Prinášame ti rozhovor s Jakubom Berthotym, advokátom špecializujúcim sa na oblasť súkromia a technológií z kancelárie Dagital Legal. V našom rozhovore sme sa rozprávali o tom, aké problémy prinieslo GDPR podnikateľom a aký vplyv môže mať nová smernica o autorskom práve na menšie mediálne vydavateľstvá v Európe?

Ak nezaplatíš, vypnú ťa. Obľúbená sociálna sieť zavádza bizarný poplatok

Chlapi „vyzliekajú” ženy cez umelú inteligenciu. Otestovali sme najbizarnejšiu technológiu súčasnosti, je to vôbec legálne?

Zamrzlo peklo. Jedna z najlepších funkcií Google smartfónov oficiálne prichádza na iPhone

Nariadenie je v platnosti už takmer rok, ale neprišlo ako blesk z jasného neba, jeho prvý návrh bol už z roku 2012. GDPR prinieslo okrem nových povinností v ochrane osobných údajov aj mnoho nejasností či dokonca strach. Z GDPR sa tak stal akýsi strašiak, no boli tieto obavy opodstatnené?

V tejto téme sa veľmi dobre orientuje Jakub Berthoty, ktorý je zakladateľom advokátskej kancelárie Dagital Legal úzko špecializovanej na oblasť súkromia a technológií. Nájdeš ho aj na technologicko-inovatívnej konferencii Techsummit 2019, ktorá sa bude konať 29. a 30. mája 2019 v Grand Hoteli River Park v Bratislave.

V rozhovore sa okrem iného dozvieš:

• Čo všetko sa v praxi zmenilo od zavedenia GDPR;
• Ako zareagovali na zmenu giganti ako Google či Facebook;
• Ako zmení sporný Článok 15 a 17 smernice o ochrane autorských práv fungovanie populárnych satirických stránok;
• Či je zbieranie citlivých dát nevyhnutnou súčasťou našich životov;
• Či budú ohrozené stránky ako Emefka či Zomri po zavedení novej smernice;

Nariadenie GDPR je v platnosti už takmer rok, čo všetko sa v praxi zmenilo za toto obdobie?

Na Slovensku už dážď nie je tak silný a hmla ustúpila, stále je však u nás hnusné počasie. Ani zďaleka nie sme na GDPR pripravení, mnohé firmy začínajú s auditmi na ochranu osobných údajov len teraz, väčšina neurobila prakticky nič, mnohé si uvedomujú, že zverili GDPR tému nesprávnym ľudom a problém pretrváva.

Začínajú sa na povrch dostávať oveľa fundamentálnejšie problémy ako napr. nepripravenosť nášho právneho poriadku, zákona o ochrane osobných údajov, historicky nesprávny výklad základných pojmov. Mnohé základné výkladové otázky sú otvorené a riešia sa aj na úrovni EÚ. Je to však normálne, týmto si prešli aj iné oblasti práva ako napr. súťažné právo. Treba tiež povedať, že iné časti sveta rozmýšľajú o niečom ako GDPR a EÚ je v tomto smere vzorom.

Viete mi priblížiť, čo všetko znamenalo zavedenie GDPR pre slovenského používateľa?

Výrazné posilnenie jeho práv. Ak sa dnes používateľ spýta akejkoľvek firmy ako spracúva jeho osobné údaje, firmy reagujú zodpovednejšie, obsiahlejšie, rýchlejšie. Katalóg tzv. práv dotknutej osoby sa rozšíril a prehĺbil. Na druhej strane, slovenský používateľ si stále neuvedomuje, že nejde o absolútne práva, ktoré sa uplatňujú vždy.

Čo spôsobuje v praxi podnikateľom najväčší problém vo vzťahu ku GDPR?

Niektorí naši klienti majú milióny zákazníkov, čo znamená desiatky až stovky žiadostí zákazníkov podľa GDPR mesačne. V zahraničí tieto čísla môžu byť v tisíckach mesačne. Naša kancelária vyvinula softvérové riešenie tohto problému, ktoré prvýkrát predstavíme na konferencii Techsummit 2019, ktorá sa bude konať 29. a 30. mája 2019 v Bratislave. Voláme ho Rodger.

V súvislosti s GDPR nastali pri ochrane osobných údajov rôzne zmeny. Ide skôr o zmeny pozitívne alebo negatívne?

Zmeny sú pozitívne. Negatívne sú len sprievodné javy zavedenia GDPR, za ktoré nemôže GDPR, ale za ktoré môžeme my samy tým, čo sme tu mali pred GDPR a tým ako vykladáme GDPR. Ak niekto vníma povinnosť správať sa zodpovedne k dátam za negatívnu zmenu pre podnikateľov, neuvedomuje si, že budúcnosť je o dátach.

Prvý predpoklad toho, že niekedy budeme dátovou ekonomikou je ten, že vieme aké dáta, o kom, odkiaľ, prečo a ako dlho máme. Zmena je pozitívna aj preto, že zabúdame na to, aké všetky nezmysly GDPR zrušilo. Na to by však kritici GDPR museli poznať prax v tejto oblasti pred GDPR.

Zmení nová smernica o autorskom práve fungovanie populárnych stránok ako napríklad Zomri, prípadne Emefka, ktoré sa zaoberajú tvorbou vtipných meme obrázkov?

Tvorba satiry alebo vtipných meme obrázkov nie je novou smernicou dotknutá, keďže z článku 15 existujú výnimky, ktoré zabezpečujú, aby sa používatelia v každom členskom štáte mohli spoľahnúť na ktorékoľvek nasledujúce existujúce výnimky alebo obmedzenia pri nahrávaní a sprístupňovaní obsahu vytvoreného používateľmi v oblasti online služieb zdieľania obsahu na účely citácie, kritiky, zhrnutia alebo použitia na účely karikatúry, paródie alebo pastiša. Stránky ako Zomri alebo Emefka sa môžu spoľahnúť na túto výnimku. 

V mediálnom biznise sa točia ročne desiatky miliárd dolárov. Veľké mediálne domy túto smernicu pravdepodobne ustoja bez zásadných ťažkostí. Nebude naopak táto smernica z hľadiska možných pokút likvidačné pre menšie mediálne domy na menších európskych trhoch?

Ak vydavateľ tlače má zároveň online webové sídlo vrátane prevádzkovania blogu, vzťahuje sa na neho článok 15 smernice, t.j. v prípade porušenia autorských práv blogermi je za takéto konanie zodpovedný. Každý takýto vydavateľ tak buď blogy zruší alebo investuje do technických riešení na filtrovania nahrávaného obsahu (ktoré je samo o sebe problém, keďže algoritmus nemusí správne vyhodnotiť, či ide o obsah, ktorý autorské práva porušuje alebo nie). Pre menších vydavateľov to môže predstavovať nemalú finančnú záťaž.

V súvislosti so spornými článkami 15 a 17 novej smernice o autorskom práve sa hovorí, že táto reforma má viesť ku kvalitnejšiemu a transparentnejšiemu internetu. Môže ohroziť toto nariadenie fungovanie menších mediálnych vydavateľstiev a domov v Európe?

Nemyslím si, že táto reforma vedie ku kvalitnejšiemu internetu, naopak môže ohroziť fungovanie menších vydavateľstiev ako hovoríte, pretože bude zvyšovať ich licenčné náklady a zodpovednosť. Článok 17 upravuje zodpovednosť tzv. poskytovateľov online služieb zdieľania obsahu (ako napr. YouTube), to znamená služby, kde verejne dostupný obsah tvoria užívatelia nahrávaním svojich diel (vrátane blogov). Podľa novej smernice je takýto poskytovateľ povinný získať licenciu na tieto diela od všetkých potenciálnych držiteľov práv. Ak sa tak nestane, poskytovateľ je zodpovedný za verejne dostupný obsah, ktorý mu nahrali užívatelia.

Článok 15 sa týka vydavateľov tlače, ktorý majú právo na odmenu za použitie ich správ prevádzkovateľmi služieb informačnej spoločnosti. Nebude tak možné, aby užívateľom Google alebo Facebook zobrazoval časti správ zdarma. Na jednej strane mediálne vydavateľstva získajú nové právo, z ktorého im môžu plynúť komerčné výhody a zisky.

Na strane druhej sa dostanú do nepríjemnej pozície voči technologickým gigantom ako Google, ktorý za nevýhodných podmienok nebude ďalej zobrazovať odkazy na novinové články a tým obmedzovať ich dostupnosť pre užívateľov, čo je mínus z marketingového a obchodného hľadiska. Menšie vydavateľstvá tak v skutočnosti týmto novým právom nezískajú až tak veľa.

Dokáže GPDR poskytnúť transparentnejší internet? Môže ohroziť Článok 13 a 14 GDPR fungovanie menších mediálnych vydavateľstiev v Európe?

Nemôže. Podľa týchto článkov má každý prevádzkovateľ poskytovať základné informácie o tom ako spracúva osobné údaje. Táto povinnosť nemôže ohroziť nikoho, ide o elementárnu slušnosť. Čo môže ohroziť digitálny trh je však sesterské ePrivacy nariadenie, ktoré sa ešte len pripravuje. Týka sa biznis modelov, ktoré sú postavené na cielení a zobrazovaní reklamy napr. cez cookies, pixely, advertising IDs a podobné technológie. Už dnes platí, že je to možné robiť len na základe súhlasu adresáta, enforcement je však nulový. ePrivacy však pravdepodobne k tomto pravidlu pridá sankcie GDPR a Úrad na ochranu osobných údajov.

Zavedenie GDPR sa predovšetkým týka technologických gigantov pôsobiacich na európskom trhu. Ako zareagovali na GDPR spoločnosti ako Facebook, Google, či Twitter?

V roku 2010 povedal Mark Zuckenberg, že súkromie už neexistuje a že nejde o spoločenskú normu. Dnes Facebook hovorí, že je lídrom v oblasti súkromia. V roku 2015 Barack Obama povedal, že GDPR je nástroj, ktorým chce EÚ spomaliť rasť amerických firiem a dobehnúť ich. Dnes v Kalifornii platí niečo obdobné ako GDPR, CCPA.

Podstatne sa teda zmenila rétorika, ale na pozadí je to ten istý biznis, ktorý napriek GDPR profituje a rastie ďalej. Biznis model týchto spoločností nie je zakázaný podľa GDPR, ale je postavený na iných hodnotách a zásadách, s ktorými bude mať vždy trecie plochy.

Faktom je, že všetci technologickí giganti (Google, Facebook, Twitter) zbierajú o ľuďoch veľmi citlivé dáta. Je už dnes zbieranie týchto citlivých dát nevyhnutnou súčasťou našich životov a bez nich by si tieto firmy nevedeli predstaviť svoje fungovanie?

Áno, ale je možné, že v budúcnosti sa úplne zmení spôsob ako využívame hodnotu našich dát. Dnes naše dáta vymieňame pomerne lacno za obsah, služby, aplikácie, ktoré sú zadarmo alebo za drobnú sumu. Ak sa skutočne dotiahne ePrivacy do praxe, je možné, že dátoví giganti nám ponúknu za naše dáta viac ako teraz, a to preto, aby nás motivovali udeliť im súhlas s robiť s našimi dátami to čo chcú.

V januári tohto roka dostal Google za porušenie pravidiel ochrany osobných údajov rekordnú pokutu vo výške 50 miliónov dolárov. Nemal by ísť práve Google príkladom pre ostatných? Prečo systematicky vystavuje seba ako spoločnosť vážnym porušeniam?

Určite mal. Nikto však nechce byť ten prvý, kto si odreže celú nohu, ak možno stačí odrezať si ju len po členok. Ide o postupné stretávanie sa v strede. Salámovou metódou sa odstraňujú nedostatky a hľadajú sa alternatívy, ktoré nahradia príjmy z odstránených nedostatkov.

Táto pokuta je pre Google smiešna. Obrat Googlu za rok 2018 bol 136 miliárd dolárov a zisk 40 miliárd dolárov. Ide o bezvýznamný náklad kalibrovania celej firmy na to, čo od nej chce Európa.

Dokáže byť GDPR z hľadiska možných pokút likvidačné pre menšie mediálne domy na menších európskych trhoch?

Toto je mýtus, ktorý šíria politici a lobisti, ktorí nemajú nič lepšie na programe. V skutočnosti nie je možné, aby pokuta podľa GDPR bola likvidačná, pretože každá pokuta musí byť účinná, primeraná a odrádzajúca pre jej adresáta. Čím menší podnik, tým menšia pokuta. Pozrite sa na zoznam pokút uložených v EÚ, ktoré sme zhrnuli v našom blogu. Žiadna z týchto pokút, akokoľvek vysoké sú, nebola pre adresáta likvidačná.

GDPR je nariadenie európskeho parlamentu a teda aj mimoeurópske firmy pôsobiace na tomto území musia GDPR dodržiavať. Môže sa stať, že stratí digitálny európsky trh „hnací motor“ voči tomu americkému? Nie je toto nariadenie priveľmi obmedzujúce na vzostup digitálneho priemyslu v Európe?

Trend je opačný. Ekvivalenty GDPR sa začínajú zavádzať inde vo svete – Kalifornia, Kanada, Austrália, Brazília, Japonsko. Legislatíva iba reaguje na technologický rozvoj a z obavy, že prichádza príliš veľký technologický skok – napr. v oblasti umelej inteligencie, je tu snaha legislatívcov pripraviť sa. Európa bude prinášať ďalšie pravidlá.

Najbližšie to bude ePrivacy, je tu dlhodobý fokus na kyberbezpečnosť a začíname očakávať legislatívu venujúcu sa špecificky umelej inteligencii, aj tou je aj GDPR a aj ePrivacy. Európa v tomto smere nepoľavuje, ale zvyšuje na obrátkach. Takisto aj iné krajiny, ktoré nás nasledujú.