Národná, európska a transatlantická dátová politika

Ilustračný obrázok. [Pixabay]

Tri úrovne politík, ktoré sa týkajú prístupu k dátam, sa stále líšia. Členské krajiny a EÚ upravujú pravidlá vnútorného trhu a hovoria o dátovej suverenite. Na transatlantickej úrovni sa vyše roka diskutuje o nových pravidlách pre transfer dát a hoci Spojené štáty tvrdia, že riešenie je blízko, Únia svetlo na konci tunela ani zďaleka nevidí.

Dáta sa v ostatných rokoch stali zásadným zdrojom pre hospodársky rast, konkurencieschopnosť, inovácie, vytváranie pracovných miest a spoločenský pokrok. Spôsob, akým krajiny, či medzinárodné spoločenstvo organizujú prístup k údajom a ich použitie, určuje ich budúcu inovačnú kapacitu. V nasledujúcich rokoch sa navyše ich bude generovať stále viac.

Tento text preto porovná národnú – slovenskú dátovú politiku, vysvetlí európske perspektívy, ale aj spoločné a odlišné prístupy na transatlantickej úrovni.

Aj keď v súčasnosti malý počet veľkých technologických firiem vlastní väčšinu svetových dát, pred Európou stoja obrovské príležitosti. Únia totiž môže stavať na silnom právnom rámci v oblasti ochrany údajov, základných práv, bezpečnosti a kybernetickej bezpečnosti, ako aj na prepojenom vnútornom trhu a verejných služieb. Do rúk občanov, firiem, organizácii chce vkladať právomoc prijímať lepšie rozhodnutia na základe poznatkov získaných z neosobných údajov. Tieto údaje by mali byť k dispozícii všetkým, či už verejným alebo súkromným hráčom, začínajúcim firmám aj gigantom.

Kompetencie dáva zainteresovaným aj v súvislosti s osobnými údajmi. V tejto súvislosti blok napreduje najmä v ich ochrane. Charta základných práv EÚ totiž stanovuje, že občania EÚ majú právo na ochranu svojich osobných údajov.

Keďže tok dát dávno nezávisí od hraníc krajín, ani blokov a únií, Európa pokračuje v budovaní aliancií s globálnymi partnermi a hľadá medzinárodnú podporu európskeho modelu digitalizácie. Tu však naráža na odlišné prístupy, ktoré dokonca súvisia s ľudskoprávnymi otázkami.

Hlavní aktéri

O dáta a tvorbu dátovej politiky na Slovensku sa nestará len jedna inštitúcia. Neexistuje nadradené ministerstvo, ktoré by dáta Slovákov spravovalo, chránilo, dokázalo poskytovať ďalším relevantným hráčom, alebo jednoznačne koordinovalo iné úrady, ktoré by podobné funkcie vykonávali. Čiastkovo sa nimi preto zaoberá viacero úradov aj ministerstiev.

Pokrývajú ich rezorty informatizácie, hospodárstva, vnútra a spravodlivosti, ale aj Úrad vlády, Úrad splnomocnenca vlády, samostatný Úrad na ochranu osobných údajov a čiastočne aj ďalší aktéri.

Ministerstvo  investícií, regionálneho rozvoja a informatizácie (MIRRI), ktoré dodnes za nositeľa témy dátovej politiky považujú mnohí, vrátane iných rezortov, nemá na celkový prístup nateraz kompetencie. Rezort pokrýva najmä tému neosobných dát a v súčasnosti chystá aj prvý slovenský zákon o dátach. Pracuje na projektoch ako dátová integrácia, teda zapojenie nových inštitúcii štátu a zabezpečovanie nových údajov, ktoré si budú štátne orgány medzi sebou vymieňať prostredníctvom Informačného systému Centrálnej správy referenčných údajov (IS CSRU). Rovnako robí na sprístupňovaní vybraných údajov občanovi, ktoré o ňom štát vedie, či na vývoji technologickej platformy, tzv. konsolidovanej analytickej vrstve, cez ktorú si analytické jednotky v štáte budú vytvárať svoje dátové modely a analýzy. Súčasťou rezortu je už tri roky aj tzv. Dátová kancelária.

Ministerstvo hospodárstva rieši najmä ekonomickú stránku dát. Aj tento rezort však zaznamenáva v súvislosti s dátovou politikou a monetizáciou dát poddimenzovanosť a aktívnejšie preto k tvorbe politík nateraz neprispieva, zhodujú sa experti.

Ministerstvo spravodlivosti rieši najmä otázky transparentnosti, či povinnosti pre zverejňovaní istých údajov alebo zmlúv. V súčasnosti sa venuje napríklad implementácii smernice o informáciách verejného sektora.

Ministerstvo vnútra prostredníctvom svojich orgánov množstvá dát zbiera a niektorého jeho inštitúcie zabezpečujú aj ich bezpečnosť. Rezort ministra Romana Mikulca spravuje dva vládne cloudy, teda úložiská dát, kde štát ukladá základné dáta o občanoch, poskytujú a uvoľňujú zdieľané technické zdroje ako servery, databázy, či aplikácie. Jeden z nich je v Bratislave (DataCube na Kopčianskej ulici, kde si priestory prenajíma napríklad aj Národné centrum zdravotníckych informácií) a jeden v Tajove, prenajatý od spoločnosti Slovak Telecom. Na oboch sa prevádzkujú rozsiahle informačné systémy, vrátane národných registrov, s ktorými pracuje polícia, či informačná služba.

V oblasti osobných údajov má najviac kompetencií Úrad na ochranu osobných údajov (ÚOOÚ), ktorého vedenie vyberá vláda a schvaľuje parlament. ÚOOÚ chráni práva osôb pri spracúvaní osobných údajov a na ich ochranu aj dozerá. Samotnú dátovú politiku však netvorí. 

Pokiaľ ide o ochranu dát, dôležitou zložkou je Národný bezpečnostný úrad, ktorý od roku 2016 prevzal zodpovednosť za problematiku kybernetickej bezpečnosti. Úrad každý rok vypracúva správu o ochrane osobných údajov v spojitosti s kybernetickými bezpečnostnými incidentmi a ich riešením.

V téme je aktívny aj Úrad splnomocnenca vlády pre rozvoj občianskej spoločnosti, ktorý sa pod rezortom vnútra v súvislosti s dátami venuje najmä otvoreným dátam a prístupom pri ich transparentnosti.

Dátová legislatíva

Štát mal byť „poháňaný dátami“ najneskôr v roku 2020, sľuboval ešte digitálny líder Peter Pellegrini. Akčný plán digitálnej transformácie Slovenska na roky 2019 až 2022 hovoril o takých novinkách, ako zavedenie Inštitútu pre sprístupňovanie dôveryhodných údajov (do roku 2019), či testovanie použitia technológie blockchain vo verejnej správe (do konca roka 2021). Jeho napĺňanie však napreduje pomaly.

„Systematická“ reforma dátovej politiky bola aj prvým z bodov v oblasti digitalizácie, ku ktorému sa nová vláda štvorkoalície zaviazala vo svojom programovom vyhlásení v roku 2020. Okrem transformácie Slovenska na krajinu, poháňanú dátami, je dnes zámerom „vytvoriť všeobecný právny základ pre dátovú oblasť, tzv. zákonník údajov”. MIRRI chce v súvislosti s dátami priniesť aj komplexný zákon o dátach.

Zákon o dátach má vytvoriť predpoklady na správu verejných dát štátu. Spresniť má definície, pravidlá a procesy pre referenčné údaje, otvorené údaje a spôsob, akým bude možné údaje analyticky spracovávať. Prierezovo mal pôvodne reflektovať päticu európskych legislatív, a to GDPR, smernica o copyrighte, smernicu o informáciách verejného sektora (smernica PSI), ePrivacy smernicu a nariadenie o voľnom pohybe dát. Ambície však v priebehu príprav rezort znižoval.

Ministerstvo informatizácie začalo zákon pripravovať pod hlavičkou úradu podpredsedu vlády ešte v roku 2017. Do pripomienkového konania po prvýkrát dostal v septembri 2019. Nová vláda ho však čiastočne menila a nové vedenie rezortu predkladalo Zákon o údajoch do medzirezortného pripomienkového konania opäť vo februári 2021.

Pripomienok však prišli stovky. Medzi nimi aj zásadné námietky ako „vypustiť koncept moje údaje pre jeho nadbytočnosť“ od ÚOOÚ, či požiadavka ÚOOÚ a Štatistického úradu, aby bol celý materiál stiahnutý a prepracovaný, upozorňovalo Slovensko Digital. MIRRI by chcelo mať počas septembra 2021 uzavreté rozporové konanie a pripravený aj konečný návrh zákon. Avšak, podľa informácii portálu EURACTIV, vzhľadom na to, že sa zásadne líši od pôvodného návrhu, MIRRI je pripravené podrobiť zákon opätovnému medzirezortnému pripomienkovaniu.

Ani Zákon o údajoch ale nebude pokrývať všetky problematické oblasti, ktoré je potrebné v dátovej oblasti na Slovensku riešiť, ako vlastníctvo dát, ich klasifikácia, hodnota, dátová ekonomika, vzťah verejného a súkromného sektora v tejto oblasti, či povinnosti samospráv.

Slovenský právny poriadok zatiaľ nemá ani úplne presnú definíciu tzv. „verejných dát“. Práve vďaka nim dokážu údaje, ktoré spravuje štát, využívať v podstate všetci. Verejnými dátami môžu byť nielen neosobné dáta, ale aj osobné údaje, ktoré boli zašifrované a anonymizované, a teda nespadajú pod nariadenie o ochrane osobných údajov. V rámci Iniciatívy pre otvorené vládnutie sa preto vláda zaviazala sprístupňovať údaje verejnej správy a zriadila národný portál otvorených dát data.gov.sk.

Voľne a bezplatne dostupné údaje majú slúžiť nielen štátu, či akadémii, ale využívať ich môže ktokoľvek, a to na komerčné, ako aj nekomerčné účely. Aj pri tzv. otvorených dátach však má Slovensko problém. Podľa expertov totiž nesprávne a nedostatočne implementovalo smernicu o informáciách verejného sektora (Public Sector Information Directive, PSI). Pre Slovensko bolo problematické najmä „opakované používanie informácií“.

Transpozícia smernice o otvorených dátach a opakovanom použití informácií verejného sektora „je pripravená do legislatívneho procesu“, informoval ešte v apríli zodpovedný rezort spravodlivosti.

V legislatíve, ktorá na Slovensku pokrýva dáta, ďalej figuruje dvojica, týkajúca sa najmä ich ochrany. V tomto prípade však treba rozlišovať charakter osobných dát. Ide o známy GDPR, Všeobecné nariadenie o ochrane osobných údajov (viac o ňom v časti o európskej dátovej politike) a jeho slovenskú transpozíciu, Zákon o ochrane osobných údajov.

Dáta sú podľa Európskej komisie základnou „surovinou“ budúcnosti. Zároveň ovplyvňujú mieru toho, ako autonómny vie byť blok pri ich zbieraní a využívaní. Hodnota dátového hospodárstva v Únii dnes predstavuje viac ako 830 miliárd eur. Eurokomisia upozorňuje, že až 90 percent v súčasnosti prístupných dát, spravujú americké spoločnosti, najmä technologickí giganti. Aj preto stále viac hovorí o tzv. digitálnej suverenite.

Údaje považuje blok za jadro digitálnej transformácie. Práve preto prichádza s iniciatívami, ktoré majú zabezpečiť jasné pravidlá pre narábanie s dátami.

Ciele a stratégie

Iniciatíva, ktorú Európska komisia predstavila začiatkom marca tohto roka pod názvom Digitálny kompas 2030, je súborom akýchsi míľnikov a cieľov, ktoré chce v digitálnej oblasti v najbližšej dekáde dosiahnuť. V oblasti dátovej politiky sľubuje desať tisíc klimaticky neutrálnych vysokobezpečných okrajových (edge) uzlov, či zavádzanie technológií v miere, aby až 75 percent spoločností v EÚ používalo cloudy, umelú inteligenciu a tzv. big data. Všetci občania majú tiež získať prístup k svojim k zdravotným záznamom a dátam.

Kompas v tejto súvislosti vychádza aj z cieľov, ktoré nastavila Európska dátová stratégia. Tá je hlavným súborom cieľov v oblasti správy a spracúvania dát v bloku. K dispozícii ju má Európska únia od februára 2020.

EÚ chce na jej základe vytvoriť jednotný trh s údajmi, kde majú dáta voľne prúdiť naprieč blokom aj odvetviami. Riadiť ich majú európske pravidlá, najmä právne predpisy v oblasti ochrany súkromia a osobných údajov, ako aj hospodárskej súťaže.

Podľa dátovej stratégie by sa v EÚ malo postupne vytvoriť deväť spoločných dátových priestorov, ktoré prepájajú jednotlivé priemyselné odvetvia. Konkrétne ide o priemyselný, finančný, dopravný, energetický, poľnohospodársky priestor a priestory pre verejnú správu, zručnosti, zdravie a Zelenú dohodu. Ich cieľom je uľahčiť prístup k zdieľaniu informácií v špecifických odvetviach, čo by malo napomôcť ich efektívnemu využívaniu. V konečnom výsledku by mali podporiť európske inovácie a konkurencieschopnosť a zjednodušiť spracúvanie a zdieľanie údajov na komerčné či výskumné účely.

Za jeden z najvážnejších problémov, ktorým v tomto ohľade Únia čelí, považuje eurokomisia ukladanie dát. Až 90 percent z európskych dát sa totiž „skladuje“ za Atlantikom. Blok preto plánuje miliardové investície do európskych cloudov, ale aj malých datacentier v blízkosti používateľov. Čoraz častejšie sa hovorí aj o prechode od centralizovaných modelov infraštruktúry, založených na cloudových technológiách, k novým technológiám spracovania dát, najmä tzv. edge computing. Vďaka tejto technológii by mali vznikať malé dátové centrá, umiestnené na poslednej míli infraštruktúry na sieti, čim sa zníži oneskorenie reakcií aplikácií.  Komisia je presvedčená, že rozšírenie európskych služieb cloudu a edge computing výrazne pomôže pri digitálnej transformácii súkromnému aj verejnému sektoru. Aj preto plánuje investície v tejto oblasti dokopy až za dve miliardy eur.

Legislatíva

Európska únia sa pri digitálnej transformácii aktívne zaoberala nastavovaním parametrov, ktoré regulovali práve dáta. Od roku 2014 prijala preto Komisia viacero opatrení, zameraných na uľahčenie rozvoja dátového hospodárstva. Medzi nimi akt o kybernetickej bezpečnosti EÚ, či nariadenie o voľnom toku iných ako osobných údajov.

Najznámejšou sa však stalo Všeobecné nariadenie o ochrane údajov. GDPR je skutočnou európskou vlajkovou loďou na ochranu osobných údajov. V máji tohto roku oslávilo tretie výročie od vstupu do platnosti. Krajiny EÚ zriadili vnútroštátne orgány, ktoré za ňu zodpovedajú. Na európskej úrovni zabezpečuje konzistentné uplatňovanie pravidiel ochrany Európsky výbor pre ochranu údajov (EDPB).

Nariadenie sa stalo základom aj pre legislatívy v krajinách mimo EÚ, vrátane Čile, Japonska, Brazílie, Južnej Kórey, Argentíny či Kene. Kalifornský zákon o ochrane spotrebiteľa má rovnako množstvo podobností s nariadením GDPR. Presne tento postup bol pre európskych tvorcov legislatívy ambíciou.

Pomere nové pravidlá má blok aj o hodnotných súboroch údajov podľa smernice o otvorených údajoch (Open Data Directive). Od roku 2019 zaisťujú bezplatný prístup k určitým súborom údajov v celej EÚ, napríklad k meteorologickým údajom a údajom o mobilite.

Návrh ďalšej dôležitej legislatívy o spravovaní dát (Data governance act, DGA) predstavila eurokomisia koncom minulého roka spoločne so známejšou dvojicou Zákona o digitálnych službách a Zákona o digitálnych trhoch (DSA/DMA). Európska exekutíva v rámci nej navrhuje zriadiť tzv. „služby zdieľania dát, ktoré by mali byť prostriedkom ich výmeny medzi tými, ktorí dáta vytvárajú“ a tými, ktorí ich získavajú a ďalej spracúvajú. Keďže diskusie o nej v podstate len začali, skôr ako na budúci rok k jej schváleniu nedôjde.

Za posledné štyri roky narástol objem dát vo svete z 33 zettabajtov až o 530 percent. Rýchlo preto rastú aj zdroje pre ekonomiku. Dátové hospodárstvo v transatlantickom priestore dosahuje objem sedem biliónov dolárov a tvorí až 16 miliónov pracovných miest.

Tento trh medzi EÚ a Spojenými štátmi predstavuje až 42 percent globálneho HDP. Aj preto je z pohľadu Bruselu, ale aj Washingtonu dôležité tento sektor zveľaďovať. Na dobrých vzťahoch medzi Spojenými štátmi a EÚ totiž priamo závisí.

Rozkol o voľnom toku dát

Prenos dát z Únie do Spojených štátov sa do minulého roka riadil dohodou, známou ako Privacy Shield. Po minuloročnom rozsudku Súdneho dvora Európskej únie sa ale existujúca transatlantická dohoda, ktorá voľný pohyb dát umožňovala, stala neplatnou. Európske osobné údaje, ktoré smerujú za Atlantik, musia preto nateraz upravovať špeciálne zmluvné doložky.

Problematické mali byť podľa súdu najmä americké zákony voči cudzincom, vďaka ktorým mali úrady prístup aj k osobným údajom Európanov, pričom sa ich ochrana, ktorú garantuje aj GDPR už za Atlantikom neuplatňovala. Prevalili sa škandály okolo americkej Národnej bezpečnostnej agentúry, ktoré odhalil Edward Snowden, ale aj ďalšie, ako Cambridge Analytica, či odpočúvanie európskych politikov, vrátane nemeckej kancelárky Angely Merkel.

Obavy zo špehovania zo strany amerických úradov napokon viedli aktivistov k žalobám, ktoré skončili na Súdnom dvore Európskej únie. Ten v lete 2020 zrušil platnosť rozhodnutia o primeranosti euroamerickej dohody. Konkrétne išlo o prípad spoločnosti Facebook a aktivistu Maxa Schremsa. Rakúšan tvrdil, že jeho osobné údaje získava americká spoločnosť nielenže bez jeho súhlasu, ale tieto dáta prechádzajú pod jurisdikciu, ktorá na ne uplatňuje aj rozsiahly dohľad. Ten je priamo v rozpore so zákonmi EÚ o ochrane súkromia.

Viac ako 5 300 amerických spoločností, ktoré Privacy Shield využívali ako právny základ pre transatlantické prenosy dát, začalo po vyhlásení rozsudku hľadať alternatívne právne prostriedky, ako v prenose údajov pokračovať. V zásade dostali firmy dve možnosti: buď prestať využívať európske dáta, alebo využiť niektorý iný z GDPR mechanizmov. V ich rámci spoločnosti plánujú, že americkej vláde neumožnia nahliadať do dát, pokiaľ ich k tomu úrady priamo nedonútia. Iné uvažujú o pseudonymizácii, či šifrovaní dátových prenosov alebo lokalizácii dát s tým, že tie európske by do Spojených štátov neprichádzali úplné. Tzv. štandardizované zmluvné doložky sa pre súkromné spoločnosti stali nateraz riešením, ktoré však problém ani zďaleka nerieši komplexne a je len chvíľkovou nápravou. Súkromný sektor preto stále intenzívnejšie tlačí na Washington aj Brusel.

Únia aj Spojené štáty teraz vedú rokovania o tom, ako čo najskôr EU-US Privacy Shield, teda starú dohodu, nahradiť modernou reguláciou.

Vyjednávania o náhrade

Európska komisia, ktorá v súčasnosti zastupuje členské štáty EÚ na vyjednávaniach s Washingtonom, vníma, že americký prístup k ochrane osobných údajov sa zásadne zmenil po tom, ako do Bieleho domu nastúpila administratíva Joea Bidena.

Únia verí, že sa jej podarí dohodnúť s Američanmi obdobné pravidlá, aké už má s Japonskom, či aké pripravuje s Južnou Kóreou alebo Spojeným kráľovstvom.

Washington sa nateraz pokúša dosiahnuť politické riešenie, keďže mnoho z jeho technických návrhov na zaistenie bezpečnosti údajov nebolo pri presviedčaní Európanov doteraz úspešné.

V Bruseli hovoria, že bez výrazného zásahu do existujúcich amerických pravidiel, ktoré by obmedzili praktiky zberu dát bezpečnostnými agentúrami, sa veľa urobiť nedá. „Naozaj by sme chceli vidieť (americký) federálny zákon o ochrane údajov,“ uviedla prednedávnom podpredsedníčka Európskej komisie Věra Jourová. Washington však o takýto zásadných zmenách neuvažuje.

Úspech nezaznamenal ani dlho očakávaný júlový summit EÚ a Spojených štátov, či posledná séria rozhovorov, ktorá prebehla v druhej polovici septembra 2021 v Bruseli. Najbližšie sa vyjednávači stretnú 29. septembra na prvom zasadnutí euro-americkej Rady pre obchod a technológie. Američania tvrdili, že práve toto stretnutie by mohlo byť v diskusiách prelomovým, a že „riešenie je blízko“.

Predstavitelia EÚ ale podľa portálu POLITICO odmietli tvrdenia, že by k dohode mohlo dôjsť tento mesiac, či dokonca tento rok. Brusel totiž naďalej požaduje legislatívne zmeny, ktoré by obmedzili prístup amerických národných bezpečnostných agentúr k európskym údajom. Rovnako chce občanom EÚ poskytnúť zmysluplnejší spôsob toho, ako tento prístup napadnúť na amerických súdoch.

PDF na stiahnutie