neděle, ledna 31, 2016

CPDP 2016 - část druhá

Druhý den konference CPDP 2016 (28. 1.) se nesl v duchu oslav mezinárodního dne ochrany osobních údajů. Téměř každý panel, na kterém jsem byl, mezinárodní den ochrany připomínal, jeden z panelů odpoledních sekcí byl přímo pojmenován „Celebrating Data Protection Day“. Při příležitosti této události vystoupil v prvním bloku po obědové pauze jako key note speaker předseda Evropského parlamentu Martin Schulz. O tom však později.

První sekce, kterou jsem navštívil, se věnovala roli a pravomocem národních Data Protection Authorities (DPA), a nesla výstižný podtitul „Mezi SDEU a GDPR“. Prvním řečníkem byla Franziska Boehm (Karlsruhe Institute of Technology). Nabídla shrnutí zásadních rozhodnutí SDEU, které v poslední době vyjasnily, a tím fakticky upravily pravomoc DPA. Rozhodnutí Schrems ujistilo, že DPA má povinnost prošetřit stížnost a zajistit dodržení povinností správce údajů. Rozhodnutí Google Spain přineslo, krom toho že by DPA měly vytvářet vzorové dokumenty pro usnadnění práce internetovým vyhledávačům, první krok v otázce vyjasnění teritoriality a místní působnosti DPA. Přímo na něj navázalo rozhodnutí Weltimmo, které navíc specifikovalo povinnosti DPA z různých států vzájemně spolupracovat. Je zajímavé sledovat rozdíly a návaznosti s navrženou úpravou v GDPR. Dle té, pokud dojde k situaci, že dané zpracování údajů bude náležet do jurisdikce více DPA, musejí se vzájemně dohodnout na řešení. Bart van de Sloot (IViR-UvA) zpochybňoval současné směřování právní úpravy ochrany osobních údajů. Připomněl stále bobtnající délku textu předpisů. Prakticky se však nezvětšuje množství hmotně právní úpravy, ale proces. Tázal se, zda skutečně potřebujeme takto detailní úpravu procesních otázek zajištění práva na ochranu osobních údajů („What about other fundamental rights, like freedom of speech, do they need such detailed and specified regulation?“). Zpochybnil rovněž příliš širokou působnost GDPR, které se vztahuje na všechna zpracování osobních údajů, nehledě na umístění správce, pokud je účelem zpracování cílení na rezidenta EU a vytváření jeho profilu. Příspěvek Hielke Hijmans (Evropský inspektorát ochrany osobních údajů) se soustředil na novinky, které pro DPA přinese pro GDPR. Předně se jedná o zavedení systému kooperace mezi DPA vzájemně a DPA a European Data Protection Board (EDPB). Princip One-Stop-Shop sice zvýší administrativní zátěž na DPA, ale ve spojení s ostatními ustanoveními GDPR zajistí identickou úroveň ochrany napříč EU a tak omezí forum shopping. Druhou změnou je, že DPA přestanou být orgánem národním, ale fakticky se stanou součástí evropského administrativního aparátu. GDPR deroguje národní právní úpravu DPA. Čtvrtým řečníkem byl Georges Weiland (CNPD), člen Lucemburské DPA, který představil, jak jejich úřad funguje a jak se připravuje na chystané změny. Velice zajímavá poznámka vzešla z diskuze následující po příspěvcích řečníků. Dle principu konzistence obsaženého v GDPR, když je řešen případ, který spadá do jurisdikce více DPA, a ty se nedokáží shodnout na jeho řešení, rozhodne  EDPB. EDPB je však čistě unijní orgán. Jakým způsobem bude zajištěn soudní přezkum jeho rozhodnutí? Znamená to v důsledku, že soukromé společnosti (správci údajů) budou moci žalovat přímo u SDEU? Řečníci se na této otázce shodnout nedokázali.
Jako druhou sekci jsem si vybral „Regulatory choices and privacy consequences“. Je třeba předestřít, že byla naprosto skvěle obsazená a spíš než konferenční přednášky připomínala informačně nabitou talk show. Sekci, kterou se stylem, za který by se nemuseli stydět profesionálové z amerických late night show, moderoval David Hoffman (Intel), předsedal jí Chris Kuner, a dále se zúčastnili Kenneth Bamberger (University of California), Susanne Augenhofer (Humboldt-University Berlin), Chris Hoofnagle (School of Informatics, UC Berkeley) a Peter Hustinx (bývalý Evropský inspektor ochrany osobních údajů). Na úvod Kenneth Bamberger představil svoji novou knihu Privacy on the Ground, ve které srovnává úpravu ochrany soukromí a toho jak je soukromí chápáno v pěti vybraných státech. Na základě jeho příspěvku ji řadím na osobní seznam „nutně přečíst“. Chris Hoofnagle následně představil svoji knihu, ve které se zabývá historií Federal Trade Commision ve vztahu k ochraně spotřebitele, do které spadá i ochrana soukromí. Zbytek sekce probíhal ve slušivém kabátku hry „Live – Dead – Zombie“. David Hoffman přečetl provokativní tvrzení (např. „Is right to be forgotten as articulated in GDPR assault on the freedom of expression?“) a panelisté měli rozhodnout, jestli je živé (relevantní, má cenu se o něm bavit), mrtvé (nikdo se o něm nebaví a je to tak dobře), nebo zombie (často probírané, ale řešit by se nemělo, protože to nic dobrého nepřináší). Tuto sekci rozhodně doporučuji shlédnout ze záznamu, až bude k dispozici.
Třetí sekce byla pod taktovkou University of Haifa a její téma bylo „Securing cyber critical infrastructure“. Předsedajícím byl Tal Zarsky (University of Haifa), který již na začátku vysvětlil, že je to v zásadě technické téma, které, byť relevantní, není na CPDP zcela doma. V tomto duchu byla vystavěná i celá sekce. Prvním řečníkem byla Bibi van den Berg (Leiden University) a stručně představila, co se myslí kritickou infrastrukturou. Následovali Michel van Leeuwen (nizozemský Cyber-Security Policy Department), Amit Ashkenazi (izraelský National Cyber Bureau) a Bryan Cunningham (Cunningham Levy Muse) a tématem byly praktické otázky zajištění bezpečnosti kritické infrastruktury.
Čtvrtou sekci zahájil jako key note Martin Schultz, předseda Evropského parlamentu. Jeho řeč byla převážně vpravdě politického rázu, volající po přísnější regulaci kyberprostoru. Domnívám se, že mluvil místy až příliš vyhroceně („Who claims otherwise is naive or protects his personal goals.“), případně úplně mimo ("Those who most loudly call for freedom and absence of regulation are most often those who want to protect their massive revenues."). Potom co odešel, byla samotná sekce nesmírně zajímavá. Její název „Surveillance capitalism: A new societal condition rising“ odkazoval na klíčový pojem z knihy Shoshany Zuboff. Autorka nakonec bohužel nemohla na CPDP dorazit, velmi dobře ji však zastoupil kanadský profesor David Lyon. Ústřední myšlenkou publikace je, že chování a jednání lidí je působením sledovacích technik (primárně soukromých - korporátních) nejen monitorováno, ale rovněž měněno. Zuboff v souvislosti s tímto jevem hovoří o „The big other“. Zbylými účastníky panelu byli Marc Rotenberg (EPIC) a Birgitta Jónsdóttir (islandská poslankyně za Pirátskou stranu) a navázali na myšlenky přednesené Lyonem. Rotenberg se dotkl otázky legitimity ISP a Jónsdóttir popisovala své zkušenosti a upozornila na filosofické důsledky tvrzení společnosti Facebook, že je největší komunitou (zemí?) na planetě.

---
Cesta se uskutečnila v rámci projektu Interception of Electronic Communication in the Czech Republic and Slovakia (MUNI/A/1153/2015)

Žádné komentáře: