Když bylo před osmi lety schváleno finální znění obecného nařízení o ochraně osobních údajů (GDPR), mohli jsme vidět klasické rozdělení na podporovatele, odpůrce a aktivní pozorovatele. Mezi poslední skupinu se mohu řadit i já jakožto někdo, kdo nemusí mít pozitivní ani negativní názor, ale jako poradce musím vzít nová pravidla na vědomí a umět s nimi pracovat.
Ani s odstupem času si netroufám odhadnout, v jakém poměru tyto skupiny byly, ať už podle počtu hlav anebo například podílu na HDP, které reprezentují. Jsem však přesvědčený, že přinejmenším ve mně blízkém oboru dochází k posunu mezi skupinami odpůrců směrem k podporovatelům – tento jev opět nehodnotím kladně ani záporně, pouze jej konstatuji.
GDPR i AI Act: Zbytečné regulace nebo naopak příležitost?
Ačkoliv mainstreamové chápání vnímalo GDPR jako obvyklou „bruselskou regulaci“, anebo možná právě proto, tak se nakonec každý seriózní podnik dříve nebo později takové regulaci podvolí a investuje nezbytné náklady do zavedení či vylepšení stávajících pravidel. Kdo by pak takovou investici chtěl zahodit, odepsat, zapomenout na ni? I když to nebude každý, kdo v povinnostech vidí příležitost, je zcela logické již realizovanou investici přeměnit na výhodu. Proč se „vysokou úrovní ochrany soukromí“ nechlubit, že? Konkurenční tlak okolí, nejen represivní složka regulace v podobě pokut, tak zcela jistě naplňují cíl, který si zákonodárce přijetím dané regulace stanovil.
Čerstvě jsme mohli sledovat mediální boj o regulaci umělé inteligence. A opět zazníval a zaznívá argument, že si Evropská unie podřezává větev, podkopává nohy a jiná metaforická vyjádření o tom, že celý svět nás předběhne se svým pro podnikání přátelským právním prostředím, zatímco my se zde uregulujeme k smrti, v lepším případě k hospodářské recesi. Stačí si ale přečíst zprávy ze zahraničí (či spíše rovnou ze zámoří), které, pokud se snaží být vyvážené, nakonec uznávají, že je to právě EU, která ve vztahu k palčivým tématům dnešní doby často udává právní či regulatorní tón.
Neznamená to ovšem, že ten tón je lidskému uchu lahodící, že si podle něj zazpíváte bezstarostnou písničku.
Zákony, stejně jako cokoliv jiného na světě, nejsou dokonalé.
Jako právník mohu v právním předpisu vidět formulační nejasnosti vytvářející nejistotu. Jako ekonom bych v něm mohl spatřovat nesmyslné náklady, které ve skutečnosti neplní normou sledovaný cíl. A jako sociolog mohu mít pochybnosti o tom, zda takový cíl je reálný, pokud se společnost dokáže přizpůsobovat a hledat cestičky, jak se s co nejmenšími náklady vyhnout dodržování nepohodlných příkazů, anebo jako politik mohu uvažovat o změnách takového předpisu kvůli ideologickému směřování či naopak posílení vynucování pravidel, jsem-li přesvědčen o jejich správnosti. A tak bych mohl pokračovat s dalšími profesemi, které mají co říci k tomu, jak si regulujeme náš život.
Kritizujme, ale věcně
Vrátím-li se však k právníkovi, advokátovi, který pomáhá klientům zorientovat se v reálném světě, tak výše uvedené je nanejvýš vhodné vzít na vědomí a zohlednit, avšak nesmí to být určující pro mou radu klientovi. Nejsem lobbista, který slibuje zařídit změnu zákona. Úvahy o nesmyslnosti regulace nepomohou rozjet byznys a získat potřebná povolení, ani minimalizovat riziko pokuty. V dnešním rychlém světě to platí dvojnásob. Změna právních předpisů je běh na dlouho trať a měla by být, protože rychlovky nesvědčí našemu žaludku ani stabilitě a předvídatelnosti právního řádu.
Současně tím neříkám, že nelze tu či onu regulaci kritizovat. Jsem zastánce jakékoliv kritiky, neboť bez ní bychom stěží něco zlepšili, ale ta kritika musí podle mě být pokud možno vždy konstruktivní.
Naprosto ale chápu klienta, který, když ze všech stran slyší o zbytečné administrativní zátěži anebo že „velcí“ si z ochrany soukromí nic nedělají (a ještě k tomu „o nás už stejně vědí všechno“), nemá moc chuť investovat do compliance, která nepřináší okamžité výhody. Zachoval bych se totiž stejně. Nejméně do okamžiku, než mi někdo ukáže, že to není nejrozumnější přístup.
A o rozumnosti dodržování předpisů (což samo o sobě může mít velmi různou, a pokud možno rozumnou podobu) se právě snažím přesvědčovat klienty. Přiznávám, že to není snadné – především pokud se bavíme o GDPR, a tedy ochraně soukromí, to zřejmě souvisí s jakousi „neviditelností“ soukromí.
Pokud bych se bavil o ochraně lidského života jako rovnocenného základního lidského práva, tak si budeme všichni rozumět. Nikdy jsem nenarazil na žádný argument, který by jen maličko upřednostnil cokoliv jiného před lidským životem, takže se ani nepokusím vymyslet žádný příklad, který by musel být z povahy věci nechutný. Ale s lidským životem a bytím na této planetě související lidské soukromí je paradoxně odlišně vnímaná hodnota, protože pronikání do soukromí jiných, jeho zmenšování či naopak rozšiřování je každodenní realitou.
Popírání nic neřeší
V podnikatelské praxi je velice snadné se dostat do situace, kdy musím přemýšlet, zda někomu do soukromí zasahuji a zda je to oprávněné. Největší chybou je ulehčit si práci s přemýšlením, že rovnou popřu, že se vůbec o zásah do soukromí jedná. A proto se snažím na začátku, než přejdu k těm přízemním avšak praktickým doporučením „co vlastně dělat“, vytvořit mezi mnou a klientem společné porozumění o lidskoprávní povaze ochrany soukromí, tedy „proč to dělat“.
Mým primárním pohledem není „protože to tak nařizuje nějaký předpis“, ale „protože jsme se demokraticky všichni dohodli, že to tak chceme“. Chránit lidský život nám vůbec nepřijde zvláštní, ale občas ještě slyším, že nějaký předpis nařizuje různé nesmysly v oblasti ochrany životního prostředí. Přitom bychom si ale už nedovolili praktiky, které se stále dějí v jiných částech světa. Včetně těch, odkud kupujeme výrobky, jejichž produkce nejen že poškozuje životní prostředí, ale rovnou ohrožuje zdraví a životy tamních pracovníků.
Že nám to EU nedovolí? No ano, ale také můžeme říci, že „my si to sami sobě nedovolíme,“ protože je to totéž. A analogicky, pokud se podnikatel rozhodne zlepšit úroveň ochrany soukromí v rámci svých podnikatelských aktivit, nemusí to mít ten okamžitý benefit měřitelný v penězích (ovšem i takové jsou, pokud je chcete vidět), ale zcela jistě bude součástí celkového zlepšení ochrany soukromí všech, jakožto společně sdílené hodnoty naší civilizace.
GDPR jako vzor pro (skoro) celý svět
Stejně tak GDPR anebo akt o umělé inteligenci nejsou výmysly bruselských úředníků. Je to naše společné rozhodnutí o tom, kde nastavíme hranice určitým jevům, které mají potenciál zasahovat do našeho základního lidského práva na ochranu soukromí. Protože v EU by nemělo platit dělení na „oni“ a „my“, jelikož v EU jsem jednoduše jenom „my“. Současně tím říkáme světu, že tohle je naše představa a pokud s námi chce spolupracovat, pak toto je náš minimální základ, od kterého se taková spolupráce bude odvíjet. A když se podíváme na efekt udávání tónu, pak jedním z nich je, že i v tom světě přestávají být „oni“, pokud díky spolupráci nakonec „my všichni“ dodržujeme stejná pravidla.
Američtí kolegové nedávno v článku pro IAPP spočítali, že téměř 80 % světové populace má zákony upravující ochranu soukromí, přičemž trend je viditelný na grafu (údaje pocházejí ze studie Grahama Greenleafa). Za posledních deset let růst počtu států s takovými zákony zrychloval až na loňských téměř 8 %. Celosvětově tak zbývá jen 36 jurisdikcí bez příslušné úpravy; ovšem ve dvacítce z nich se již něco připravuje. Graf ještě nezohledňuje aktuální přírůstek z konce roku 2023, kdy Indie – stát s více než 17 % celosvětové populace – přijala první komplexní zákon nikoliv nepodobný právě GDPR.
Napodobování GDPR není žádnou novinkou.
Již za předchozí úpravy dle směrnice 95/46/ES nemálo států (celkem 11 států mimo Evropskou unii, resp. EHS – jako kdybychom pro účely ochrany osobních údajů nafoukli EU o čtvrtinu obyvatel) upravovalo své zákonné podmínky unijním standardům, obvykle kvůli principům usnadňující vývoz osobních údajů z EU do třetích zemí. S příchodem GDPR tento status odpovídající úrovně ochrany dat získaly další státy, byť některé z nich lze označit za specifický případ (USA a Velkou Británii po BREXITu).
Závidí nám USA Bruselský efekt?
Pro někoho je tento počet naopak malý a dokazuje, že celosvětově se na jednotném standardu ochrany soukromí neshodneme; v počtu obyvatel je to ale jeden a půl krát více, než má samotná EU! K tomu se i další státy snaží fakticky (aniž by usilovaly o status adekvátnosti) připodobnit svou úpravu GDPR. Důvody mohou být různé, obvykle to dělají proto, aby usnadnily výměnu dat mezi jejich byznysy a těmi evropskými, popřípadě aby i svým občanům zajistily obdobná práva, která mohou vidět u evropských nebo okolních zemí, popřípadě aby recipročně ve vztahu k „vývozu osobních údajů“ nastavily stejné principy – jako příklad lze takto zmínit Rusko anebo Čínu. Motivace latinskoamerických zemí je výrazně obchodní – bez podobné právní úpravy jdou obchody s EU komplikovaněji a Argentina či Uruguay se statusem adekvátnosti jsou příkladem pro další země jako je Brazílie či Ekvádor.
Ostatně na tzv. Bruselský efekt čas od času upozorňují i politici z USA. Tento argument z našeho pohledu paradoxně používají při prosazování dosud neexistující jednotné federální úpravy. Je to totiž právě EU, od koho se inspirují například státy Latinské Ameriky, čímž se oslabuje možnost USA vytvářet regulatorní rámec ochrany soukromí podle svých představ. A přitom nelze vyloučit, že Bruselskému efektu podlehly již i některé státy americké unie.
Několik států, jako například Kalifornie, New York anebo Massachusetts, má buď podrobné sektorové předpisy anebo i zastřešující legislativu připomínající tu evropskou. Ačkoliv EU jiným státům nic nenařizuje, ty se jednoduše v rámci globální ekonomiky přizpůsobují zjevně výhodným legislativním modelům (ať už danou výhodnost posuzujete podle jakýchkoliv měřítek) a vzniká tak efekt jednostranné regulatorní globalizace, jejíž úspěšnosti je dosahováno de facto tržními metodami.
Silný extrateritoriální účinek GDPR je nepochybný. Sám o sobě sice z pohledu kvality regulace nepřináší potvrzení o tom, že zrovna tato pravidla jsou tou nejlepší volbou, ale ve výsledku – alespoň když se díváme na trend – dokazuje preference nejen regulátorů, ale i regulovaných.
I právní jistota musí mít své meze
A jsme u klíčového tématu regulace, a tím je právní jistota. Na první pohled kladně znějící sousloví může mít i své nevýhody. Vyšší právní jistoty bývá často dosahováno přemírou regulace, což obvykle zvyšuje náklady, snižuje inovace či omezuje konkurenci. Na druhou stranu totéž může vést k větší předvídatelnosti, stabilnějšímu plánování nákladů a očekávání jak na straně podnikatelů, tak i např. spotřebitelů.
Různé socioekonomické studie se pak shodují na tom, že zlatá střední cesta je jako obvykle ideálním kompromisem mezi oběma protipóly: právní nejistotou na jedné a příliš podrobnou regulací na druhé straně. Vylučuji zde nulovou variantu neexistující regulace, neboť v tomto ohledu asi již nelze najít na světě místo, kde by ochranu soukromí ponechávali čistě na neregulované, smluvní volnosti. I ta by např. u menšího podnikatele vyžadovala počáteční investici do právního poradenství např. na vytvoření obchodních podmínek či jiného smluvního ujednání.
Nutno poznamenat, že regulace ochrany soukromí na jednom místě rozhodně nepřináší, z globálního pohledu kýženou, právní jistotu. Neexistence sjednocující globální úpravy, např. mezinárodní smlouvy, umožňuje celkově definovat koncept ochrany osobních údajů na lokální úrovni velmi různorodě. Ani rozhodnutí o adekvátnosti není zárukou stejných pravidel, jaká známe z GDPR. Ale oproti stavu před deseti lety je ten dnešní právní jistotě o poznání blíže. Na co se totiž můžeme spolehnout, je podobnost principů regulace, systémů dozorových orgánů, institucionálního zabezpečení fungování dané regulace či samoregulace či katalogu práv subjektů údajů.
Jaký to má význam?
Sice můžeme slyšet o snahách o deglobalizaci, a v něčem to i dává smysl, přesto si však troufám říci, že místní ekonomická aktivita je i tak čím dál více součástí té globální. Právě zde se nám otevírá nepřeberné pole možností, jak konkrétně bude nebo už vypadá spolupráce mezi jednotlivými aktéry v rámci tohoto globálního trhu. Když si ovšem vypůjčíme terminologii GDPR, pak bychom mohli popsat čtyři základní vztahy mezi správci a zpracovateli osobních údajů (stejný počet tzv. modulů standardních smluvních doložek), přičemž v globální ekonomice bychom ještě mohli rozlišovat, kterým směrem mají osobní údaje putovat, zda do EU anebo naopak.
Díky Bruselskému efektu nejsou pravidly svázány jen případné „exporty“ osobních údajů mimo Evropskou unii, ale vlastně už i importy z těch zemí, které mají obdobnou úpravu. Obvyklý problém odpovědnosti za různé dodavatele tak získává opačný náboj – jsou to zahraniční partneři, kteří mohou vznášet podobné compliance požadavky, se kterými jste je před pár lety obtěžovali vy…
V rámci poradenství pro americké společnosti působící v EU se často zdůrazňovala jako zásadní povinnost hlášení incidentů (ať porušení ochrany osobních údajů podle GDPR, kyberbezpečnosti podle NIS či v oblasti telekomunikací) – přitom tento institut rozhodně není v americkém právu neznámý, ale výrazně se liší federální úprava od státních.
Posledním příspěvkem jsou právě pravidla americké Komise pro cenné papíry (SEC), která nařizují všem veřejně obchodovaným společnostem reportovat o závažných kybernetických incidentech a tím transparentně informovat akcionáře a veřejnost. I když může být idea za touto povinností odlišná od evropských pravidel, z pohledu interní compliance je to irelevantní. Know-how evropských provozoven amerických společností tak může být do jisté míry být využito i v USA.
Investice do compliance se vyplatí
Jinými slovy, ptáte-li se znovu po zúročení investice v podobě nákladů na zavedení pravidel compliance vynucovaných Evropskou unií, tak minimálně v tomto ohledu se již nejeví pouze jako vyhozené peníze. Dávno už to totiž není jen EU, která očekává dodržování těchto pravidel.
Ač to může vypadat odtažitě, evropská regulace včetně GDPR může mít i geopolitický rozměr – Edward Lucas ve své kritice Evropanů ohledně příspěvků na společnou bezpečnostní politiku (NATO) mimo jiné uvádí, že EU je schopna „být Spojeným státům užitečnější jinde – především v Číně“, přičemž doslova hovoří o oblasti tvorby pravidel, včetně ochrany osobních údajů (viz Lekce, kterou jsme zapomněli: Za svobodu se musí platit. In: Deník N, 20. 10. 2023). Tím se neliší od strategických úvah americké administrativy, která v roce 2019 zmiňuje GDPR jako nástroj ke chránění Evropanů před dezinformačními kampaněmi v sociálních médiích. Ostatně komisařka Jourová dlouhodobě poukazuje na to, že předpisy regulující fungování digitální ekonomiky mají sloužit ochraně demokracie.
A tím se nám uzavírá kruh k tomu, co píšu v úvodu: Dodržování compliance, např. v oblasti zpracování osobních údajů, je malým, ale rovnocenným dílkem do mozaiky našeho právního řádu, který v prvé řadě umožňuje byznysu svobodně fungovat.
Takže nakonec, přes všechny oprávněné výtky, které k regulacím můžeme a měli bychom mít, si dovolím vyjádřit osobní názor: Mně se ten tón líbí.