Podcast na Právo informačních technologií a kyberbezpečnost

Kapitoly

Kdo nese zodpovědnost?

Musí poskytovatel všechno kontrolovat?

Kdo musí poslouchat NÚKIB?

Nástroje kybernetické bezpečnosti

Zločin a trest v kyberprostoru

Recept na zločin

Nejčastější online prohřešky

Digitální místo činu

Jak se stopa stane důkazem

Data v cloudu a na síti

Když pomáhá poskytovatel

Právo na soukromí

Co jsou osobní údaje?

Kdy se smí mé údaje použít?

Správce versus Zpracovatel

Moje práva podle GDPR

Citlivé údaje a konec marketingu

Shrnutí a rozloučení

Přepis

Klára: Představte si studentku, třeba Vikču. Celý semestr si poctivě dělala poznámky, krásně je zpracovala a nahrála je na veřejné cloudové úložiště, aby je mohla sdílet s kamarády před státnicemi. Super nápad, že? Jenže co když se v těch poznámkách objeví kusy skript chráněných autorským právem? Kdo za to nese odpovědnost? Vikča? Nebo snad ta obrovská firma, co provozuje cloud?

Klára: Tohle je přesně ta otázka, která může zamotat hlavu. Posloucháte Studyfi Podcast a dnes se s expertem Tomášem podíváme na právo informačních a komunikačních technologií. Takže, Tomáši, jak to tedy je? Kdo má problém, když Vikča nasdílí něco, co neměla?

Tomáš: Skvělá otázka, Kláro! A odpověď je... komplikovaná. Právo rozlišuje tři základní role, ve kterých se poskytovatel internetových služeb může ocitnout. Představ si to jako tři různé druhy dopravy informací.

Klára: Dopravy? Dobře, to zní srozumitelně. Jsem zvědavá.

Tomáš: První je takzvaný „mere conduit“ neboli prostý přenos. To je tvůj poskytovatel internetového připojení. Jeho role je jako pošťák. Zajímá pošťáka, jestli v dopise posíláš recept na bábovku, nebo plány na ovládnutí světa?

Klára: Vůbec ne. Jen doručí obálku z bodu A do bodu B. Nesmí ji ani otevřít.

Tomáš: Přesně! Poskytovatel připojení není odpovědný za obsah, pokud přenos sám nevyvolal, nevybral si příjemce a hlavně – nijak nezměnil obsah toho, co se posílá. Stát mu sice může nařídit zablokovat konkrétní adresu, třeba nelegální online kasino, ale nemůže mu přikázat, aby prohledával všechna data svých uživatelů.

Klára: Rozumím. Takže pošťák je z obliga. Co je ta druhá role?

Tomáš: Druhou je „caching“ neboli ukládání do mezipaměti. To dělají třeba služby CDN, které zrychlují načítání webových stránek tím, že si ukládají jejich kopie na různých serverech po světě. Je to jako knihovna, která si pořídí deset kopií nejžádanější knihy, aby na ni lidi nemuseli čekat.

Klára: Takže když si chci přečíst článek z New Yorku, nemusí data letět přes celý oceán, protože kopie už je někde blíž, třeba ve Frankfurtu?

Tomáš: Přesně tak! A poskytovatel takové služby není odpovědný za obsah, pokud ho nemění a hlavně, pokud data smaže hned, jak se smažou na původním serveru. Když autor knihu stáhne z prodeje, knihovna taky musí přestat půjčovat své kopie.

Klára: To dává smysl. A teď se dostáváme k tomu cloudu naší Vikči, že? To bude asi ten třetí typ.

Tomáš: Trefa. Třetí a nejzajímavější je „hosting“. To jsou všechny služby, kam uživatelé sami nahrávají obsah. Facebook, YouTube, diskuzní fóra a ano, i cloudová úložiště. Tady je poskytovatel jako majitel veřejné nástěnky.

Klára: A ten za vzkazy na nástěnce neodpovídá... dokud se o problému nedozví?

Tomáš: Bingo! Tomu se říká princip „notice-and-takedown“. Dokud poskytovatel neví, že je na jeho platformě protiprávní obsah, je v pohodě. Ale jakmile ho na to někdo upozorní – ať už poškozený autor, nebo kdokoliv jiný – musí jednat. A to okamžitě.

Klára: Okamžitě znamená co? V řádu minut?

Tomáš: Právě v tom je ten háček. „Okamžitě“ se vykládá různě. V Německu třeba soud uznal, že když je odpovědná osoba na dovolené, tak se to nepočítá. U nás takový případ ještě nebyl. Ale obecně to znamená, že nemůžeš nahlášení ignorovat týden.

Klára: Takže Vikča má primární odpovědnost, ale pokud to někdo nahlásí a cloudová služba nic neudělá, už v tom lítá taky. Chápu to správně?

Tomáš: Naprosto správně. A je tu ještě jedna výjimka – pokud by to cloudové úložiště samo vyvolávalo dojem, že ten obsah je jeho, třeba by ho aktivně propagovalo, pak by byla odpovědnost mnohem přímější.

Klára: Dobře, takže funguje princip „nahlaš a odstraň“. Ale neměl by takový Facebook nebo YouTube aktivně kontrolovat, co tam lidi nahrávají? Aby se předešlo problémům?

Tomáš: To je skvělý postřeh a vede nás to k dalšímu velkému tématu: aktivní monitoring. A tady je zákon, konkrétně evropské nařízení DSA, docela jasný. Poskytovatelům se obecně neukládá povinnost proaktivně monitorovat veškerý obsah.

Klára: Proč ne? Vždyť by to vyřešilo spoustu problémů s nelegálním obsahem, ne?

Tomáš: Možná, ale za jakou cenu? Představ si, že by pošta musela číst každý tvůj dopis. Byl by to obrovský zásah do soukromí a svobody projevu. Navíc by to bylo technicky i finančně neúnosné. Proto je obecný, preventivní dohled nad všemi uživateli zakázaný.

Klára: Takže žádné velké síto, které by chytalo všechno špatné hned při nahrávání?

Tomáš: Přesně. Ale pozor, to neznamená, že nemají žádné povinnosti. Zaprvé, můžou a často i dobrovolně zavádějí filtry. A zadruhé, soud nebo jiný orgán jim může nařídit cílený dohled. Třeba sledovat jednoho konkrétního uživatele, který opakovaně prodává padělky.

Klára: Aha, takže ne plošný dohled, ale cílený ano. To je velký rozdíl.

Tomáš: Obrovský. Slavný je případ L'Oréal versus eBay. EBay musel zavést opatření, aby se na jeho platformě neprodávaly padělky kosmetiky L'Oréal. Nešlo o kontrolu všeho, ale o zavedení preventivních mechanismů proti konkrétnímu, opakujícímu se problému.

Klára: Takže je to taková balancovaná odpovědnost. Nejsi policajt, ale ani nemůžeš strkat hlavu do písku, když se u tebe na dvorku děje něco nekalého.

Tomáš: Perfektně řečeno. Poskytovatel má povinnost jednat, když je upozorněn, a má prevenční povinnost, aby se problémům předcházelo rozumnými prostředky. Ale nemusí být vševědoucí Velký bratr.

Klára: Pojďme se posunout dál. Často slýcháme o kybernetické bezpečnosti a o Národním úřadu pro kybernetickou a informační bezpečnost, tedy NÚKIBu. Kdo všechno vlastně musí tenhle úřad poslouchat?

Tomáš: To je klíčová otázka. Zákon o kybernetické bezpečnosti definuje takzvané „povinné subjekty“. A není jich málo. Nejde jen o státní instituce. Představ si všechno, na čem je naše společnost závislá.

Klára: Takže... elektrárny, nemocnice, banky, doprava?

Tomáš: Přesně. To je takzvaná kritická informační infrastruktura a poskytovatelé základních služeb. Jejich výpadek by měl obrovský dopad na ekonomiku a běžný život lidí. Dále sem patří třeba i poskytovatelé internetu a významné státní systémy.

Klára: A co digitální služby? Třeba vyhledávače nebo cloudové služby, o kterých jsme mluvili?

Tomáš: Ano, i ty. Zákon pamatuje i na poskytovatele digitálních služeb, jako jsou online tržiště, cloudy a vyhledávače. Každá z těchto kategorií má trochu jiné povinnosti, od hlášení incidentů po zavedení konkrétních bezpečnostních opatření.

Klára: A slyšela jsem, že se chystá změna. Nějaká směrnice NIS2. Co to pro nás znamená?

Tomáš: Znamená to velkou věc. Nový zákon, který implementuje směrnici NIS2, dramaticky rozšíří počet povinných subjektů. Bude se to týkat mnohem více firem z různých odvětví, jako je energetika, doprava, a dokonce i sociální sítě.

Klára: Takže víc firem bude muset reportovat NÚKIBu a zavádět bezpečnostní opatření?

Tomáš: Přesně tak. Nově se firmy budou dělit do režimu vyšších a nižších povinností. A co je zajímavé, vrcholové vedení firem bude mít povinnost se v kyberbezpečnosti aktivně vzdělávat. Už se nebude možné vymlouvat, že „tomu ajťáci rozumí líp“.

Klára: To zní jako krok správným směrem. Kyberbezpečnost se týká všech.

Tomáš: Rozhodně. A pokuty za nedodržení budou mnohem vyšší. Cílem je prostě zvýšit celkovou odolnost státu proti kybernetickým hrozbám.

Klára: Když už mluvíme o hrozbách, jaké má vlastně NÚKIB nástroje, aby je zvládal? Co může dělat, když se něco semele?

Tomáš: NÚKIB má v rukávu několik es. Můžeme je rozdělit na preventivní a reaktivní. Ta první, prevence, jsou bezpečnostní opatření. To jsou v podstatě standardy a vnitřní normy, které musí povinné subjekty implementovat. Třeba proškolení zaměstnanců nebo zabezpečení sítě.

Klára: A co když se objeví nějaká nová hrozba, o které se ještě neví?

Tomáš: Pro tenhle případ existuje „varování“. NÚKIB ho zveřejní na svých stránkách a upozorní povinné subjekty. Samo o sobě ti to nic nepřikazuje. Ale... pokud varování ignoruješ a pak ti vznikne škoda, na kterou to varování upozorňovalo, jsi za ni plně odpovědný. Porušil jsi prevenční povinnost.

Klára: To je chytré. Je to jako meteorologická výstraha před bouřkou. Nemusíš si schovávat zahradní nábytek, ale když ti ho pak vichřice odnese, nemůžeš se divit.

Tomáš: Perfektní přirovnání! No a pak jsou tu ty reaktivní nástroje, když už incident probíhá. Tam máme „reaktivní opatření“ a „ochranné opatření“.

Klára: Jaký je v nich rozdíl?

Tomáš: Reaktivní opatření je okamžitá reakce na konkrétní incident, pro konkrétního adresáta. Je to jako když hasiči přijedou k požáru a přikážou ti evakuovat dům. Musíš poslechnout hned. A musíš jim oznámit, že jsi to udělal.

Klára: A to ochranné?

Tomáš: Ochranné opatření se vydává na základě zhodnocení incidentu a míří do budoucna, aby se něco podobného neopakovalo. To je spíš jako když po povodni postaví protipovodňovou hráz. Je to poučení z krize.

Klára: Na závěr se pojďme podívat na tu nejtemnější stránku – na trestné činy. Když někdo spáchá zločin pomocí počítače, jak se to vlastně klasifikuje? Je to všechno na jedno brdo?

Tomáš: Vůbec ne. Trestní zákoník to pěkně rozlišuje. Můžeme si to zjednodušit do tří kategorií. První jsou činy, které jsou na počítači zcela závislé, tzv. „cyber-dependent“.

Klára: To by bylo co? Třeba hacknutí banky?

Tomáš: Přesně. Nebo vytvoření a šíření viru. Bez počítačové sítě by takový trestný čin vůbec nemohl existovat. Druhá kategorie jsou činy, které jsou počítačem jen „umožněné“ – „cyber-enabled“.

Klára: Jako třeba... podvod přes e-mail, phishing?

Tomáš: Ano. Podvod jako takový existoval vždycky, ale počítač mu dává nový rozměr, umožňuje ho páchat ve velkém a anonymně. A třetí kategorie jsou činy, kde je počítač jen nástroj, „cyber-supported“. Třeba když si teroristé plánují útok přes šifrovanou komunikaci.

Klára: Rozumím. Takže záleží na tom, jakou roli ten počítač v celém tom činu hraje.

Tomáš: Přesně tak. A mezinárodní úmluvy, třeba Úmluva o počítačové kriminalitě, to ještě dělí podle toho, na co útok míří. Jestli na důvěrnost a integritu dat, jako je odposlech nebo mazání souborů, nebo jestli jde o trestné činy související s obsahem, jako je třeba dětská pornografie.

Klára: Je toho opravdu hodně. Člověk si ani neuvědomí, jak komplexní právní rámec za celým digitálním světem stojí.

Tomáš: A to jsme dnes jen tak lehce klouzali po povrchu. Ale myslím, že pro základní orientaci to stačí. Nejdůležitější je pamatovat, že internet není žádné právní vakuum. Pravidla platí i tady.

Klára: Přesně. A když mluvíme o pravidlech, tak mě hned napadá trestní právo. To je ta nejtvrdší forma pravidel. Co přesně se tedy v online světě považuje za trestný čin? Nestačí jen říct 'hacking'.

Tomáš: To rozhodně ne. Právníci milují přesné definice. Každý trestný čin má něco, čemu říkáme 'skutková podstata'. Představ si to jako recept na dort. Musíš mít všechny správné přísady, aby to byl ten konkrétní dort.

Klára: Recept na zločin? To zní zajímavě. Jaké jsou tedy ty přísady?

Tomáš: Jsou čtyři. Subjekt, tedy pachatel. Objekt, tedy to, co je chráněno – třeba soukromí nebo majetek. Pak objektivní stránka, což je samotný čin a jeho následek. A nakonec subjektivní stránka, tedy úmysl. Bez všech čtyřech to prostě není trestný čin.

Klára: Aha, takže nestačí, že se něco stane. Musí být prokázáno, že to pachatel chtěl udělat. Dává to smysl.

Tomáš: Přesně tak. A abychom byli konkrétní, můžeme se podívat na pár příkladů. Klasika je neoprávněný přístup k počítačovému systému. To je ten hacking. Je to jako by ses někomu vloupal do digitálního domu.

Klára: Dobré přirovnání. Co dál?

Tomáš: Třeba porušení tajemství dopravovaných zpráv – to je, když si přečteš cizí e-maily nebo zprávy na Messengeru. Nebo ještě horší, neoprávněné opatření platebního prostředku, když někomu vylákáš údaje ke kartě.

Klára: Počkat, takže i když si jen ze zvědavosti přečtu kamarádovi zprávy na jeho odemčeném telefonu, teoreticky páchám trestný čin?

Tomáš: Teoreticky ano! Samozřejmě, mluvíme o situacích, kde vznikne nějaká škoda nebo újma. Ale zákon je v tomhle jasný. Nikdo nemá právo číst tvé soukromé zprávy bez tvého vědomí.

Klára: To je dobré vědět. A jak vlastně policie takové věci vyšetřuje? Jak seberou důkazy? Nemůžou mi přece jen tak vtrhnout domů a zabavit notebook, že ne?

Tomáš: To rozhodně nemůžou, nejsme v akčním filmu. Je to proces. Stejně jako u klasické domovní prohlídky, i na tu 'digitální' potřebují příkaz od soudce. Musí přesně zdůvodnit, proč chtějí prohledat zrovna tvůj počítač nebo telefon.

Klára: A co když ty důkazy rychle smažu? To je přece otázka pár kliknutí.

Tomáš: To je častý omyl. Tady přichází na řadu něco, čemu se říká 'data retention' neboli uchovávání údajů. Poskytovatelé internetu musí ze zákona uchovávat provozní údaje po dobu šesti měsíců. Takže i když smažeš e-mail z tvé schránky, stopa o jeho odeslání, včetně toho, odkud šel a kam, tam prostě zůstane.

Klára: Páni. To je trochu děsivé, ale pro vyšetřování to asi dává smysl. Takže shrnuto: digitální stopy jsou reálné, skoro nesmazatelné a policie má jasně dané postupy, jak je zajistit.

Tomáš: Přesně tak. Žádný Divoký západ. A právě o těch digitálních stopách a jak fungují jako důkazy u soudu, si můžeme povědět víc příště.

Klára: Ahoj a vítejte zpátky u Studyfi Podcastu! Tomáši, minule jsi nakousl, že digitální stopy nejsou žádný Divoký západ. Tak pojďme na to. Jak se z takové neviditelné stopy stane pádný důkaz u soudu?

Tomáš: Ahoj Kláro. Rád to rozeberu. A teď možná posluchače překvapím... Pro digitální důkazy totiž neexistuje žádný speciální zákon.

Klára: Počkat, cože? Takže policie používá pravidla, která vznikala v době, kdy největší technologií byl telegraf?

Tomáš: No, ne tak docela. Používají se standardní nástroje trestního práva. Ale je tu jeden velký háček – soudce často nerozumí zdrojovému kódu nebo metadatům. Je to, jako bys mu dala chemický vzorec místo jasného popisu, co ta látka dělá.

Klára: Rozumím, takže je potřeba „překladatel“. Ale jak se k těm datům policie vůbec dostane? Nemůžou mi přece jen tak vzít notebook.

Tomáš: Ale můžou. A to je první a nejčastější způsob: zajištění zařízení. Ať už je to počítač, telefon, nebo jen flashka. Pokud je to věc důležitá pro trestní řízení, musíš ji vydat.

Klára: A co když odmítnu?

Tomáš: Pak ti ji můžou odejmout. Typicky se to děje třeba při domovní prohlídce. Vždy u toho ale musí být nezúčastněná osoba a sepíše se o tom podrobný protokol. Žádné tajné akce.

Klára: Dobře, zabavení hardwaru dává smysl. Ale co data, která fyzicky u sebe nemám? Třeba e-maily nebo soubory na cloudu?

Tomáš: Výborná otázka. Tady se to dělí. Pokud jsou ty informace volně dostupné, třeba na veřejném profilu na Facebooku, policie je může jednoduše zajistit. Samozřejmě, opět o tom musí sepsat protokol.

Klára: A když je profil soukromý nebo e-maily zaheslované?

Tomáš: Tak to je úplně jiná situace. Zákon na taková data pohlíží jako na listovní tajemství nebo zamčený deníček. Bez tvého svolení, tedy třeba bez hesla, které jim dobrovolně dáš, se k nim nedostanou.

Klára: Takže bez hesla mají smůlu?

Tomáš: Ne tak docela. Mohou požádat o povolení soudce. A tady je jedna zajímavost. Pokud věc spěchá, mohou k datům přistoupit i bez povolení, ale musí o něj zpětně požádat. Když ho do 48 hodin nedostanou, musí všechna získaná data zničit.

Klára: Páni. A co třetí cesta? Co když potřebují data přímo od Googlu nebo Seznamu?

Tomáš: Přesně tak, to je získání dat od poskytovatele služeb. Orgány činné v trestním řízení si je prostě vyžádají. Poskytovatelé mají ze zákona povinnost jim vyhovět a poskytnout třeba informace o účtu nebo provozní data, takzvané logy.

Klára: A co když pachatel tuší, že po něm jdou, a začne všechno mazat?

Tomáš: I na to zákon pamatuje. Existuje něco, čemu se říká 'freezing' neboli zmrazení. Policie může poskytovateli nařídit, aby konkrétní data uchoval v nezměněné podobě, než si pro ně přijdou s oficiálním povolením.

Klára: Takže je to takové 'moment, nic nemaž, už pro to jdeme!'

Tomáš: Přesně tak to funguje. Je to mocný nástroj, aby důkazy nezmizely dřív, než se k nim vyšetřovatelé dostanou.

Klára: Takže shrnuto: policie může zabavit zařízení, vyžádat si data od poskytovatelů, nebo se s povolením soudu dostat i do soukromých účtů. A dokonce můžou data na dálku 'zmrazit'.

Tomáš: Přesně. Získat data je ale jen první krok. Příště se podíváme na to, jak se ověřuje, že s důkazem nikdo nemanipuloval a že je u soudu opravdu neprůstřelný.

Klára: To je fascinující, jak se zajišťují digitální důkazy. Ale když mluvíme o sbírání všech těch dat, okamžitě mě napadá... co moje soukromí? Co když ta data jsou moje? Kde je hranice mezi vyšetřováním trestného činu a ochranou mých osobních údajů?

Tomáš: Skvělá otázka, Kláro. A to je přesně to, co řeší Obecné nařízení o ochraně osobních údajů, které všichni známe pod zkratkou GDPR. Je to takový štít, který nás má chránit.

Klára: GDPR, strašák všech firem a marketérů. Všude na nás vyskakují okna se souhlasem. Ale co to vlastně znamená pro mě, jako pro běžného člověka?

Tomáš: Znamená to, že máš svá data pod kontrolou. Nebo bys alespoň měl mít. A k tomu je nejdřív potřeba vědět, co to ty 'osobní údaje' vůbec jsou.

Klára: Dobře, tak začněme od začátku. Co všechno se počítá jako osobní údaj? Je to jen jméno a adresa?

Tomáš: Kdepak, je to mnohem širší. GDPR říká, že osobní údaj je jakákoliv informace o identifikované nebo identifikovatelné osobě. Takže kromě jména je to i fotka na Instagramu, tvoje e-mailová adresa, IP adresa tvého počítače, nebo třeba lokační údaje z mobilu.

Klára: Počkat, i IP adresa? Takže v podstatě cokoliv, co se dá spojit se mnou jako s konkrétní osobou?

Tomáš: Přesně tak. Představ si to jako puzzle. Jeden dílek, třeba jen křestní jméno 'Klára', tě neidentifikuje. Ale když přidáš další dílky – město, školu, fotku – najednou je obraz kompletní a víme, o koho jde. I ty jednotlivé dílky jsou chráněné.

Klára: Takže i moje selfie s kočkou je chráněný osobní údaj?

Tomáš: Pokud jsi na něm k poznání, tak ano. Je to biometrický údaj. Ale neboj, GDPR se nevztahuje na čistě osobní použití. Takže fotky v tvém telefonu jsou v bezpečí, dokud je nezačneš hromadně sdílet s nějakým komerčním účelem.

Klára: Dobře, chápu. Mnoho věcí jsou osobní údaje. Ale kdo a proč je smí používat? Nemůže si přece každá firma stáhnout moje fotky a začít je analyzovat, ne?

Tomáš: Rozhodně ne. Aby někdo mohl tvoje údaje zpracovávat, potřebuje k tomu právní titul. Takový klíč k zámku. A těch klíčů je podle GDPR přesně šest.

Klára: Šest klíčů... To zní jako úniková hra. Jaké to jsou?

Tomáš: Ten nejznámější je tvůj souhlas. To je to otravné klikací okénko. Pak je to plnění smlouvy – třeba když si něco objednáš z e-shopu, musí zpracovat tvoji adresu, aby ti to mohli doručit.

Klára: To dává smysl. A dál?

Tomáš: Pak je tu plnění právní povinnosti – škola musí vést záznamy o studentech. Dále ochrana životně důležitých zájmů, třeba když jsi v bezvědomí v nemocnici. Nebo veřejný zájem a oprávněný zájem správce. Ale vždy musí být jasně daný účel. Nemůžou sbírat data jen tak 'pro strýčka příhodu'.

Klára: A kdo za to všechno zodpovídá? Kdo je ten 'správce', o kterém se mluví?

Tomáš: Výborná otázka. Máme tu dvě hlavní role: správce a zpracovatel. Správce je ten, kdo určuje, proč a jak se data budou zpracovávat. Je to ten hlavní mozek operace a nese plnou zodpovědnost.

Klára: Takže třeba sociální síť, na které mám profil, je správce?

Tomáš: Přesně. A pak je tu zpracovatel. To je někdo, koho si správce najme, aby pro něj data zpracovával. Třeba externí firma, která pro sociální síť analyzuje data nebo spravuje servery. Zpracovatel ale jen plní pokyny správce. Nesmí si s daty dělat, co chce.

Klára: Aha, takže když se něco pokazí, mám jít za správcem? Tedy za tou sociální sítí, ne za firmou, o které ani nevím, že existuje?

Tomáš: Přesně tak. Správce je tvůj kontaktní bod a je zodpovědný za to, aby byla tvoje data v bezpečí, i když je pro něj zpracovává někdo jiný.

Klára: Tak jo. Moje data někdo spravuje. Co s tím ale můžu dělat já? Jaká jsou moje konkrétní práva?

Tomáš: Máš jich docela dost a jsou velmi silná. Zaprvé, máš právo na přístup. Můžeš kdykoliv napsat správci a zeptat se: 'Hej, jaké údaje o mně máte?'. A on ti musí odpovědět.

Klára: Jako bych si v knihovně vyžádala výpis všeho, co jsem si kdy půjčila.

Tomáš: Přesně tak. A kdybys v tom výpisu našla chybu, máš právo na opravu. Můžeš říct: 'Tohle je špatně, opravte to'.

Klára: A co to slavné 'právo být zapomenut'? Můžu jim prostě říct, aby mě kompletně smazali?

Tomáš: Ano, to je právo na výmaz. Pokud už tvoje data nepotřebují k původnímu účelu, nebo jsi odvolala souhlas, můžeš požádat o jejich smazání. Ale jsou tu výjimky. Například pokud data potřebují pro obhajobu právních nároků nebo pokud jim to ukládá zákon, tak tě smazat nemohou.

Klára: Takže fakturu za telefon mi nesmažou, i kdybych je moc prosila, co?

Tomáš: Přesně. Účetní zákony jsou silnější. A pak je tu ještě důležité právo vznést námitku. To se hodí hlavně proti marketingu. Pokud ti někdo posílá reklamy, můžeš říct 'Stop!' a oni musí přestat.

Klára: Dobře, to zní skvěle. Existují nějaké údaje, které jsou chráněné ještě víc než ostatní?

Tomáš: Určitě. GDPR jim říká 'zvláštní kategorie osobních údajů'. Jsou to informace o tvém zdraví, politických názorech, náboženském vyznání, etnickém původu nebo sexuální orientaci. Tady je ochrana mnohem přísnější.

Klára: Proč zrovna tyhle?

Tomáš: Protože jejich zneužití by ti mohlo způsobit opravdu vážné problémy, třeba diskriminaci. Proto je jejich zpracování v základu zakázáno. Povoluje se jen za velmi specifických podmínek, jako je tvůj výslovný souhlas nebo třeba ochrana veřejného zdraví.

Klára: Takže moje fitness aplikace, která sleduje můj tep, by ode mě měla chtít extra souhlas?

Tomáš: Měla by. Zpracovává údaje o tvém zdraví. A ještě jedna věc – máš právo nebýt předmětem rozhodnutí, které by udělal čistě automat, tedy umělá inteligence, pokud by to pro tebe mělo právní nebo podobně významné důsledky.

Klára: Jako třeba když mi automaticky zamítnou žádost o půjčku bez toho, aby se na to podíval člověk?

Tomáš: Přesně takový případ. I tady existují výjimky, ale obecně platí, že o důležitých věcech by neměl rozhodovat jen algoritmus.

Klára: Páni, to bylo hodně informací. Zkusme to na závěr shrnout. Takže, osobní údaj je skoro všechno, co se mě týká. Pro jeho použití musí existovat jasný důvod, jeden ze šesti 'klíčů'. A já mám silná práva, jako právo vědět, co o mně kdo má, právo to opravit a v mnoha případech i právo to nechat smazat.

Tomáš: Naprosto přesně jsi to vystihla. Klíčové je pamatovat si, že ta data jsou vaše. GDPR nám dává nástroje, jak si toto vlastnictví bránit. Nebojte se je používat. Ptejte se, žádejte o výmazy a vznášejte námitky. Je to vaše právo.

Klára: A to je myslím skvělé poselství na konec nejen dnešního dílu, ale celé naší minisérie o digitálních stopách. Od toho, jak vznikají, přes to, jak se dají využít jako důkaz, až po to, jak si je chránit. Tomáši, moc ti děkuju, že jsi nám to všechno tak srozumitelně vysvětlil.

Tomáš: Já děkuji za pozvání, Kláro. Bylo mi potěšením.

Klára: A děkujeme i vám, našim posluchačům, že jste byli s námi. Doufáme, že jste si z toho odnesli spoustu užitečných informací. U dalšího dílu Studyfi Podcastu se na vás těší vaše Klára. Mějte se hezky!

Tomáš: Na shledanou.