Článek
Evropská komise ve středu navrhla zjednodušující balíček pro reportování firem, takzvaný digitální omnibus. Jeho cílem je snížit administrativu podniků a zvýšit tím jejich konkurenceschopnost. To ostatně navrhoval i Mario Draghi ve své loňské zprávě. Nový digitální balíček má podle předkladatelů šanci ušetřit firmám miliardy eur.
Návrh ale doprovází také kontroverze. Mění totiž definici osobních údajů uživatelů na internetu a firmám uvolňuje ruce v trénování modelů umělé inteligence právě na osobních datech Evropanů. Odborníci varují, že jde o největší oslabení ochrany soukromí od přijetí nařízení o ochraně osobních údajů, takzvaného GDPR.
Poradci a poplatky. Kdo nakonec vydělává?
Zveme na natáčení podcastu Ve vatě: Komu věřit s penězi
Lesk a bída finančního poradenství. Jsou provizní poradci ve střetu zájmů? A jak je to s poplatky, na kolik vás takový poradce vlastně vyjde a vyplatí se nakonec?
Obsazení slibuje třaskavou debatu. Hosty speciálu tentokrát budou Petr Borkovec (Partners), investiční bloger a nový expert podcastu Ve vatě Lukáš Nádvorník a nezávislá finanční poradkyně Michala Janatová.
Těšíme se na vás, vaše dotazy o setkání po natáčení! Vstupenky jsou ke koupi zde.
„Největší šok je změna definice osobního údaje. Návrh zákona zjednodušeně říká, že správce těchto údajů může uživateli oznámit – mám vaše rodné číslo, ale nemám vaše jméno. Takže vaše RČ není osobní údaj, protože vás na základě nekompletních osobních údajů nemám jak identifikovat,“ komentuje v rozhovoru pro Seznam Zprávy expertka na evropské a digitální právo Lucie Malá z advokátní kanceláře Legitas.
Co je v tuto chvíli osobní údaj?
V podstatě všechno. Vaše telefonní číslo, e-mail, rodné číslo, e-mailová adresa, fotografie. To všechno je osobní údaj, protože podle toho může ten, kdo tímto údajem disponuje, identifikovat, kdo jste. Jenže, aby podle fotografie určil subjekt disponující údajem, kdo jste, musí znát i vaše jméno – spojit si A i B. Podle nového návrhu Komise může člověk disponující osobním údajem říct, my máme vaši fotku, ale nevíme, jak se jmenujete, takže to není osobní údaj. Tudíž se na něj nevztahuje GDPR. Jenže logicky to jde a osobní údaj to je.
Mění se, kdo bude mít přístup k osobním údajům?
Ne, to se nemění. K osobním údajům má nyní prakticky přístup každý v okamžiku, kdy se k nim dostane jinak než v soukromém kontaktu. Když například nakupujete na e-shopu, má přístup k vašim údajům. Stejně tak váš zaměstnavatel. Nebo někdo, kdo vás cíleně zaměřuje na internetu. Ti všichni dosud sbírali vaše osobní údaje, ale museli se řídit podle GDPR a tyto údaje pod zákon o ochraně osobních údajů spadaly automaticky. Teď, když budou říkat, že sbírají rodná čísla, ale ne jména, tak mohou podle návrhu Komise snadno uniknout z GDPR.
Předpokládám, že se bavíme hlavně o velkých technologických firmách…
Bavíme se úplně o komkoliv. Správce osobních údajů je každý, kdo s nimi pracuje. To znamená – každý zaměstnavatel, každá univerzita, všechny státní úřady. Ve všech firmách se zpracovávají údaje klientů, zaměstnanců. V podstatě téměř každý je správcem osobních údajů alespoň někoho. Nyní se tento okruh subjektů mohl zúžit, protože každý dostane možnost říct, že osobní údaj není osobní údaj. A mají možnost tak učinit na základě toho, že o nás tu informaci nemají celou.
Co z toho vyplývá pro běžného uživatele internetu?
Podle mě bude spousta firem, jako jsou reklamní agentury nebo velké e-shopy, dělat všechno proto, aby z ochrany uživatele v podobě GDPR utekly s tím, že budou tvrdit, že nezpracovávají osobní údaje, protože mají jenom část informace o nás. Ta dřív byla vnímaná jako osobní údaj. V případě schválení návrhu Komise už to osobní údaj nebude. To jednotlivci bere jeho současná osobní práva. My nyní jako subjekt máme právo požádat o vymazání osobních údajů. Nebo můžeme chtít vědět, jaké údaje o nás kdo má. Máme právo požadovat, aby byly ty údaje opravené. Jenže v okamžiku, kdy disponující řekne, že naše rodné číslo není osobní údaj, všechna tato práva ztrácíme.
K čemu ta osobní data může jejich majitel, který je nebude definovat podle GDPR, využít?
Data jsou v současné době nejcennější surovina. Je to dnešní ropa. Potřebujeme je například k nakrmení umělé inteligence. Čímž se dostáváme k druhé věci. Všechny modely AI pracují s daty nejčastěji na cílenou reklamu. Zároveň se data používají pro statistické údaje. V dnešní době se bez dat nepohne vlastně skoro nic. Žádný vývoj softwaru, žádný vývoj jakékoliv technologie a jakákoliv reklama bez dat – většinou včetně osobních údajů nemůže fungovat.
To znamená, že velké technologické firmy mohou bez obav své AI modely nakrmit osobními údaji uživatelů a na základě nich lépe analyzovat, kdo jsme?
Posun v práci AI s daty je druhá velká věc, která teď rezonuje ve mně i v celé advokátní kanceláři. V návrhu Komise je napsané, že trénování umělé inteligence znamená legitimní zájem pro to použití osobního údaje. Podle současných pravidel není jasné, jestli je legální použít osobní data k tréninku umělé inteligence. Společnosti disponující AI modely na to potřebovaly souhlas nebo potvrzení, že jde o oprávněný zájem tato data používat. Souhlas k tomu většinou uživatel nebo právník nedal. Teď Evropská komise navrhuje, aby využití dat spadalo pod oprávněný zájem. To znamená, že jakákoliv společnost, která trénuje AI systémy, může legálně použít naše osobní údaje bez toho, aby měla jakýkoliv postih. Může se trénovat na našich jménech, fotkách či rodných číslech.
Jak tento návrh promlouvá do citlivých osobních údajů jednotlivce, jako je náboženství nebo sexuální orientace?
V návrhu se o těchto datech říká jen to, že se nepočítají do legitimního zájmu. Takže byste na nich neměli trénovat AI. Ale pokud se v tak obrovském množství dat objeví náhodně malé množství citlivých údajů, které tam nebylo cíleně zahrnuto a jsou splněné podmínky jako minimalizace rizik, pak to není automaticky porušením zákona, protože jde o nevyhnutelný faktor, k čemuž v takovém množství dat zkrátka nevyhnutelně dojde. Takže ano, AI modely se budou ve výše popsaném kontextu trénovat i na citlivých osobních údajích, jako je sexuální orientace či náboženské preference.
Jak by musela firma, která by takto chtěla osobní data využít, postupovat podle současných pravidel?
Jsou naprosto nedotknutelné. Když děláte něco s citlivými osobními údaji, podepisujete milion papírů, potřebujete spoustu souhlasů. Pracuje se s nimi například v nemocnici. Je to silně chráněné a teď najednou slyšíme, že když se reziduálně zpracují pro trénink AI modelu, tak je to vlastně v pohodě. Jde rozhodně o uvolnění pravidel ve prospěch trénování modelů umělé inteligence, ale na úkor práv lidí. Odevzdáváme naše osobní údaje firmám a doufáme, že s nimi nebudou dělat nic špatného.
