EU udává tón, ať se nám to líbí nebo ne

Když bylo před osmi lety schváleno finální znění obecného nařízení o ochraně osobních údajů (GDPR), mohli jsme vidět klasické rozdělení na podporovatele, odpůrce a aktivní pozorovatele. Mezi poslední skupinu se mohu řadit i já jakožto někdo, kdo nemusí mít pozitivní ani negativní názor, ale jako poradce musím vzít nová pravidla na vědomí a umět s nimi pracovat.  

Ani s odstupem času si netroufám odhadnout, v jakém poměru tyto skupiny byly, ať už podle počtu hlav anebo například podílu na HDP, které reprezentují. Jsem však přesvědčený, že přinejmenším ve mně blízkém oboru dochází k posunu mezi skupinami odpůrců směrem k podporovatelům – tento jev opět nehodnotím kladně ani záporně, pouze jej konstatuji.

GDPR i AI Act: Zbytečné regulace nebo naopak příležitost?

Ačkoliv mainstreamové chápání vnímalo GDPR jako obvyklou „bruselskou regulaci“, anebo možná právě proto, tak se nakonec každý seriózní podnik dříve nebo později takové regulaci podvolí a investuje nezbytné náklady do zavedení či vylepšení stávajících pravidel. Kdo by pak takovou investici chtěl zahodit, odepsat, zapomenout na ni? I když to nebude každý, kdo v povinnostech vidí příležitost, je zcela logické již realizovanou investici přeměnit na výhodu. Proč se „vysokou úrovní ochrany soukromí“ nechlubit, že? Konkurenční tlak okolí, nejen represivní složka regulace v podobě pokut, tak zcela jistě naplňují cíl, který si zákonodárce přijetím dané regulace stanovil.

Čerstvě jsme mohli sledovat mediální boj o regulaci umělé inteligence. A opět zazníval a zaznívá argument, že si Evropská unie podřezává větev, podkopává nohy a jiná metaforická vyjádření o tom, že celý svět nás předběhne se svým pro podnikání přátelským právním prostředím, zatímco my se zde uregulujeme k smrti, v lepším případě k hospodářské recesi. Stačí si ale přečíst zprávy ze zahraničí (či spíše rovnou ze zámoří), které, pokud se snaží být vyvážené, nakonec uznávají, že je to právě EU, která ve vztahu k palčivým tématům dnešní doby často udává právní či regulatorní tón.

Neznamená to ovšem, že ten tón je lidskému uchu lahodící, že si podle něj zazpíváte bezstarostnou písničku.

Jako právník mohu v právním předpisu vidět formulační nejasnosti vytvářející nejistotu. Jako ekonom bych v něm mohl spatřovat nesmyslné náklady, které ve skutečnosti neplní normou sledovaný cíl. A jako sociolog mohu mít pochybnosti o tom, zda takový cíl je reálný, pokud se společnost dokáže přizpůsobovat a hledat cestičky, jak se s co nejmenšími náklady vyhnout dodržování nepohodlných příkazů, anebo jako politik mohu uvažovat o změnách takového předpisu kvůli ideologickému směřování či naopak posílení vynucování pravidel, jsem-li přesvědčen o jejich správnosti. A tak bych mohl pokračovat s dalšími profesemi, které mají co říci k tomu, jak si regulujeme náš život.

Kritizujme, ale věcně

Vrátím-li se však k právníkovi, advokátovi, který pomáhá klientům zorientovat se v reálném světě, tak výše uvedené je nanejvýš vhodné vzít na vědomí a zohlednit, avšak nesmí to být určující pro mou radu klientovi. Nejsem lobbista, který slibuje zařídit změnu zákona. Úvahy o nesmyslnosti regulace nepomohou rozjet byznys a získat potřebná povolení, ani minimalizovat riziko pokuty. V dnešním rychlém světě to platí dvojnásob. Změna právních předpisů je běh na dlouho trať a měla by být, protože rychlovky nesvědčí našemu žaludku ani stabilitě a předvídatelnosti právního řádu.

Současně tím neříkám, že nelze tu či onu regulaci kritizovat. Jsem zastánce jakékoliv kritiky, neboť bez ní bychom stěží něco zlepšili, ale ta kritika musí podle mě být pokud možno vždy konstruktivní.

Naprosto ale chápu klienta, který, když ze všech stran slyší o zbytečné administrativní zátěži anebo že „velcí“ si z ochrany soukromí nic nedělají (a ještě k tomu „o nás už stejně vědí všechno“), nemá moc chuť investovat do compliance, která nepřináší okamžité výhody. Zachoval bych se totiž stejně. Nejméně do okamžiku, než mi někdo ukáže, že to není nejrozumnější přístup.

A o rozumnosti dodržování předpisů (což samo o sobě může mít velmi různou, a pokud možno rozumnou podobu) se právě snažím přesvědčovat klienty. Přiznávám, že to není snadné – především pokud se bavíme o GDPR, a tedy ochraně soukromí, to zřejmě souvisí s jakousi „neviditelností“ soukromí.

Pokud bych se bavil o ochraně lidského života jako rovnocenného základního lidského práva, tak si budeme všichni rozumět. Nikdy jsem nenarazil na žádný argument, který by jen maličko upřednostnil cokoliv jiného před lidským životem, takže se ani nepokusím vymyslet žádný příklad, který by musel být z povahy věci nechutný. Ale s lidským životem a bytím na této planetě související lidské soukromí je paradoxně odlišně vnímaná hodnota, protože pronikání do soukromí jiných, jeho zmenšování či naopak rozšiřování je každodenní realitou.

Popírání nic neřeší

V podnikatelské praxi je velice snadné se dostat do situace, kdy musím přemýšlet, zda někomu do soukromí zasahuji a zda je to oprávněné. Největší chybou je ulehčit si práci s přemýšlením, že rovnou popřu, že se vůbec o zásah do soukromí jedná. A proto se snažím na začátku, než přejdu k těm přízemním avšak praktickým doporučením „co vlastně dělat“, vytvořit mezi mnou a klientem společné porozumění o lidskoprávní povaze ochrany soukromí, tedy „proč to dělat“.

Mým primárním pohledem není „protože to tak nařizuje nějaký předpis“, ale „protože jsme se demokraticky všichni dohodli, že to tak chceme“. Chránit lidský život nám vůbec nepřijde zvláštní, ale občas ještě slyším, že nějaký předpis nařizuje různé nesmysly v oblasti ochrany životního prostředí. Přitom bychom si ale už nedovolili praktiky, které se stále dějí v jiných částech světa. Včetně těch, odkud kupujeme výrobky, jejichž produkce nejen že poškozuje životní prostředí, ale rovnou ohrožuje zdraví a životy tamních pracovníků. 

Že nám to EU nedovolí? No ano, ale také můžeme říci, že „my si to sami sobě nedovolíme,“ protože je to totéž. A analogicky, pokud se podnikatel rozhodne zlepšit úroveň ochrany soukromí v rámci svých podnikatelských aktivit, nemusí to mít ten okamžitý benefit měřitelný v penězích (ovšem i takové jsou, pokud je chcete vidět), ale zcela jistě bude součástí celkového zlepšení ochrany soukromí všech, jakožto společně sdílené hodnoty naší civilizace.

GDPR jako vzor pro (skoro) celý svět

Stejně tak GDPR anebo akt o umělé inteligenci nejsou výmysly bruselských úředníků. Je to naše společné rozhodnutí o tom, kde nastavíme hranice určitým jevům, které mají potenciál zasahovat do našeho základního lidského práva na ochranu soukromí. Protože v EU by nemělo platit dělení na „oni“ a „my“, jelikož v EU jsem jednoduše jenom „my“. Současně tím říkáme světu, že tohle je naše představa a pokud s námi chce spolupracovat, pak toto je náš minimální základ, od kterého se taková spolupráce bude odvíjet. A když se podíváme na efekt udávání tónu, pak jedním z nich je, že i v tom světě přestávají být „oni“, pokud díky spolupráci nakonec „my všichni“ dodržujeme stejná pravidla.

Američtí kolegové nedávno v článku pro IAPP spočítali, že téměř 80 % světové populace má zákony upravující ochranu soukromí, přičemž trend je viditelný na grafu (údaje pocházejí ze studie Grahama Greenleafa). Za posledních deset let růst počtu států s takovými zákony zrychloval až na loňských téměř 8 %. Celosvětově tak zbývá jen 36 jurisdikcí bez příslušné úpravy; ovšem ve dvacítce z nich se již něco připravuje. Graf ještě nezohledňuje aktuální přírůstek z konce roku 2023, kdy Indie – stát s více než 17 % celosvětové populace – přijala první komplexní zákon nikoliv nepodobný právě GDPR.

Již za předchozí úpravy dle směrnice 95/46/ES nemálo států (celkem 11 států mimo Evropskou unii, resp. EHS – jako kdybychom pro účely ochrany osobních údajů nafoukli EU o čtvrtinu obyvatel) upravovalo své zákonné podmínky unijním standardům, obvykle kvůli principům usnadňující vývoz osobních údajů z EU do třetích zemí. S příchodem GDPR tento status odpovídající úrovně ochrany dat získaly další státy, byť některé z nich lze označit za specifický případ (USA a Velkou Británii po BREXITu).

Závidí nám USA Bruselský efekt?

Pro někoho je tento počet naopak malý a dokazuje, že celosvětově se na jednotném standardu ochrany soukromí neshodneme; v počtu obyvatel je to ale jeden a půl krát více, než má samotná EU! K tomu se i další státy snaží fakticky (aniž by usilovaly o status adekvátnosti) připodobnit svou úpravu GDPR. Důvody mohou být různé, obvykle to dělají proto, aby usnadnily výměnu dat mezi jejich byznysy a těmi evropskými, popřípadě aby i svým občanům zajistily obdobná práva, která mohou vidět u evropských nebo okolních zemí, popřípadě aby recipročně ve vztahu k „vývozu osobních údajů“ nastavily stejné principy – jako příklad lze takto zmínit Rusko anebo Čínu. Motivace latinskoamerických zemí je výrazně obchodní – bez podobné právní úpravy jdou obchody s EU komplikovaněji a Argentina či Uruguay se statusem adekvátnosti jsou příkladem pro další země jako je Brazílie či Ekvádor.

Ostatně na tzv. Bruselský efekt čas od času upozorňují i politici z USA. Tento argument z našeho pohledu paradoxně používají při prosazování dosud neexistující jednotné federální úpravy. Je to totiž právě EU, od koho se inspirují například státy Latinské Ameriky, čímž se oslabuje možnost USA vytvářet regulatorní rámec ochrany soukromí podle svých představ. A přitom nelze vyloučit, že Bruselskému efektu podlehly již i některé státy americké unie. 

Několik států, jako například Kalifornie, New York anebo Massachusetts, má buď podrobné sektorové předpisy anebo i zastřešující legislativu připomínající tu evropskou. Ačkoliv EU jiným státům nic nenařizuje, ty se jednoduše v rámci globální ekonomiky přizpůsobují zjevně výhodným legislativním modelům (ať už danou výhodnost posuzujete podle jakýchkoliv měřítek) a vzniká tak efekt jednostranné regulatorní globalizace, jejíž úspěšnosti je dosahováno de facto tržními metodami.

Silný extrateritoriální účinek GDPR je nepochybný. Sám o sobě sice z pohledu kvality regulace nepřináší potvrzení o tom, že zrovna tato pravidla jsou tou nejlepší volbou, ale ve výsledku – alespoň když se díváme na trend – dokazuje preference nejen regulátorů, ale i regulovaných.

Pokračování článku naleznete na gdpr.cz.