Jak GDPR zvítězilo nad lží a nenávistí
Michal BergSilná jednotná evropská pravidla mají možnost měnit chování firem i mimo Evropu. Důkazem může být GDPR a jeho vítězství nad rasistickým a nenávistným webem White media.
V polovině ledna vypnul americký poskytoval Dreamhost server white-media.info. Tento rasistický a nacionalistický web proslul zejména dvěma věcmi: dlouhodobě zveřejňoval seznamy „nepřátel národa“ včetně mnoha osobních údajů a publikoval také osobní e-maily mnohých politiků. Největší slávy se mu dostalo před třemi lety, kdy zveřejnil elektronickou poštu tehdejšího premiéra Sobotky.
České policii, a to ani se zájmem premiéra v zádech, se server vypnout nepodařilo. Ochrana svobody slova v USA byla silnějším soupeřem. Skrytým hrdinou, který nakonec White media porazil, se stal otloukánek české veřejné diskuse loňského roku: Obecné nařízení o ochraně osobních údajů, známé jako GDPR.
Jak se mu to povedlo? Český Úřad pro ochranu osobních údajů informoval firmu Dreamhost, že zmíněný web masivně porušuje GDPR, a poskytovatel — po prověření této informace — dospěl k názoru, že takového klienta na svých serverech nechce.
Proč ale Dreamhost nereagoval už dříve, když jej mnoho institucí včetně české policie informovalo, že jím hostovaný obsah porušuje jiné zákony? Stojí za tím silná pozice této firmy v ochraně svobody projevu svých zákazníků. Tu jim zaručuje první dodatek americké ústavy, ve kterém se praví, že se „zakazuje vydávat zákony omezující svobodu slova nebo tisku“.
Dreamhost dlouhodobě stojí za svými zákazníky a silnou ochranu svobody projevu považuje za svou konkurenční výhodu. Jakékoli požadavky na odstranění obsahu nebo poskytnutí identity vlastníka či autora podezřelých webů procházejí podrobným právním posouzením a Dreamhost značnou část odmítá.
Samozřejmě se velké části veřejnosti nemusí líbit, že tímto způsobem chrání i tak odporné weby, jako byla White media. Na druhou stranu, podobný přístup poskytuje ochranu i bojovníkům proti státní zvůli, na jejichž stranu se není těžké přidat. Nejznámější případ vešel ve známost pod názvem DisruptJ20.
V září 2017 požádal americký Department of Justice, aby mu Dreamhost poskytl nejen identitu autora webu DisruptJ20.org, který poskytoval informace k organizovanému narušení inaugurace prezidenta Trumpa formou nenásilných protestů (Inaugurace se měla konat 20. ledna, odtud J20). Součástí soudního příkazu byl požadavek na poskytnutí informací o IP adresách a čase prohlížení webu 1,3 milionu návštěvníků zmíněných webových stránek, ale také kontaktních informací, obsahu e-mailů a fotografií tisíců lidí, spojených s protesty.
Dreamhost se obrátil na soud a ten uznal, že takto široce specifikovaný soudní příkaz je v rozporu s ústavou. V konečném důsledku po dalších soudních jednáních byli všichni obvinění v kauze DisruptJ20 osvobozeni. Dreamhost tak svým zásadovým postojem chránil soukromí lidí, kteří se nedopustili žádného nelegálního jednání.
V tomto kontextu je zjevné, proč aktivity směřující k zjištění identity nebo vypnutí webu White media nebyly úspěšné, ani když se o to snažila česká policie na žádost premiéra. Ústavní ochrana svobody projevu v USA je zejména na základě série soudních rozhodnutí v minulosti mnohem širší než v České republice a ustálený výklad umožňuje úřadům zakazovat pouze projevy, které mají za cíl — a pravděpodobně bezprostředně vyvolají — násilí nebo protiprávní jednání. Nejvyšší soud USA prohlásil, že orgány mohou přijímat zákony, které takové projevy zakazují, ale co je „zastrašení“ nebo „hrozba“, se musí rozhodnout v kontextu.
Poskytovatele internetových služeb navíc v USA nejsou zodpovědní za obsah, který na jejich servery vložil někdo jiný, zde tedy klient Dreamhostu. Chrání je takzvaný Communications Decency Act, který v zásadě říká, že zodpovědnost na poskytovatele dopadá jen tehdy, pokud je porušen federální zákon, případně zákon ochranu duševního vlastnictví. Ani jedno z toho se zřejmě nikomu z České republiky nepodařilo prokázat do takové míry, aby Dreamhost musel konat.
Vítězství si tak nakonec zapsalo až celoevropské Nařízení pro ochranu osobních údajů, které platí od května 2018. Dreamhost je sice americká společnost, ale soulad s GDPR je v jejich vlastním zájmu — a zájmu 400 tisíc jeho zákazníků. Ochranu osobních údajů podle GDPR totiž musí dodržovat (zjednodušeně) kdokoli, kdo nabízí zboží nebo služby osobám v EU. Z toho důvodu většina velkých poskytovatelů internetových serverů v USA postupuje v souladu s GDPR. Ztratit zákazníky, kteří jsou v EU nebo do EU nabízejí své služby nebo zboží, by se jim totiž značně nevyplatilo.
Když pak Úřad na ochranu osobních údajů upozornil Dreamhost, že seznamy „hnusáků, úchylů a neomarxistů“ na White media obsahují osobní údaje v rozporu s GDPR, spadla klec. Jak uvedl mluvčí hostingové firmy Brett Dunst, jednotlivé konkrétní případy firma nekomentuje, nicméně pokud je zjevné, že na webu dochází k masivnímu a dlouhodobému porušování pravidel, nevyžaduje Dreamhost odstranění jen konkrétních závadných informací (což by mohlo situaci vyřešit také), ale vypne celý web, aby se sama nevystavila riziku postihu.
Samotný případ neonacistických stránek ale ještě u konce není. Na adrese www.white-media.info je už nenajdete, nicméně jejich kompletní otisk obsahuje archivní webová služba archive.org. Zatímco v mnoha jiných případech je dohledání již neexistující webové stránky jistě užitečné, v případě protiprávního obsahu tomu tak není. Internetový archiv byl na existenci nelegálního obsahu upozorněn, zatím však nepodnikl žádné kroky k omezení tohoto obsahu.
Kauza White media je v krátké době od nabytí účinnosti GDPR zřejmě doposud nejrozsáhlejším případem, kdy toto nařízení ochránilo osobní údaje velké skupiny českých občanů. Stovky aktivistů a aktivistek, ale také novinářů, politiků nebo osob s menšinovou sexuální orientací se na vlastní kůži mohly přesvědčit, jak silný nástroj to je. Čím více takových konkrétních případů bude, tím nicotnější budou argumenty odpůrců GDPR, kteří v něm vidí jen další „bruselskou buzeraci“.
Ochrana soukromí je čím dál tím důležitější, a to i v méně viditelných případech, než byla White media. Je například otázkou, proč by svou adresu i datum narození měl mít ve veřejném rejstříku na internetu každý člen výboru společenství vlastníků jednotek, kterých je v České republice několik desítek tisíc. Zveřejnění osobní informace v rejstříku navíc trvá i poté, co daná osoba přestala být členem výboru SVJ, což je zjevně nepřiměřený zásah do soukromí.
Případ navíc ukazuje na sílu, jakou má celoevropská regulace i mimo hranice Evropské unie. Evropský trh je natolik zásadní, že pro neevropské společnosti je dodržování jeho pravidel v jejich vlastním obchodním zájmu. Tento argument je pak nutné mít na zřeteli i v jiných oblastech, kdy se debatuje, jaký smysl mají opatření v Evropě, když na mimoevropské prostředí nedopadnou, například při omezování produkce odpadu, dodržování kvality a bezpečnosti potravin nebo prosazování opatření ke zmírnění změn klimatu. Je zjevné, že silná jednotná evropská pravidla mají možnost měnit chování i mimo Evropu, a GDPR je toho důkazem.