Někteří europoslanci při projednávání regulace ochrany soukromí fungují jako převodní páky lobbistických organizací a velkých firem. Do svých návrhů změn kopírují jejich postoje slovo od slova a podobu nového nařízení tím velmi dobře torpédují. Některé z těchto návrhů pak umožňují zneužití osobních dat velmi podobné tomu, jaké bylo odhaleno v kauze PRISM - proti které se tak hlasitě ozývají paradoxně ti samí europoslanci. 

Jak se na poslaneckou tvůrčí metodu Ctrl-C Ctrl-V přišlo? Dnes už známý rakouský kritik Facebooku Max Schrems založil web Lobbyplag.eu a na něm srovná návrhy, které lobbisté předkládají poslancům, s konečnou podobou dodatků. Shody jsou v řadě případů překvapivé (PDF). Například jedna evropská bankovní asociace přišla s návrhem, aby firmy mohly uchovávat data svých klientů nejen kvůli svým "legitimním zájmům", ale také je předávat dalším firmám. Tento návrh se nachází v dodatku 70, který se dostal na stůl výboru pro vnitřní trh. Lobbyplag upřesňuje, že jej představila švédská europoslankyně Anne Hedhová.

Je třeba přiznat, že v diskusi o podobě regulace ale zaznívají i relevantní argumenty. Slovo lobby nemusí mít vždy jen negativní konotace - analýzy dopadů jakýchkoli zákonů na ekonomická odvětví a zpětná vazba z praxe by měla být standardní součástí legislativního procesu. Poslanci by ale měli tyto analýzy číst velmi pozorně a rozlišovat, kdy se jedná o relevantní připomínku a kdy o snahu změnit zákon v něčí prospěch.

Zatímco česká profesní organizace SPIR (Sdružení pro internetovou reklamu) představuje ve svém position paperu zejména úpravy, které jsou motivovány praktickým dopadem některých forem regulace na provoz internetových firem, například sdružení s názvem Czech Industry Coalition for Data Protection, které organizuje Americká obchodní komora, jde se svými návrhy (PDF) mnohem dál. Z některých jejich připomínek doslova trčí snaha pomoci zájmům amerických firem na úkor ochrany soukromí občanů EU. 

Následující témata představují nejvýznamnější sporné body, které obhájci soukromí objevili  v návrzích lobbistů a které představují právě onu snahu o změnu podstaty nařízení, případně vytvoření nepřiměřených výhod pro některé segmenty firem. 

Odpovědnost provozovatelů cloudu

EU se snaží zajistit, aby i data evropských občanů umístěná mimo EU v tzv. cloudu byla chráněna odpovídajícím způsobem. Poskytovatelé cloudových služeb, jako třeba Amazon, by ale rádi svoje povinnosti ochrany soukromí omezili. To by ale nedávalo smysl - samotné evropské firmy, které si data uloží v např. v USA, by se nařízením musely řídit, ale poskytovatel serverů, tedy ten kdo je spoluzodpovědný za jejich bezpečnost, by byl z obliga.

Přenositelnost osobních dat do zahraničí

Jeden z dodatků navrhuje umožnit volné přenesení osobních dat i do těch zemí, které nesplňují standardy EU o ochraně dat. Tento návrh je šit na míru firmám z USA, u kterých lobbisté rovnou předpokládají, že americká uroveň ochrany nebude dostatečná, a snaží se tomuto problému předejít. Podle jejich návrhu by mělo stačit, aby se konkrétní firmy zavázaly dodržovat příslušná pravidla a osobní údaje by pak bylo možné předat. Problémem tohoto řešení je však skutečnost, že v případě porušení těchto dobrovolných závazků by se občané jen velmi složitě domáhali svých práv.

Anonymní a pseudonymní data

Návrh na snížení ochrany anonymních a pseudonymních dat vypadá na první pohled jako logický krok, umožňující zpracovávat takto upravená data s nižšími náklady, než je tomu u osobních dat. Technologický rozvoj nicméně ukazuje, že nástroje, které umožňují zpětné dohledání konkrétních osob z anonymních nebo pseudonymních dat, jsou stále dostupnější a výsledky jejich práce kvalitnější. Proto zejména odstranění ochrany pseudonymních dat může vést v budoucnu k jejich zneužití. 

Výše pokut

Ani takový gigant, jako Google, jehož zisk je na zpracování osobních dat přímo závislý, je při závažném porušení pravidel nucen zaplatit jen zlomek svých zisků. Například v Německu je maximální výše pokuty za porušení pravidel ochrany osobních dat v přepočtu jen necelé 4 miliony korun, což je při srovnání miliardových zisků velkých firem zanedbatelná hrozba. 

Možnost předat data třetím stranám

Evropská federace bank navrhla dodatek, který umožní zpracování osobních dat za účelem prevence bankovních podvodů a posouzení osobní bonity, přičemž toho zpracování by mělo umožnit sdílení těchto dat dalším společnostem. Dále navrhla, aby při tomto účelu zpracování bylo možné zpracovávat i citlivé osobní údaje, jako je sexuální orientace či informace o zdravotním stavu. Jedná se o typický příklad ústupků, vyhovujícím jedné konkrétní lobbistické skupině. 

Povinnost používat jasný jazyk

Návrh nařízení vyžaduje po zpracovatelích dat, aby používali při vysvětlování toho, co se s daty děje "jasný a běžný jazyk, přizpůsobený subjektu údajů, zejména v případě jakýchkoli informací určených speciálně dítěti". Americká obchodní komora to odmítá, údajně je hodnocení splnění této povinnosti subjektivní a vytváří právní nejistotu. Což je téměř absurdní hodnocení, protože podobných subjektivně hodnotitelných pojmů je právní řád každé země plný a k právní nejistotě zpravidla nedochází. Je očividné, že používání složitého jazyka a mnoha právnických obratů v podminkách použití jednotlivých služeb firmám prostě z mnoha důvodů vyhovuje.

Není vše ale černobílé. Některé argumenty oborových organizací mají vysokou relevanci a je třeba o nich diskutovat. Jedním z nich je například institut výslovného souhlasu. Návrh EU chce změnit současný stav, kdy je často souhlas s poskytnutím údajů vágní, a nahradit jej výslovným souhlasem. Profesní organizace chtějí mít možnost formu souhlasu upravit podle kontextu, ve kterém o něj žádají. Tzn. tam kde se bude jednat o méně závažná data by se za souhlas považovalo například již pouhé použití služby (například i proto, že získat výslovný souhlas by bylo technicky velmi obtížné), u závažnějších dat by byl potřeba onen požadovaný výslovný souhlas. 

Relevantní je také připomínka o přílišné byrokratičnosti nařízení v případech nutnosti hlášení jakýchkoli porušení pravidel dozorovému orgánu. Nařízení navrhuje nutnost nahlásit i méně závažné případy, které nepředstavují bezpečnostní riziko, což může vést k zahlcení příslušného úřadu nedůležitými informacemi. Rozporována je i striktní lhůta 24 hodin pro toto nahlášení, kterou organizace navrhují prodloužit na 72 hodin.

Vůbec největší předmět diskuse pak představuje tzv. "právo být zapomenut". Tento institut by měl dát občanům právo požadovat po provozovatelích online služeb odstranění všech informací, které o nich služba kdy zaznamenala. Na první pohled chvályhodný záměr naráží na zatím nevyřešené právní a technické otázky. Pokud např. máte fotografii na sociální síti a je na ní více lidí, kdo může požadovat její odstranění - autor, nebo kterákoli zobrazená osoba? Technologická komplexnost a otevřenost internetu v praxi způsobuje, že takové právo by bylo zřejmě nevynutitelné.

Zatímco u jiných připomínek či ustanovení lze s přimhouřením oka najít nějaké reálné řešení a posoudit jeho dopady, samotný koncept práva být zapomenut je zřejmě ještě třeba podrobit zevrubnější diskusi. Jejím výstupem by pak měl být nějaký kompromis, například stanovení podmínek, za kterých bude mít občan právo požádat vyhledávače či on-line služby, aby některá data odstranily z výsledků vyhledávání. I to je však třeba posoudit ze všech stran a najít realizovatelné řešení. 

Tato diskuse by však neměla zastínit fakt, že některé návrhy z pera lobbistických skupin jsou jednoznačně nepřijatelné. Europoslanci, kteří tak hlasitě vystupují proti postupům tajných služeb v kauze PRISM, by se měli v prvé řadě zajímat o to, zda podobné praktiky neumožňují návrhy, o kterých budou v brzké době hlasovat.