Rozhovor s JANOU PATTYNOVOU, partnerkou advokátní kanceláře Pierstone.

Specializuje se na právo v oblasti informačních technologií, telekomunikací a telekomunikační regulace, ochrany osobních údajů, soutěžního práva, cloud computing, kybernetickou bezpečnost, fúze a akvizice v technologickém sektoru.

Svět technologií dnes už není jen záležitost jednoho státu, díky telekomunikacím, internetu, vesmírným satelitům a dalším technickým vymoženostem dneška a mezinárodně propojeným firmám. Jak se dá zajistit bezpečnost těchto technologií, a především informací získaných díky nim? A z hlediska právního?

Stručně řečeno, velmi obtížně. Novým fenoménem posledních let je, že do kybernetické kriminality se zapojují i skupiny financované některými státy, které mají často finanční možnosti i know-how, kterému ani velké podniky nemohou konkurovat. Málokterý podnik si může dovolit investovat do kybernetické bezpečnosti miliardové částky. Řešením mohou být cloudová úložiště, která tyto investice vynakládají ve prospěch statisíců zákazníků, ale ani to není samospásné řešení. Největší množství kybernetických útoků je založeno na tzv. social engineering, tedy využití chyby či nepozornosti uživatele vyvolané navozením situace, kdy je z psychologického hlediska pravděpodobné, že uživatel chyby udělá. Myslím, že nikdo dosud neobjevil fungující obranu proti tomuto riziku.

Z právního hlediska je důležité, že postupně začíná vznikat legislativa upravující kybernetickou bezpečnost, a to jak na evropské, tak na národní úrovni. Zatím má jen omezené praktické dopady a výsledky, ale myslím, že do budoucna by se mohlo jednat o jeden z důležitých pilířů regulace digitální ekonomiky.

Jak vidíte úroveň IT technologií a jejich bezpečnost v České republice ve srovnání s ostatními státy EU a ve světě? Jaké je právní ukotvení a také soulad a sladění právních předpisu v EU?

Jsem v této oblasti velmi optimistická. Česká republika je kolébkou kybernetické bezpečnosti, alespoň pokud jde o antivirové programy. Světoví lídři v této oblasti, dnes už konsolidovaní do Avastu, pocházejí právě z České republiky. A stále tu vzniká řada skvělých nových technologií. Je škoda, že Česká republika tuto strategickou oblast více nepodporuje. Nedávno jsem měla možnost se zúčastnit akce britské ambasády ve Vídni, kterou britská vláda financovala pro propagaci britských poskytovatelů technologií a služeb kybernetické bezpečnosti ve střední a východní Evropě. Podobné akce pořádají po celém světě. Je škoda, že Česká republika našim podnikatelům v této oblasti nepomáhá se dostat na mezinárodní trhy.

I v oblasti právní regulace kybernetické bezpečnosti jsme v Evropě průkopníky. Česká republika měla zákon o kybernetické bezpečnosti dlouho předtím, než Evropská unie vydala tzv. NIS směrnici, která tuto oblast harmonizuje napříč Evropou. Dodnes je úroveň české implementace této legislativy v prováděcích předpisech jedna z nejdetailnějších v Evropě.

Máte také bohaté zkušenosti v poskytování poradenství společnosti Microsoft v sedmnácti zemích, institucím veřejné správy, finančním institucím, stejně tak telekomunikačním operátorům v celém regionu. Na čem jste se konkrétně podílela?

S digitální transformací došlo k velkému posunu ve vnímání role technologií a jejich právní regulace. Před několika lety jsme tradičně pracovali pouze pro čistě technologické společnosti – IT společnosti, digitální platformy a telekomunikační operátory. V posledních letech se celá řada firem snaží „digitálně transformovat“ a stát se také technologickou společností – ať už jde o banky, retailové společnosti, veřejnou správu nebo třeba i nemocnice. Tím se tradiční profil našich klientů mění z čistě technologických společností na jakékoli podnikatele zavádějící nebo provozující sofistikované technologie.

Nicméně za sebe musím říct, že na nejzajímavějších projektech pracuji pořád pro tradiční technologické společnosti, které jsou v této oblasti většinou o několik kroků napřed. Málokterá společnost řeší regulaci umělé inteligence nebo cloudových technologií v takové komplexitě jako Microsoft. Práce pro telekomunikační operátory a regulátory mi zase dává vhled do právních otázek rozvoje 5G sítí. Každý právník se inspiruje a učí nové věci hlavně na projektech svých klientů. Proto je skvělé mít příležitost pracovat pro ty nejlepší ve svém oboru.

Do různých oblastí života se zavádí i umělá inteligence. Jaké jsou výzvy související s regulací umělé inteligence?

Dnes už si neklademe hamletovskou otázku – regulovat či neregulovat? Minimálně v Evropě je široký konsensus na tom, že regulace umělé inteligence je nezbytná. Cílem regulace je zejména chránit základní hodnoty, na kterých Evropa stojí – demokracie, ochrana soukromé sféry jednotlivce, bezpečnost, fyzická i kybernetická.

Evropská komise vytyčila oblasti, které je s ohledem na umělou inteligenci nutné prostřednictvím regulace chránit. Mezi ně patří možnost řízení a dohledu ze strany člověka, kde systémy využívající umělou inteligenci by měly pomáhat vytvářet spravedlivou společnost podporou lidského faktoru a dodržováním základní práv, nikoliv lidskou nezávislost zmenšovat, omezovat nebo zavádějícím způsobem směrovat. Dále robustnost a bezpečnost, kdy důvěryhodná umělá inteligence musí být založena na bezpečných, spolehlivých a odolných algoritmech, které bude možné použít i v případě, že se vyskytnou chyby nebo bude systém nestabilní, a to během všech životních cyklů systému. Dále je to ochrana a soukromí dat, kdy občané by měli mít plnou kontrolu nad svými údaji a údaje o nich nesmí být použity k jejich újmě ani diskriminaci.

Další je transparentnost, kdy systémy umělé inteligence musí být zpětně kontrolovatelné a sledovatelné. Rovněž také rozmanitost, zákaz diskriminace a rovné zacházení, kdy systémy umělé inteligence by měly zohledňovat celou škálu lidských schopností, dovedností a požadavků a měly by být přístupné všem. Další oblastí je také společenský a environmentální prospěch, kdy systémy umělé inteligence by se měly využívat k podpoře pozitivních sociálních změn a ke zvýšení udržitelnosti a ekologické odpovědnosti. Rovněž také odpovědnost, kdy by měly být zavedeny mechanismy, které zajistí odpovědnost za systémy umělé inteligence a za výsledky jejich činnosti.

A co to znamená v praxi?

V praxi každá regulace naráží hned na začátku na problém definice umělé inteligence. Intuitivně máme každý představu, často značně nepřesnou, co je umělá inteligence. Většina lidí si umělou inteligenci spojuje s machine learning a pokročilejšími systémy. Nicméně, pro účely právní regulace zatím neexistuje žádná obecně přijatá hranice, kde končí hloupý software a začíná umělá inteligence. Nelze vyloučit, že řada regulací se bude aplikovat na jakýkoli software, a půjde tak o regulaci umělé inteligence jen nepřímo. Tento trend vidíme v oblasti ochrany soukromí, kybernetické bezpečnosti či odpovědnosti za vady.

Jak vidíte etiku a zodpovědnost v souvislosti se zavedením umělé inteligence? Kdo bude zodpovědný za přestupky či trestné činy, které spáchá nějaký robot v podobě „člověka“?

Pokud výrobky získají autonomii, tedy budou schopné se samy pohybovat či být jinak v interakci se svým okolím, musí za případnou škodu, kterou způsobí, někdo nést odpovědnost. Přitom je třeba rozlišovat, zda se jedná o odpovědnost škodu způsobenou uživateli nebo třetí osobě.

Pokud se jedná o škodu způsobenou uživateli, bude zpravidla odpovědný výrobce, z titulu odpovědnosti za vady výrobku. Pokud si škodu způsobí sám uživatel nevhodným užíváním, ponese odpovědnost sám. Tedy pokud si například koupíte dron, který Vám následně spadne na hlavu, bude se jednat buď o vadu dronu (např. vadu ovládání) a pak ponese odpovědnost výrobce nebo jste s dronem nevhodně zacházeli, a potom odpovědnost ponesete sami.

Situace se ovšem komplikuje, pokud dojde ke způsobení škody třetí osobě. Pokud ztratíte kontrolu nad svým dronem, a ten spadne na někoho jiného, uplatní se v principu stejná pravidla. Jen z pohledu poškozené osoby mohou být obtížně vymahatelná. Pokud na někoho spadne dron a způsobí mu újmu, dotčená osoba vůbec nemusí vědět, kdo je majitelem a uživatelem dronu. Možná zjistí výrobce, ale nemá s ním žádný smluvní vztah, na základě kterého by se mohla domáhat nároků z vad výrobku.

Proto se s předpokládaným nárůstem autonomních zařízení plánuje i úprava odpovědnosti. V úvahu přichází buď rozšířená odpovědnost výrobce, kombinovaná případně s povinným pojištěním, nebo u některých zařízení rozšíření registrace, podobně jako jsou dnes např. registrovaná motorová vozidla. Rozšířená odpovědnost uživatele pravděpodobně nebude vhodným řešením, protože se vzrůstající autonomií bude mít uživatel menší vliv na fungování výrobku.

V současnosti postupně celosvětově, v ČR nevyjímaje, dochází k digitalizaci fyzického světa ve velkém měřítku, včetně státní správy, zdravotnictví a v mnoha dalších oblastech. Jak bude právně zabezpečena ochrana dat proti zneužití? Jen samotné GDPR asi nepostačí?

Hlavním právním nástrojem, který má za cíl zajistit ochranu klíčových systémů státní správy, ale i zdravotnictví, nebo např. telekomunikačních či distribučních sítí, je zákon o kybernetické bezpečnosti. Klade požadavky na provozovatele těchto klíčových systémů v oblasti ochrany proti kybernetickým útokům.

Regulace kybernetické bezpečnosti se neustále vyvíjí, ať už v České republice, zejména vydáváním prováděcích vyhlášek, tak na evropské úrovni. Například nyní bylo publikováno nové nařízení Evropského parlamentu a Rady č. 2019/881, které upravuje působnost organizace ENISA a předvídá právní rámec evropské certifikace kybernetické bezpečnosti.

Jak vnímáte GDPR? Je to spíše problém či skutečně pomáhá lidem i firmám? Komu vlastně GDPR slouží?

GDPR chrání soukromí osob, tedy pokud chcete, slouží lidem. Chrání základní hodnoty, na které jsme si v Evropě zvykli a které považujeme za ústavní práva. Nejde jen o právo na soukromí, ale nepřímo i třeba o ochranu demokracie nebo právo na spravedlivý proces.

Ochranu demokracie prostřednictvím GDPR jsme mohli vidět na příkladu skandálu kolem Facebooku a Cambridge Analytica. Pokud by neexistovala žádná pravidla pro nakládání s osobními údaji, byl by výsledek voleb brzy jen otázkou investice do příslušných technologií.

GDPR je momentálně také hlavní právní normou, která stanoví určité meze pro využití umělé inteligence, tedy hlavně transparentnost a omezení vytvářet derivovaná data. Proto jsem zmínila právo na spravedlivý proces, které si v Evropě tradičně představujeme tak, že lidská bytost (soudce) podle daných pravidel posoudí jednání jiné lidské bytosti nebo podniku. Asi bychom nechtěli, aby o našich právech místo soudce rozhodoval software. Změnám se nevyhne ani tato oblast, ale je důležité nastavit si hranice tak, aby lidské bytosti kontrolovaly technologie a ne naopak.

Nemyslím, že by si GDPR kladlo za cíl pomáhat firmám. Naopak pro firmy přináší GDPR v první řadě povinnosti, náklady a rizika. Přidanou hodnotu pro firmy by bylo možné hledat jen velmi nepřímo – firmy byly při implementaci GDPR donuceny udělat si pořádek v datech a zlepšit bezpečnostní opatření. To pro ně do budoucna může být výhodou, ale jde jen o výhodu v omezení rizika. Těžko lze za implementaci GDPR hledat nějaké nové příjmy či produkty, samozřejmě s výjimkou IT firem a poradenského sektoru.

Jaké povinnosti z GDPR pro podnikatele plynou? Jsou povinnosti odlišné pro velké korporace, státní instituce či pro malé a střední podnikatele a živnostníky? Co z hlediska GDPR hrozí za porušení ustanovených povinností?

Výčet povinností je dlouhý, ale zjednodušeně řečeno by firmy měly zajistit, že zpracovávají jen data, která jim GDPR povoluje zpracovávat. Zároveň by měly tato data chránit řadou procesních i technických opatření a měly by respektovat práva osob, jejichž data zpracovávají. Plnění těchto povinností by měly komplexně dokumentovat, a to jak interně, tak do jisté míry i navenek. Cílem je co nejvíce se přiblížit stavu, kdy každý jednotlivec kontroluje data, která o něm firmy a stát zpracovávají.

GDPR vzniklo zejména proto, že s nástupem technologií lidé přestali být schopni kontrolovat, kdo o nich shromažďuje jaká data. Evropská unie se rozhodla, že kontrolu lidí nad jejich daty lze vynutit jen uložením přímých povinností podnikatelům a jejich důsledným vynucením. Ukázalo se, že to byla správná úvaha, i když na začátku měla víc kritiků než příznivců.

Často je kritizováno, že GDPR nemá žádná de-minimis ustanovení a i malé společnosti mají podobný rozsah povinností jako např. Facebook nebo Google. Z pohledu malých a středních podnikatelů je to nepřiměřená zátěž. Z pohledu zákonodárce je to odůvodněno zejména tím, že jakékoli de-minimis pravidlo by dávalo prostor obejít aplikaci GDPR. I malé podniky mohou zpracovávat velké množství údajů a rizika mohou být i vyšší, než kdyby tyto údaje zpracovávala velká korporace.

A teď k sankcím. Problémem ochrany soukromí je, že data lze získat zadarmo a generovat na nich obrovské příjmy. Proto je porušování soukromí inherentně velmi výnosné. Zároveň nelze očekávat, že by dozorové orgány byly schopny uložit sankci za každé porušení. Proto GDPR může mít reálný dopad pouze, pokud budou sankce tak vysoké, že se porušování soukromí nevyplatí. Na základě těchto úvah byly stanoveny sankce ve výši až 20 milionů eur nebo čtyři procenta celkového ročního obratu skupiny, jejíž je daný podnik součástí. Je ale třeba uvést, že dozorový orgán sankci uložit nemusí. Může uložit jen nápravné opatření nebo může uložit sankci podstatně nižší, než je maximální hodnota. To se v praxi i děje. Od přijetí GDPR český Úřad pro ochranu osobních údajů zatím neuložil žádnou pokutu dle GDPR, přestože dle výroční zprávy za rok 2018 zahájil 76 kontrol (s výjimkou kontrol zahájených ve věci nevyžádaných obchodních sdělení) a v řadě z nich shledal porušení GDPR a uložil nápravná opatření. Lze ale předpokládat, že do budoucna bude růst tlak na harmonizaci přístupu k sankcím napříč EU.

Kromě sankcí je třeba počítat i s právem osob poškozených porušením GDPR domáhat se náhrady škody, a to i prostřednictvím hromadných žalob. Právní rámec pro hromadné žaloby v České republice v současné době vzniká.

Velké firmy a korporace si mohou dovolit i větší investice do svých IT technologií. Jak ochranu dat a vše s tím související mohou zabezpečit malé a střední firmy a živnostníci? A jak to mohou zabezpečit právně?

Velkým trendem v této oblasti je „bezpečnost jako služba“. I malé podniky si mohou nakoupit škálovatelné cloudové technologie s vysokou úrovní zabezpečení. Jsem přesvědčená, že zajištění kybernetické bezpečnosti v rámci malé proprietární on-premise infrastruktury je dnes téměř nereálné.

Typickým právním řešením je smlouva, nic lepšího dosud nikdo nevymyslel. Ideální je dobrá smlouva, o kterou se můžete opřít, když nastane problém. Dokud nenastane problém, dobrou smlouvu od špatné běžný člověk, a často ani běžný manažer, nerozezná.

Provozovatelé webových stránek (státní instituce, firmy i podnikatelé) musí nastavit tzv. cookies. Ty nastavují z různých důvodů v našich zařízeních na dálku (v našem PC, tabletu, mobilu atd.) spolu s některými třetími stranami, a získávají tak informace o přístupu a ukládání dat. Údaje též mohou shromažďovat různé třetí strany například k zobrazování personalizovaného obsahu a reklamy. I když se musí při použití webu dát souhlas k používání cookies, dotyčný tak ztrácí kontrolu, kdo ho vlastně „sleduje“ a získává provozovatel webové stránky tak o něm či firmě získává cenné informace. Kde je tedy potom ochrana soukromí a dat lidí a firem? Dá se proti tomu nějak bránit?

Evropská unie si již této „díry“ v ochraně soukromí také všimla a připravuje nařízení ePrivacy, které by mělo mít podobné sankce jako GDPR a mělo by mimo jiné upravovat oblast cookies. Mohla bych o této problematice hovořit několik hodin, ale radši čtenáře odkážu na náš mini-web k nařízení ePrivacy, kde je řada „minutových článků“ o novinkách v této oblasti. Každý článek testujeme tak, aby nezasvěcený čtenář během jedné minuty získal pochopení některého aspektu budoucího ePrivacy nařízení. Pro náročnější čtenáře jsou připraveny dvouminutové články.

Právo je defacto všude kolem nás v pracovním i soukromém životě. Dokáže právník někdy také vypnout a odpočinout si? Jak relaxujete?

Já odpočívám pořád – v práci odpočívám od domácích povinností a doma zase od práce. Ale bez legrace, myslím, že všichni si s rozvojem technologií budeme muset dobře hlídat, že neztrácíme kontakt s opravdovým životem. Už dnes se nám může stát, že celé dny nemáme chvilku zajít do přírody nebo třeba s pocitem pohody uvařit večeři pro rodinu nebo přátele. Přitom právě tyto věci z nás činí lidské bytosti. Umělou inteligenci nepředstihneme v efektivitě ani v analytických schopnostech. Můžeme ji předstihnout jen v hloubce prožitku, radosti a vztazích s lidmi kolem nás.

Děkuji za rozhovor.