuje data o zákaznících a zaměstnancích, kteří kolem toho fungují a ta data jsou cenná. Proto je třeba zajistit, že se k datům dostanou jen ti povolaní a že se do IT prostředí nedostane zvenčí žádná škodná.
Tím se tedy IT a automatizace spojuje s oblastí ochrany informací a kybernetické bezpečnosti?
Přesně tak, na hřiště přichází Informační bezpečnost a ochrana osobních údajů. Bezpečáci umí data a systémy výborně zabezpečit a nejlépe to umí pomocí různých sofistikovaných nástrojů, kamer, monitoringu, apod. A pak také tu jsou obchoďáci, kteří si dříve či později všimnou, že mají systémy plné dat a zkusí nad tím spáchat nějakou marketingovou magii, s cílem, aby víc prodali. A to je okamžik, kdy je nutné uplatnit pravidla pro ochranu osobních údajů. V principu je to asi každému jasné, ale v praxi všechno stojí peníze a pokud nikdo nepřijde s bičem v podobě zákaznického auditu, pokuty za nesoulad se zákonem, povinností zápisu do nějakého katalogu, povinností hlásit incidenty, tak se tím málokterá firma dobrovolně bude zabývat.
No a já se k tomu také dobral praxí. Po škole jsem začal jako ITík. Ta firma patřila do obřího koncernu, ale byl to startup. IT bylo malinké a muselo obsáhnout růst firmy, takže v IT jsem si sáhl téměř na vše, co bylo v té době zajímavé. A pak přišly otázky kolem bezpečnosti, incidenty, potkal jsem korporátní bezpečnostní politiky. Tak jsem prošel pár školení, udělali jsme velký bezpečnostní projekt a mě to pohltilo. Jenže startup se pak přesunul do režimu „šetři, kde můžeš“. Když jsem dostal nabídku odejít dělat informační bezpečnost jako regionální manažer, tak jsem odešel. Měl jsem na starosti Česko a Slovensko jako lokální information security manažer a také region střední a východní Evropy jako regionální manažer, a byl ze mě najednou byl bezpečák. Protože to bylo v německé firmě, kde povinnost jmenovat pověřence pro ochranu osobních údajů (DPO) byla dána zákonem dávno před GDPR, v rámci mého regionu jsem také instaloval a školil DPO. V té době tam jiné oddělení Data Privacy nebylo, takže regionálové dělali vedle bezpečnosti i Data Privacy, a tak jsem se už docela dlouho před příchodem GDPR dostal ke zkušenostem z oboru, které se mi pak velmi hodily později.
Ta doba po roce 2007 byla bouřlivá a firma neustále hledala stabilní model fungování a po 5 letech neustálých pokusů jsem se rozhlížel po něčem stabilnějším. A dostal jsem nabídku od velké americké firmy, která se chtěla připravit na příchod GDPR a musela být v souladu s národními zákony. Dostal jsem velkorysou nabídku tam vybudovat Globální Data Privacy program. A jelikož ta firma vyráběla medicínská zařízení, tak vše muselo být uděláno pořádně, aby to obstálo před zkoumavým okem regulátorů. Při zápisu produktu na trh v EU, třeba ve Francii, není problém vyprodukovat klidně metr spisů, které je nutné předložit zdravotnímu regulátorovi, a ochrana osobních a citlivých dat je důležitou součástí.
V roce 2016 už bylo jasné, s čím přijde GDPR a mě přišlo logické jít dělat Pověřence pro ochranu osobních údajů, protože DPO, tedy alespoň tak jak to bylo myšleno v GDPR, tu je především jako kontakt pro lidi, sekundárně jako kontakt a propojení pro regulátora a teprve terciálně jako opatření v rámci firemní compliance. Bohužel implementace GDPR se ujali především právníci a vlastně to celé posunuli do jiné roviny, nemluvě o tom, že český zákon, je v některých aspektech dosti nešťastný. Mluvím o tom, jak stát lidem demonstroval, že lidi tu jsou kvůli státu, takže ať koukají zákony dodržovat, ale ať všichni zapomenou na nějaké pokutování státu. Nikdo lidem pořádně neřekl, co jim to má vlastně přinést, proč se to dělá a že GDPR bylo vlastně koncipované jako ochrana jejich soukromí proti státu a velkým organizacím. Podle mě promarněná příležitost.
Působil jsi v německých i amerických firmách, viděl jsi tam nějaký zásadní rozdíl v přístupu k ochraně osobních údajů?
Vzpomínám si na diskusi, kterou jsem vedl se svým americkým šéfem, jež byl v roli Chief Privacy and Security Officer a synergicky řešil obě oblasti. Ptal jsem se ho, proč se tomu mimo EU vlastně říká Data Privacy a v EU Data Protection a jak tomu globálnímu programu budeme říkat my. Ve zkratce Američané to brali od začátku jako ochranu soukromí a v duchu pionýrů oboru, u nichž vše začalo ve filozofických debatách nad právem být ponechán všemi na pokoji, tedy „right to be alone“. V tomto pojetí byl středobodem činění jednotlivec. V Americe v té době moc zákonů kromě HIPAA, HITECH, COPPA a něco specificky k půjčování videokazet, v oblasti ochrany PII nebylo. Ale když už, tak ty zákony stavěly konkrétního člověka, zákazníka, či pacienta do hlavní role, exisoval k nim silný regulátor a mohli využít institutu hromadných žalob. V EU ale především Němci prosadili své pojetí „datenschutz“, čili ochranu dat a vyšli přitom ze zkušeností se zneužitím dat o obyvatelích státem za druhé světové války. Hlavním cílem bylo zabránit organizacím všech velikostí, a to včetně států, které z nějakého důvodu mají data o lidech, aby je mohly zneužít a měly vrch nad občany a chtěli to udělat poněmecku pořádně. Na první pohled ty principy jsou sice podobné, ale při bližším zkoumání je tam velký rozdíl.
Možná je i toto jedním z problému GDPR, kde je obojí v rámci jednoho zákona, a kde se perou principy ochrany soukromí a práv jednotlivců s pojetím ochrany dat ze strany organizací pomocí compliance požadavků. Různé země v EU si ty dvě části GDPR vyvažují různě. No ale dnes nejzajímavějším pojetí má asi Čína, jejíž zákony jsou psané extrémně vágně, ae pod velkými sankcemi, takže i nedrsnější globální orgnizace si velmi dávají pozor, co mohou. A vedle toho tam je stát a strana, keré mohou naprosto cokoli a pro něž neplatí žádné hranice a všem to asi přijde normální.
GDPR se profesně zabývají dvě hlavní kategorie lidí: Právníci a technici. Ty patříš do té druhé. V čem spatřuješ výhody a v čem naopak nevýhody svého vzdělání a předchozí profesní kariéry při praktickém řešení GDPR?
Jako DPO se zkušenostmi z bezpečnosti a IT jsem viděl všem pod ruce. Uměl jsem diskutovat se všemi v daném „potravním řetězci“, a bylo tak možné nastavit rozumná pravidla, která chránila soukromí a zároveň minimálně omezovala business. Porovnávám to s papírovými tygry, kde sice firmy měly za hodně peněz hodně dokumentů, politik, noticek apod., ale často to vůbec neodpovídalo tomu, co firma organizace s daty skutečně dělá. Když jsem dělal ten globální data privacy program, tak mým partnerem byl právník – odborník na mezinárodní právo. Já nadhodil možná řešení, on vyhodnotil právní rizika a spolu jsme předložili návrh vedení firmy. Já to řešil z pohledu subjektů údajů a rizik vůči právům a svobodám jednotlivců a zároveň tak, aby to bylo technicky řešitelné a bezpečné, zatímco on to řešil z pohledu zájmů firmy a compliance rizik. Tím jsme se vyhnuli konfliktům zájmů a nacházeli jsme tak celkem dobrá řešení.
Dá se říci, který z těchto „backgroundů“, právo nebo IT/informační bezpečnost, je v každodenní praxi lepší? Co se musí jedni od druhých především učit?
Podle mě je v tomto oboru nezbytné obojí. Ale vše má svůj čas a místo v rámci životního cyklu, kterým posuzování privacy rizik prochází, tedy pokud to právě neskončí jen tím papírovým tygrem. Znám i kvalitní právníky, kteří mají IT background a jsou excelentními odborníky v oblasti zpracování a ochrany osobních údajů. Chápou, jakou roli mají data, jak ta data vznikají, jaké jsou IT a bezpečnostní rizika a umí to aplikovat při nastavování procesů. Takový právník pak může být skvělým pověřencem, tedy pokud se skutečně dokáže přepínat mezi rolemi.
Já to někdy přirovnávám k rozdílu mezi žalobcem a obhájcem. Oba jsou u stejného soudu – tedy organizace – a oba řeší stejné osoby – tedy pachatele případně poškozené, jimž u GDPR říkáme subjekt údajů. Ale asi každý chápe, že mají úplně jiné cíle a kopou za jiný tým. Mnoho právníků bohužel neumí vystoupit z tradiční role podnikového právníka, kdy místo aby chránili zájmy subjektů, raději urputně hledají jakoukoli skulinku v paragrafech, nebo takový právní názor, který organizaci umožní udělat cokoli ji napadne, jen aby nemuseli vedení říct, že se něco nesmí, nebo je to třeba neetické.
Naopak ITík, či bezpečák musí navnímat celkem mnoho zákonů a kliček, musí umět mluvit i s nejvyšším vedením organizace, musí umět obhájit svůj program a náklady, musí umět mluvit s právníky a nesmí uplatňovat rigidní Booleanovské vidění světa, protože svět není černobílý.
Již desátým rokem jsi členem programového výboru mezinárodní bezpečnostní konference IS2 - International CyberSecurity Conference. Jak moc na této akci rezonovalo GDPR v letech 2017-2018? A je to téma i dnes?
Na IS dvojce máme GDPR, resp. ochranu osobních údajů, na programu ve větším či menším měřítku vlastně odjakživa. V roce 2024 se bude konat už 25. ročník a oproti jiným konferencím je naše akce nekomerční. Vystupující nesmějí mluvit o produktu, který chtějí někomu prodat, ale o reálném a aktuálním problému a jeho řešení. Od roku 1995, respektive v ČR od roku 2000, kdy vyšel původní zákon č. 101/2000 Sb., o ochraně osobních údajů, patří ochrana soukromí rozhodně mezi problémy, kterým se v IT světě je nutné věnovat.
Pravdou je, že témata přichází a odchází v takových vlnách. Takže za mé paměti ochrana soukromí nejvíc rezonovala kolem roku 2016 až 2018, kdy se všichni báli, že i v ČR bude GDPR vymáháno podobně jako třeba v Nizozemí, Francii či Německu. Potom to maličko ustoupilo, ale Max Schrems se svými žalobami na Facebook postaral o to, že téma přenosů osobních údajů rozhodně nevyčpělo. Vedle toho Evropský sbor pro ochranu osobních údajů (EDPB začal s „vynucovacími akcemi“, koordinovanými kontrolami nejprve zaměřenými na cookies, letos zaměřených na pozici pověřenců. I když se na nás valí nová témata, jako třeba DMA, DSA, NIS2 nebo DORA, a za dveřmi už se obouvá AI Act a AI liability Act, GDPR ještě zdaleka neřeklo poslední slovo a na konferenci ještě dlouho bude patřit. Ono ta témata navíc nejsou izolovaná, a třeba AI spojuje obrovské množství různých regulací a problémů a otvírá nové a nové Pandořiny skříňky. A to je a pochopitelně dále bude oblíbené téma pro konference.
Jaká témata jsi nejčastěji řešil, nebo pro tebe byla nejnáročnější, jako DPO v mezinárodní společnosti? A s čím se často potýkají české střední a menší firmy, kterým pomáháš jako externí poradce a konzultant?
Zkusil jsem si jak pozici manažera data privacy, kdy mým úkolem bylo zajistit, že firma bude moci v rámci zákonů uskutečnit svůj obchodní záměr. Štěstím bylo, že šlo o regulovaný business a každý chápal, že jde o reputaci. Proto jsme příliš často nehledali různé příliš klikaté a úzké stezky výkladu. Cílem bylo smysluplně a pragmaticky řídit rizika firmy, což vyžadovalo správně řídit rizika subjektů údajů a to nejen vůči GDPR, resp. původní směrnici 95/46, , ale i vůči regulaci HIPAA v USA, COPPA, a dalším. Pokud to nemělo skončit drastickým frameworkem, který by vyžadoval armády lidí, aby ho obsluhovali, pak nejlepší cestou bylo nastavit celou globální korporaci podle nejpřísnější regulace - GDPR.
Zkusil jsem i roli pověřence, kterou chápu primárně jako advokáta na straně subjektů údajů, který někdy je v opozici proti businessu. Musím říct, že to je role nevděčná a obtížná. Jedním problémem je, že pověřenec je takové zvláštní zvíře, s kterým si HR neví rady a je dost těžké ho vlastně v práci řídit. Ale největším problémem vnímám to, že i když je GDPR nařízením, tak národní úpravy znamenají, že není GDPR jako GDPR a v různých zemích se pohledy na DPO značně liší. V nadnárodní korporaci to pak může vést na různé tenze.
Jako DPO jsem řešil přenosy údajů do a z celého světa. Oblíbeným diskusním bodem bylo nastavení rolí, tedy kdy je kdo správce, zpracovatel a kdy se nejde vyhnout společnému správcovství.. Velmi oblíbeným tématem byl cloud, přičemž využívání cloudu na základě smlouvy s obvykle irskou pobočkou pro data, která pochází z celého světa a jejichž správci jsou právnické osoby z celého světa, přinášelo zajímavé výzvy.
V rámci konzultační praxe jsem potkal zákazníky, kteří chtěli „aby to prošlo a málo stálo“ i takové, kteří chtěli neprůstřelnou konstrukci a naprostou právní jistotu. Někdy to také bylo graduální a začali jsme v malém, typicky „zesouladněním“ webů, ale pak se to značně rozrostlo. Tito klienti ale často měli za své zákazníky velké nadnárodní korporace či pobočky velkých EU firem, a právě svými zákazníky byli nuceni se pravidly pro ochranu dat doopravdy zabývat.
Proč je často k tomu, aby se firma důsledně zabývala GDPR, nutný tlak někoho dalšího? A jak jsou na tom s vnímáním důležitosti soukromí čeští spotřebitelé?
V ČR, zdá se, chybí tlak od samotných lidí. Lidé jsou otrávení, že musí neustále klikat na ty „kůkíz“ a i když jde o jiný zákon, než je GDPR, přičemž toto úsilí již je často odradí od byť i jen základního zamyšlení nad tím, jaká data komu dávají a proč a zda je to správně. U mnoha firem chybí tlak zákazníků, a tak mnohdy „celé GDPR“ vyřešili pomocí stažených šablon z internetu, nebo jim spřízněný právník poupravil obvyklou šablonu. Protože regulátor stihne provést cca 20 kontrolních akcí do roka, riziko, že je někdo nachytá je mizivé. Tedy pokud nedojde k úniku dat. Ale popravdě řečeno, u mnoha firem patří neřešení GDPR jen mezi ty menší problémy, které by je měly trápit.
Jak vidíš budoucnost zpracování osobních údajů, jejich ochrany a uplatňování GDPR a dalších regulací? Jaké jsou trendy, co se budeme muset učit, kam směřuje regulace, je podle tebe přiměřené, uplatnitelná v praxi?
Především se na nás valí lavina dalších regulací. Tato lavina zahrnuje jak kritickou infrastrukturu, tak finanční svět, AI a technologie. V podstatě je už jen minimum oblastí, které nebudou dříve či později zregulovány pomocí nějaké nové EU směrnice či nařízení. Dobré na tom je to, že tyto jsou vcelku konzistentní, takže vzniká něco jako celoevropské regulatorní univerzum, kdy kromě nejmenších mikrofirem pod 50 lidí a malých firem do 250 lidí, budou všichni muset plnit podobná pravidla. Tato zahrnují minimální požadavky na informační bezpečnost a ochranu osobních údajů. Já doufám, že díky tomu vzniknou nástroje a řešení, které budou relativně levné a skutečně použitelné a které umožní dramaticky zjednodušit řízení souladu. Bez toho ale hrozí, že regulatorní zátěž bude pro mnoho firem neudržitelná, navíc, když lidi, kteří tomu rozumí, je na trhu kritický nedostatek.
Naproti tomu je vcelku jasně vidět tlak Evrospké komise směrem ke konzistentnímu vynucování zákonů napříč EU tak, aby si globální hráči nemohli vybírat hřiště, kde na ně jsou více hodní. V některých zemích to slibuje výrazně vyšší pokuty, než bylo vidno dříve. Jakmile padne velká pokuta, noviny to kryjí a lidi si to přečtou a může se tak stát, že i třeba v ČR, kde osvěta stran ochrany osobních údajů a soukromí dosud prakticky chyběla, se o tuto oblast lidé začnou více zajímat a vznikne tu i onen dosud chybějící tlak od zákazníků. Ale težko zde být prorokem.
Jaké trendy vidíš mezi pověřenci? Co by se měli do budoucna učit, co od nich bude vyžadováno a bez čeho se neobejdou?
Pověřenec by měl znát GDPR, zákony týkající se lidských zdrojů, měl by tušit, co je whistleblowing a jak je regulována ochrana proti diskriminaci apod. Vedle toho by měl mít povědomí o řízní informační bezpečnosti tak, aby uměl s bezpečáky na solidní úrovni diskutovat konkrétní opatření. DPO by měl také umět vést projekty, zvládat analýzu procesů, umět mluvit s vlastníky procesů a systémů, ale také s nejvyšším vedením organizace. Pověřenec musí mít vysokou osobní integritu a musí vědět, na čí straně stojí, ale zároveň nebýt policajtem, spíše musí umět pomáhat najít použitelná řešení.
A jedno aktuální téma na závěr: Veřejností rezonuje téma umělé inteligence. ChatGPT, zánik pracovních míst, nová regulace od Evropské unie. Jak vidíš současný stav AI ty? Máme se jako občané, zaměstnanci nebo spotřebitelé AI bát? A co bude rozvoj AI znamenat pro pověřence?
AI je problém. Vlastně zatím nikdo moc neví, co z toho vzejde, a to, co je dnes používáno jsou jen takové první záchvěvy které jen s velkou fantazií lze nazývat umělá inteligence. Jsou tu už ale k vidění i velmi užitečná nasazení v praxi, například v lékařství, kde velké jazykové modely umí analyzovat výstupy třeba z roentgenů, zprávy specialistů a lékařů a přepsat je do srozumitelné podoby. Vedle toho ale také ke každému pozitivnímu use-casu už existují řešení používaná temnou stranou. Například je AI používáno pro lámání hesel, nebo se naučí hlas oběti, zločinci pak zavolají rodičům, že jejich dítě bylo unesené a nechají AI dublovat dítě. Ta promluva zní natolik věrně, že mnoho vyděšených rodičů výkupné zaplatí. Vedle toho je čím dál těžší odlišit texty vyprodukované ChatGPT od autentických originálních děl, což je nejen ve vědeckém a akademickém světě velký problém. AI v autopilotech má již také množství obětí, jednak třeba dva spadlé Boeingy 737 MAX, nebo nehody na silnicích v důsledku použití „autopilota“ v komplikovaném provozu.
Samostatnou lahůdkou pak budou a již jsou soudní spory o autorská práva. Trénovací množiny dat totiž často vycucnou všechna možná data z celého světa a neřeší, komu patří a jaká se na ně vztahují pravidla či zákony. Internetisté a třeba již i autoři románů, či odborných publikací, více a více žalují provozovatele AI o neoprávněné využií jejich dat pro trénování jejich komerčních produktů.
Během roku 2024 by měl začít platit nový AI Act, nařízení EU, které má za cíl zregulovat AI v EU. Bude mít přechodné období, ale nejpozději v roce 2026 budou muset všechny systémy využívající prvky umělé inteligence na EU trhu být s tímto nařízením v souladu. . Některá použití AI systémů budou explicitně zakázána, jiná budou muset projít schvalováním a pravidelným auditem a jejich provozovatelé budou pod hrozbou pokut až 40 milionů EUR nebo až 7 % globálního obratu korporace za minuly rok, plnit poměrně dramatické podmínky. Plný soulad s GDPR mezi ně bude take platit. Aktuálně, podle průzkumů velkých konzultačních firem, žádné z velkých řešení požadavky stanovené v AI Actu, neplní.
Pro pověřence každopádně dnes AI představuje obrovský problém. Až bude platit AI Act, tak provozovatel bude muset na stříbrném podnose doložit zákazníkům, že vše kolem jeho AI systému je v souladu s regulací a pro firmy a jejich pověřence se tím vše zjednoduší. Do té doby ale u mnoha AI řešení jde o problém velmi velké komplexity s potenciálem obrovským pokut. Osobně bych pověřencům doporučil od dodavatelů řešení již dnes žádat doložení souladu a případné převzetí zodpovědnosti za škody. Ale realisticky si přiznejme, že jen velmi málo firem bude mít vyjednávací sílu, něco takového od dodavatelů AI vymoci.