V pondělí se po deseti letech právních bojů a třech soudních sporech dočkal rakouský právní aktivista Maximillian Schrems dalšího obřího úspěchu. Irský úřad pro ochranu osobních údajů pokutoval americkou firmu Meta za porušení obecného nařízení o ochraně údajů (GDPR), jehož se dopouštěla tím, že zpracovávala a ukládala data evropských uživatelů v USA, čímž je vystavovala riziku zneužití americkými tajnými službami.
Pro sedmatřicetiletého Schremse, který začal bojovat s Facebookem poprvé jako student na pobytu v Silicon Valley před dvanácti lety právě kvůli rozsáhlému americkému sledování, je to další velké vítězství. A zajímavý příběh o tom, jak jeden právník a aktivista (který mezitím založil evropské centrum pro digitální práva NOYB) dokáže významně ovlivnit obchodní model společnosti s více než stomiliardovými tržbami a zamotat hlavy vládám několika států, Evropské komisi a soudům. Díky jeho žalobám byly už dvakrát zrušeny Evropským soudním dvorem dohody mezi EU a USA, které měly zajistit možnost zpracovávat a ukládat osobní data v USA.
Problém totiž je, že široké oprávnění amerických tajných služeb vyžádat si přístup prakticky k jakýmkoli datům v digitálním prostředí je zcela nekompatibilní s ochranou osobních údajů v Evropské unii. Americké bezpečnostní složky mají v rámci několika programů, jejichž existenci odhalil whistleblower Edward Snowden, poměrně značné šmírovací pravomoci, což znamená zcela bezbřehý přístup k datům Evropanů zpracovávaných firmami v USA. Navíc řada digitálních gigantů – jako je Google nebo Facebook – s tajnými službami přímo spolupracovala či spolupracuje.
To je samozřejmě v rozporu s GDPR a irský regulátor to ohodnotil pokutou 1,2 miliardy eur. Paradoxně až poté, co mu to v podstatě nařídila nadřízená Evropská rada pro ochranu dat, což je orgán složený ze všech úřadů na ochranu osobních údajů v členských státech. Irský úřad je tradičně velmi líný GDPR vymáhat a do rozhodování se mu nikdy nechtělo, protože malé Irsko je k digitálním gigantům daňově i jinak velmi vstřícné a nechce o tento status přijít. Ironií osudu to bude právě Irsko, které teď obří pokutu inkasuje do rozpočtu. Ze strany EU je to také trochu pokrytectví, protože sama unie připravuje regulační opatření, které by prolomilo soukromí v internetovém provozu ve jménu boje proti dětské pornografii a některé státy jako třeba Španělsko to podporují velmi nadšeně.
Nicméně pokuta není to, co Metu bude reálně bolet. Zaplatit ekvivalent čistého zisku za tři týdny činnosti zamrzí, ale není to nic zásadního (akcie společnosti koneckonců v pondělí na pokutu reagovaly růstem o 1,09 procenta). Nejhorší je, že Meta musí do šesti měsíců přestat zpracovávat a ukládat evropská data v USA. A hlavně tam již existující data „uvést do souladu s kapitolou V GDPR“ – což ale v podstatě znamená, že je bude muset smazat. Nejde jenom o data, která jsou vidět, jako fotky, příspěvky nebo komentáře, videa, ale i o údaje o uživatelích z EU, které Meta získala díky tomu, že je může sbírat od třetích stran (například díky takzvanému Meta Pixelu, drobnému kódu, který využívají provozovatelé různých webových stránek a který pomáhá v cílení reklamy). Klidně se vsadím, že to bude pro Metu znamenat neuvěřitelné a skoro neřešitelné technické problémy, protože – pokud to řekneme velmi diplomaticky – úroveň data governance, tedy vnitrofiremních procesů určujících, jak se s daty nakládá, je ve firmě slabá.
Na jednu stranu můžeme argumentovat samozřejmě tím, že „šmírovací kapitalismus“, který tu Facebook předvádí léta, je obchodní model, jehož zničení nebude svět mrzet. Na druhou stranu je tu ale legitimní podnikatelský zájem celosvětově působících digitálních společností mít možnost tato data přenášet, protože na nich se učí algoritmy, systémy umělé inteligence a podobně a rozdílné regulace v jednotlivých zemích je stavějí před samá špatná nebo extrémně drahá řešení. Ukazuje se to na příkladu sociální sítě TikTok, která nyní staví obří „datová sila“ pro uchování osobních dat amerických uživatelů v USA a evropských uživatelů v EU, aby uklidnila regulátory, že data neputují do Číny. Nadměrné požadavky na lokalizaci dat jdou navíc proti smyslu internetu jako světové sítě a jsou i bezpečnostním rizikem, protože omezují možnost států i korporací tvořit zálohy mimo území daného státu, využívat data z celého světa například pro analýzu obrany před kyberútoky a podobně.
Reakcí na pokutu ve smyslu, jak jsme to natřeli zlým Američanům, bylo v pondělí dost. Správnou politickou reakcí ze strany Evropy by ale byl daleko větší tlak na transatlantickou dohodu, která je v zájmu obou stran a obě budou muset také trochu ustoupit. Zatím to tak nevypadá, protože návrh na rámcovou dohodu o soukromí mezi EU a USA se nijak zvlášť nelíbí ani europoslancům, ani regulátorům.
