Podcast

Dobrý den, jmenuji se Jirka Bechrek a vítám vás u dalšího dílu DataTolku.

Dnes máme speciální díl, který se bude týkat práva a toho, jak právo vlastně reguluje zacházení s daty, co si s nimi můžete dovolit a jak s nimi pracovat, kde je můžete získávat a jak se o ně starat. Mým dnešním hostem je Pavel Čech, advokát a partner v advokátní kanceláři Sedláková Legal. Ahoj, Pavle.
Ahoj, Jirko.

Pavle, než se vrhneme do legislativy a do toho, co by lidé měli vědět o právní regulaci svých dat a jak s tím velmi prakticky pracovat, na co si dávat pozor, budeme se bavit také trochu o AI Actu, což je aktuální a velmi diskutované téma, ke kterému se jistě dostaneme. Tak co tě vlastně vedlo k IT a jak ses stal právníkem specializovaným na tuto oblast?

Moje cesta k IT právu byla na jednu stranu hodně specifická, protože nemám technické vzdělání. Nestudoval jsem IT na VUT, ani na VUT Baníku a nic podobného. Pocházím z Ostravy, studoval jsem osmiletý gymnázium s všeobecným zaměřením, ale když jsem ho končil, věděl jsem přesně, co chci dělat. Podal jsem pouze jednu přihlášku na vysokou školu. Z mé praxe je to možná trochu odvážné, protože mnoho lidí podává tři, čtyři nebo pět přihlášek, a ve skutečnosti ani moc nevědí, co chtějí dělat. Já jsem měl jasno – chtěl jsem jít na práva a zaměřit se na IT. To tehdy nebyla úplně tradiční cesta, protože škola nebyla na právo v oblasti IT připravená.

Co právník během pěti let studia dělá, je studium stejné jako všichni ostatní – občanské právo, rodinné právo, mezinárodní právo veřejné a všechny další povinné předměty. Musel jsem se tomu celkem těžce prodírat.

Když jsem hledal první praxi, byl jsem v druháku a chtěl jsem už dostat praxi, byl jsem hodně ambiciózní. Obeslal jsem tehdy asi 150 místních advokátních kanceláří. Bylo tehdy velmi těžké práci získat, nebylo to jako dnes. Dneska už si připadám starý, když to porovnám s tehdy, i když mi je třicet. Tehdy nebylo pro studenty lehké se uplatnit. A už vůbec ne, když jsem chtěl dělat velmi specifickou oblast, jako bylo IT právo.

Tehdy to dělalo jen 3 až 5 kanceláří, většina byla v Praze, a já jako brňák jsem to měl spočítané. Moje první práce byla na exekutorském úřadu, kde jsem dělal tvrdou administrativu – třídil jsem složenky, připravoval rozhodnutí. Byl jsem tam asi rok až rok a půl, a už jsem věděl, že to není to, kam chci skončit, takže jsem pokračoval dál. Nedařilo se mi najít práci v IT právu, tak jsem šel do advokátní kanceláře, kde jsem dělal rok až rok a půl v oblasti nemovitostí. Dělal jsem to, co si všichni musí odbýt, nebylo to příliš zajímavé, ale byla to nezbytná praxe.

Pak jsem si řekl, že už toho mám dost a potřebuji najít praxi v IT právu – dělat IT smlouvy, pracovat s vývojem a aplikacemi, což mě nesmírně baví. Měl jsem štěstí, že mě tehdejší kolega doporučil do Sedláková Legal. Tehdy jsem o této kanceláři slyšel poprvé, nebyla mi tak známá, ale zkusil jsem jim napsat. Štěstěna se ke mně přiklonila, já byl ještě student, tehdy ve čtvrtém ročníku, a tak jsem dostal první příležitost se k těm IT smlouvám dostat. Tak začala moje cesta do kanceláře, kde jsem dnes už 5,5 až 6 let, od studentské praxe přes koncipienturu až k advokátním zkouškám. Dnes jsem advokát a partner, vedu své oddělení a mám pod sebou pět právníků, kteří píší jenom softwarové smlouvy.

Píšem ty smlouvy pro vývojáře, děláme občas zajímavý research a compliance, co s technologiemi souvisí. A je to konečně můj každodenní chléb, na který jsem se chtěl dlouho dostat, byť to vůbec nebylo jednoduché.

Když popíšu ten background a školu, právní obor se hodně změnil. Dnes už právníci nejsou ti lidé v taláru a za mahagonovým stolem, kteří si jen citují paragrafy. To už nefunguje. Právo je služba, musíme se dorozumět s klienty, jít s dobou. Pořád pomáháme startupům a mladým firmám, které pracují s technologiemi a mluví úplně jiným jazykem než tradiční právníci. Škola ještě na toto nebyla připravená, protože každý musí studovat všechno klasicky.

Měli jsme v Brně štěstí, že existoval Ústav práva technologií, vedený docentem Pelčákem, který byl také mým vedoucím diplomové práce. Psával jsem diplomku na téma odpovědnosti za provozování AI systému. To bylo jedno z prvních zajímavých témat, kterým jsem se zabýval. Řešil jsem například, co se stane, když chytrá Tesla bez řidiče přejede někoho na přechodu – zda odpovídá Tesla, její vývojář, nebo řidič s rukama na volantu.

Do toho ti teď vstoupím – mám dvě věci. Pracoval jsem na stejné škole, jsem také Brňák a studoval práva. Nedodělal jsem je, protože mě odradil staromódní svět právníků za mahagonovými stoly. Viděl jsem dvě cesty: buď vysoká advokacie, kde bych se zabýval mezinárodními záležitostmi, nebo nízká advokacie, kde bych řešil spory jako rozvody. Tyto nové typy advokátních kanceláří, mezi něž bezpochyby patří i Sedláková Legal, které jsou otevřené, přístupné a z "geekovského" pohledu normální, tehdy ještě neexistovaly. Jana Sedláková je mimochodem moje spolužačka z Tvíhleprav, takže jsem možná měl vydržet a rozvinout to, ale necháme to být.

Co se týče autonomního auta, mám rychlou vtipnou historku. Půjčili jsme tehdy k rozlučce se svobodou naší nejlepší kamarádovi úplně novou Teslu X, takže jsme s ní na Moravě dělali všechny možné blázniviny – předjížděli jsme BMW na dálnici, což je pro řidiče těch BMW bylo šokující, protože ten vůz neznali. Zkoušeli jsme tam i autonomní řízení, ale auto bylo v krajině bez ostatních vozidel, takže se nám několikrát nabouralo. Samozřejmě to byla naše vina a museli jsme škody zaplatit.

Z tvé diplomky měli jsme tedy nějaké východisko? Měli bychom šanci si stěžovat do Palo Alto a vyžádat si náhradu za poškozené disky?

Je to vlastně nakonec velmi jednoduché. My právníci často mluvíme velmi filozoficky a říkáme, že to záleží na okolnostech, ale odpověď na tu otázku by byla jasná: v autě musí být nějaký řidič, který musí dávat pozor na okolí. Ať už to je chytrá Tesla nebo ne, odpovědnost nese řidič a ten si to v konečném důsledku odskáče.

Na druhou stranu toto ukazuje, kam náš podcast směřuje, jak je Evropa přeregulovaná. Postupně vznikají předpisy na všechno. Myslím, že pokud tomu tak už není, rýsují se pravidla harmonizovaná pro odpovědnost za provoz těchto systémů. V budoucnu se budeme bavit i o tom, kdo systém vytvořil, zda při jeho vývoji pracoval se správnými daty, jak moc ho testoval, zda neměl mít certifikace CE a podobně. Zkrátka i výrobce vadného výrobku nese odpovědnost.

Co se týče těch autonomních aut, ještě nejsme tak daleko, abychom mohli říct, že za přejetí odpovídá Tesla jako společnost. To prostě nefunguje.

Rozumím. Když se podíváme na tvou práci a každodenní život – říkal jsi, že pracujete hodně s technologickými firmami a startupy. Jak si máme představit, co pro ně řešíš, co je tvůj každodenní chléb?

To je dobrá otázka. Mnoho lidí moje téma práce nezná a má o tom mlhavou představu. Navštěvuji různé meetupy, kde se bavím s lidmi – CTO, vývojáři – a čekám zajímavou technologickou právní otázku. Ale nejčastěji se mě ptají, co vlastně v práci dělám a představují si, že jako právník chodím k soudům a tam se hádám, jak v divadle, argumentuji a přeargumentovávám druhou stranu.

To ale v praxi vůbec tak nefunguje. Moje práce a většina času v kanceláři spočívá v tom, že sedím někde na kole a řeším smlouvy s klientem nebo protistranou. IT právo je z velké části smluvní právo – řešíme licence, vývoj software, implementace a podobně.

Není to tak, že bych často musel vymýšlet něco nového, protože většina standardních smluv už existuje. Jako právníci vždy stojíme na jedné straně – zastupujeme buď dodavatele, nebo zákazníka. Nejzajímavější jsou schůzky a vyjednávání smluv, kdy klienti mají svoje šablony, druhá strana má svoje, a nikdo nechce ustoupit.

Moje práce spočívá v tom, že mám kola se zákazníkem, kde mu říkám, co jsme schopni ve smlouvě upravit a co ne, prostor pro kompromis, a pak další kola s protistranou, kde jim sdělujeme, co nemůžeme přijmout. Tohle je vlastně podstata mojí práce.

Většina našich klientů jsou startupy a mladé společnosti, které často nemají desetiletou praxi v obchodu. Mají svůj produkt, se kterým chtějí prorazit na trhu, ale nemají velké zkušenosti s obchodem, a proto jim předávám cenné rady.

Pomáhám jim vidět věci z jiného úhlu, protože i když najdou vzorové obchodní modely, často končí u mého doporučení, protože mnoho inovací je jen variantou něčeho, co tu už bylo. Vždy je možné se inspirovat, jak to dělají jiní.

Často tedy poskytujeme menší místní poradenské služby, kdy si s klientem probereme smlouvu a já mu nabídnu jiný pohled, který ho ani nenapadl. Většinou je to praktická stránka věci, ne soudní případy. IT právníci k soudům vlastně moc nechodí.

Za půl roku, co jsem v Darko, jsem měl asi tři spory, všechny skončily smírem dříve, než soud skončil. Takže představa velkých soudních přestřelek není realitou.

Pokud ale dojde na soud, lidé se nesoudí o paragrafy, ale o to, zda práce byla započítána do smlouvy – zda byla zahrnuta v rozsahu, nebo je to něco navíc. Dodavatel často nechce práci realizovat bez doplatku, zákazník chce, aby to bylo v ceně. To je základ 99 % sporů.

A na to nejsou jasná pravidla, podle kterých soudce rozhodne. Soudce to většinou rozhoduje podle znaleckého posudku, což trvá měsíce. Lidé se pak vracejí a musí podklady doplňovat. Je to psychicky i časově náročné, lidé musí na soud chodit, potkávat se s protistranou, což není příjemné, takže se to většinou řeší dohodou.

Když se spory dějí, většinou jsou to velmi závažné záležitosti.

Než se dostaneme k čistým datům – říkáš, že to je převážně smluvní právo. Jaké jsou nejčastější smlouvy, které řešíte? Jsou to dodavatelské, nebo také smlouvy se zaměstnanci, týmy, předávání práv k softwaru?

Je to takový mix všeho a záleží na klientovi.

Typické jsou mladé firmy a startupy, které do právníků primárně neinvestují. Právní služby vnímají spíše jako nutné zlo, až když mají velkou zakázku s vysokými riziky nebo je na stole investor, který požaduje změny.

Z tohoto pohledu řešíme hlavně dodavatelské smlouvy na velké zakázky s vývojem software nebo zajímavými produkty typu software jako služba (SaaS). Většinou mají nějaké vzorové podmínky,

[tentýž text končí zde, pokračujete-li, rád pomohu s dalším úsekem].

Ale vždycky ty enterprise podniky mají svoje nějaké speciální smlouvy, speciální ustanovení, takže to je jedna kategorie.

A pak druhá kategorie jsou takové ty interní věci, nastavení vztahu s vývojáři, kdy zase drtivá většina klientů, které řešíme, nemají úplně zaměstnance. My jim říkáme i „coho zaměstnanci“ občas, což je takový ten zemitější pojem, kterým se jim to snažíme pomoci nastavit nějakým způsobem, nejen aby to bylo legální, ale hlavně aby měli pohlídané to duševní vlastnictví. Protože to je to, na co se všichni investoři v první řadě dívají, jestli tedy nějaké ty smlouvy s pracovníky společnost má a pokud už je má, mají je se všemi a mají je podepsané, že jo?

To je zase takový ten nejzajímavější moment – nejen vědět, ale mít je fakt někde podepsané a naskenované, což je důležité. Co pak říkají k tomu IP? Jestli jsou tam správně nastavené přechody práv, jestli jsou tam třeba souhlasy upravovat, neupravovat a tak dále.

Jeden z nejčastějších problémů, kdy zjistíme, že třeba náš klient se snažil být fakt pečlivý a dal si práci, aby ty smlouvy s lidmi uzavřel a měl vše na papíře, paradoxně s tím moc škodí, protože lidé neznají práva. Co totiž udělají, je, že napíšou výhradní licenci. To je to nejlepší, co bych si mohl přát, že jo? „Používám to já, nikdo jiný ne.“ Ale paradoxně to nejlepší není. Ze zákona to pak vyplývají větší rozsahy práv.

Řešíme i situace, kdy klienti jsou sice vzorní, ale udělají krok špatným směrem. Místo toho, aby si podepsali režim zaměstnaneckého díla – což je strašně vtipná věc, ale už jdu do těch právních detailů – ten platí u osob, kdy například vyvíjíte pro společnost a z hlediska autorského práva jste něco jako zaměstnanci, a společnost získává ke software veškerá práva.

Pokud si proaktivní CEO napíše do smlouvy, že chce výhradní licenci, tak si vlastně snižuje nároky a ještě se zasekne o práva, která by správně mohla mít.

Takže to jsou takové ty „chuťovky“ podle mě, které řešíme, co nikdo občas neví a co vždycky lidi strašně zaujme: „Aha, že jsme to tedy takhle snažili, a ono ne.“

Přejděme teď k datům. Možná ještě z mého pohledu, protože mám nějaký vhled: mezi společníky, vlastně práva zakladatelů mezi sebou, to je taky důležitá součást. To spíše pro ty, co nás poslouchají a jsou opravdu ve startupovém režimu.

Co jsou věci, které si ošetřit, na co se podívat, nebo dokonce kdy si zaplatit právní službu?

Když to vezmu komplexně, provedeme klienta životním cyklem, když to tak napíšu. Ať už jde o smlouvy obchodní, nebo nějaké vztahy mezi zakladateli, strašně populární jsou zaměstnanecké opční programy SOP.

Nebo pak smlouvy se společníky. To vše s klientem časem řešíme podle toho, v jakém je stádiu.

Někdy za námi někdo přijde s potřebou řešit nějakou smlouvu, jindy přijde s tím, že mu nastal investor, a potřebuje si připravit korporátní věci, a jindy přijde s tím, že ho kontaktoval úřad pro ochranu osobních údajů, že tam bude problém, a řešíme compliance, GDPR, teď hodně kyberbezpečnost a další evropské předpisy, například DSA.

Hezky mi nahráváš, když se bavíme o datech a jejich regulaci, takže možná u těch menších na začátek.

Předpokládám, že na začátku se hodně řeší, kde ta data vezmu a co s nimi můžu dělat.

Když za tebou přijdu jako nějaký online portál, co chce agregovat data z jiných online portálů – těch je tady spoustu – jak to v tomto kontextu platí, funguje a na co si dát pozor?

Realitky jsou perfektní případ, protože já sám jsem poslední dobou řešil spoustu startupů souvisejících s nemovitostmi a všichni se potýkají s podobnou otázkou.

Ví se, že na internetu je spousta dat a dají se využít perfektním způsobem. Typicky jsou to metavyhledávače nebo hlídací psi, sledovací platformy, které čerpají data z ostatních portálů, která jsou veřejně dostupná.

Lidé si říkají, že jsou veřejně dostupná, tak je můžu použít, že není problém, když data vezmu a použiju ve své vlastní aplikaci.

Ale není to úplně jednoduché, protože data jsou sice veřejně dostupná, ale ještě to neznamená, že s nimi můžu dělat, co chci.

Základní princip je, že je potřeba dávat si především pozor na autorská práva.

Například jakmile používám fotografie, delší úryvky textu, nebo přímo databázi, většinou může být chráněna právy.

Fotografie jsou chráněné autorským právem, to ví asi každý. Například inzeráty – někdo z realitních portálů používá všechny fotky, co tam jsou, a to nemusí být úplně v pořádku.

I databáze, pokud je zveřejněná, jsou sice veřejné, ale často chráněné právy pořizovatele databáze, které vyplývají ze zákona.

Pořizovatelem je ten, kdo vynaložil nějaký vklad na vytvoření databáze, ověření správnosti dat nebo jejich uspořádání.

Pouze on má výhradní právo ta data dále používat, rozmnožovat a sdělovat veřejnosti.

To znamená, že jen on může kopírovat data a poskytovat je třetím osobám.

Pokud se tedy připojím k nějakému portálu a začnu data čerpat bez souhlasu nebo domluvy s provozovatelem, může to být nelegální, protože data jsou chráněná.

Vystavuji se riziku, že na mě provozovatel přijde, zakáže mi to, nebo budu muset platit náhradu škody, například ušlý zisk.

Proč to řešíme? Protože jde o to, že lidem to vadí.

U realitek to bývá trochu sporné, protože realitky jsou často rády, že data dál někdo šíří a rozšiřuje jejich publikum.

Když prodávají nemovitost a nemohou najít kupce, může jim být jenom líto, že má někdo platformu, kde se inzerát zobrazí, a barák se prodá.

Pokud si někdo nestěžuje, není problém a není co řešit.

Ale problém nastává, když platformy stojí na obchodním modelu, například předplatném za přístup nebo reklamách, ze kterých vydělávají.

Pokud já tím, že všechna data zobrazím na své vlastní platformě, získávám ušlý zisk realitek, začíná problém.

U realitek je téma citlivé, protože hlídací portály často nepracují s aktuálními daty.

Data si někdy „vysosají“ jednou a nechají je tam i poté, co je realitka vymaže ze svých webových stránek.

Pak realitní kanceláře mají problém, že se nabídky zobrazují jinde i deset měsíců po realitním stavu — nejsou aktuální a lidé volají, že se chtějí kouknout na dům, o kterém je řečeno, že je prodaný.

To jsou praktické problémy, proč se to řeší a o čem lidé často diskutují.

K tomu základu je vtipné, že jako právník často lidem říkám, zda nejde takový model podložit souhlasem.

Například mají model založený na čerpání mnoha dat, která nejsou jejich, co kdyby si napsali a zeptali se provozovatele portálu, jestli s tím souhlasí?

To se však obvykle nestane.

Praxe je taková, že lidé to dělají, protože to nikdo neví, berou data jako veřejný statek a dělají s nimi, co chtějí.

My se snažíme minimalizovat rizika, protože všechno je o riziku.

Není to o tom říct „nesmíte“, ale pojmenovat rizika, co znamenají jednotlivé případy, a hledat řešení.

Pokud jde o scraping, pokud udělám rozšíření do prohlížeče jako „hlídacího psa“, který jde přímo na web realitky, a přináším realitce návštěvnost a prodeje, většinou není problém.

Ale pokud zkopíruji celý portál k sobě a nasadím na to reklamy, už to nebude v pořádku.

Nová DSM směrnice přinesla v zákoně výjimku pro vytěžování databází za účelem učení umělé inteligence.

Je možné ta data používat bez souhlasu nebo licence, ale jen pro omezený okruh užití.

Data musí být hned po učení smazána, nesmí se rozmnožovat, opravdu jde jen o jednorázové použití k učení modelu.

Důležité je, že pokud je v kódu webu soubor „no robots.txt“, tedy zákaz vytěžování dat, výjimka platit nebude a nelze se na ni spoléhat.

To má praktické technické dopady, které klientům často vysvětlujeme.

Kontrolujeme, zda na serveru není takový soubor, protože formát není standardizovaný, a málokdo ví, jaký text tam hledat.

Takže když se bavíme o vytěžování dat, musí být nejprve souhlas, a pokud není, zkontrolujte, zda neexistuje „no robots.txt“.

Celkově jsem rád, že říkáš „záleží“ — není to černobílé, že něco můžu, něco nesmím.

Jde o vůli, posouzení a konkrétní případy.

Vaše práce není říci „toto nesmíte“, ale vysvětlit rizika a hledat řešení.

Co se týče scraping, jak jsem říkal, pokud jde o rozšíření do prohlížeče, které přináší návštěvnost realitce, většinou není problém.

Ale pokud zkopíruji celý portál a přidám k tomu reklamy, už to není v pořádku.

DSM a učení — pokud chci vytvořit strojové učení k rozpoznávání domů, můžu stáhnout fotky z realitky, naučit model a pak data zahodit.

Pokud tam není „no robots.txt“, je to přípustné.

Je třeba být obezřetný, nepřehánět to, používat data přiměřeně a striktně za účelem učení.

Poté data vymazat.

To je ten důvod existence výjimky v zákoně.

Ale pravidla platí, pokud se nedohodneme jinak.

Často data získávám z různých zdrojů, které bývají chráněny i jinými podmínkami, například obchodními smlouvami nebo podmínkami používání.

Dnes jsou v každých obchodních podmínkách doložky o mlčenlivosti, licencích a dalších právech, na které je potřeba dát si pozor.

Nebo se jedná o osobní údaje, kde platí zvláštní pravidla GDPR.

Není možné do modelů vkládat osobní údaje, fotografie lidí, jména a podobně.

To je druhá věc.

Ale základní shrnutí je, že regulace i přes množství předpisů dává smysl a snaží se vymezit podmínky, za kterých učení funguje.

I vytěžování dat má své limity, kdy je možné pracovat bez souhlasu.

Nyní k druhému případu: mnoho našich posluchačů má data legálně – například data, která sbírají z vlastních produktů.

Na co si dát pozor?

Jaké jsou nejčastější problémy, které řešíme?

Po chvíli, kdy už data sbírám sám, třeba mám hezký produkt, uživatelé se logují a dávají tam spoustu zajímavých dat, která chci využívat, situace není o moc jiná.

Pokud se s uživatelem nedohodnu právně jinak, data jsou jeho.

Je to něco, co on vygeneruje a vloží do mé databáze.

Například mám CRM systém, zákazníci tam dávají kontakty, zakázky a tak dál.

Chci z těch dat vytvářet agregované a anonymizované informace o nákupních trendech, které pak mohu prodávat.

Jsem jako Bloomberg, který poskytuje informace institucím a chci nabízet insajty i jiným uživatelům.

To je velmi citlivá oblast a i když data zanonymizuji, očistím a není možné určit jejich původce, stále by to mělo být v dohodě s klientem.

A samotný akt vzít data, zanonymizovat je a agregovat je právně představuje problém, o kterém by měl být dohodnut právní rámec.

(Text bohužel v původním zápisu končí a není dále rozpracován.)

Práce s těmi daty – ať už to bude z hlediska těch osobních údajů, kdy do nich zasahuji, anebo z pohledu té databáze – v ideálním případě bych to s tím zákazníkem měl znovu domluvit. Měl bych to mít někde v těch podmínkách uvedené, že ta data v anonymizované podobě dále zpracovávám. Protože když to nedělám, znamená to zase zásah jako každý jiný.

Toto analyzuji jako právník, ale praxe je taková, že když to teď někdo poslouchá, tak kdo na to přijde, že? Mluvíme o tom, že máme celé databáze, ve kterých jsou tisíce záznamů, že ano. A i kdybych si teď vedl tabulku těch souhlasů, kde by tři čtvrtiny zákazníků daly souhlas a jedna čtvrtina ne, a pak by se data někde objevila, tak kdo by se se mnou hádal o tom, jestli jeho data tam jsou nebo nejsou? Je to velmi šedá, až bych řekl černá oblast, založená hodně na důvěře.

Musíme prostě věřit Microsoftu, že s daty nepracuje jinak, než by měl, nebo i svým dalším dodavatelům. V praxi je to tak, že když si najdu nějakého nového dodavatele, například při implementaci v podniku – třeba koupí nový účetní systém nebo něco, co pracuje s daty a generuje poznatky –, tak většinou dokážu sepsat potenciální rizika a říct, co by se mělo v ideálním případě stanovit.

Přesto i když to ve smlouvě dohodneme, nemám kontrolu nad tím, zda se to skutečně dodržuje a zda to někdo vymáhá. Často tedy smlouvy obsahují doložky o auditech a možnosti kontroly, ale v praxi jsem nikdy neviděl, a ani si nedokážu představit, jak by taková kontrola probíhala. Nikdo prostě nepřijde do podniku a neřekne: „Ukažte mi, co s těmi daty děláte a komu jste je prodali.“ To se prostě neděje.

Hlavní je mít správně nastavené všeobecné obchodní podmínky, tedy mít jednu nekonečnou smlouvu, se kterou uživatel souhlasí většinou pouze kliknutím, například eula na začátku hry na PlayStationu nebo počítačových hrách. Cílem je mít tento dokument správně sepsaný, a tím být v bezpečí.

Byl bych proti sobě, kdybych tvrdil, že to není důležité. Dokument je rozhodně důležitý, ale často jsou významnější procesní pravidla a institucionální stránka, tedy co se ve skutečnosti děje, ne to, co je napsáno jen na papíře. Protože i kdybych stokrát napsal do privacy policy, co s daty na konci jejich životního cyklu dělám, a kdyby na to náhodou přišla kontrola, která zjistí, kdo má data, jak je používám a kam jsou posílána, není tak důležité, co v dokumentu je, ale co se skutečně v praxi děje.

A to je ten problém. Máme různá pravidla, například v Evropské unii, kde je jich mnoho, včetně GDPR, o kterém asi nemusíme mluvit podrobně – jen, že stanovuje, co s daty mohu a nemohu dělat, jak je mohu zpracovávat a jak to je s bezpečností. Nově se do toho zasahují i předpisy jako AI Act, které kladou důraz na transparentnost, kvalitu dat a jejich ověřování a testování.

Dokumenty jsou důležité, ale možná ještě důležitější jsou pravidla a chování lidí, i když ho v dokumentech nepřiznávají. GDPR je podle mě hezký příklad. AI Act z nějakého pohledu na GDPR navazuje, mnoho se o něm diskutuje, ale zatím nikdo přesně neví, jaký bude jeho dopad. Na filozofické úrovni dává smysl, důležitá je implementace a zvláště vymáhání.

Co pro mě GDPR znamená? Každý to má nějak smluvně ošetřené, ve větších firmách mají i data officery apod. V praxi, když mám startup o 25 lidech, mám řešit, zda mám mít cookie banner na webu a jaká je ta míra požadavků? Co je tedy potřeba řešit?

Startup často vede k tomu, že compliance bude jedna z posledních priorit. Není se čemu divit, protože to není jednorázová záležitost, ale běh na dlouhou trať. Nasazení cookie listu na webu už dnes existují standardizovaná řešení, která stačí upravit. Ale mít vše správně nastavené obnáší čas, úsilí a potřebu lidí na sledování těchto procesů, což je mnohdy až poslední krok.

Ze základů, když se na to máme podívat v rámci startupu, měl bych si pohlídat IP, dát pozor, že když produkt nějak sbírá data nebo poskytuje licence k uživatelským datům, měl bych tomu předcházet tak, aby se do budoucna nic nepokazilo a principy byly správně nastaveny.

Abstraktně mluvím o aplikaci, kde uživatelé nahrávají obsah, který chci v budoucnu dál využívat – například pro marketing, recenze nebo videa na sociálních sítích. Tyto principy je třeba dobře definovat, mít správně nastavená tlačítka s opt-inem, dokladovat všechny účely a zdroje dat v Privacy Policy. Ačkoli to není nepodstatné, startupy tyto věci často řeší až na posledních místech.

Obchod ale musí fungovat tak, že peníze přicházejí a předpisy se řeší až později. Téma se vždy po čase otevře, když už je k tomu čas, rozpočet a třeba první investor, který si prověří právní záležitosti a zjistí případné problémy. Obvykle stanoví lhůtu na nápravu, a pokud se tak nestane, hrozí komplikace. To je moment, kdy se vše nastavuje opravdu efektivně.

Startupy řeší GDPR a další předpisy až tehdy, když hrozí pokuty, ale riziko není natolik hrozivé, aby se jim věnovaly hned na začátku. Výhodou je, že takové právní rámce mohou legalizovat business modely startupů.

Pokud se podíváme na konkrétní příklad, třeba některý z vašich klientů, co to pro něj znamenalo a jaká zlepšení nastala, nebudu uvádět jména, abych nikoho neznemožnil nebo nepotěšil. Často není zřejmé, koho se regulace týká. Když řeknu, že existuje regulace DSA, která upravuje digitální služby, mnoho lidí si myslí, že se jich netýká, protože jsou to přece jen velké platformy typu Google, Facebook nebo Instagram, které to musí řešit.

Ale realita je taková, že DSA reguluje služby obecně a i když stanovuje větší povinnosti pro velké hráče, týká se i menších, především co se týká odpovědnosti za obsah. To se týká kohokoliv – malé aplikace či velké platformy – která umožňuje uživatelům nahrávat obsah, komentáře, recenze, fotografie, sdílet názory, které ostatní vidí a manipulují s nimi.

Jakákoli funkcionalita, kde uživatelé mohou sdílet obsah viditelný ostatním uživatelům, je tím, co nás v DSA nejvíce zajímá. Takže se bavíme o principu webu 2.0, ne o webu 3.0.

Všichni víme, že pokud mám aplikaci, do které vložím něco nelegálního jako ukradenou fotku nebo film, nebo tam bude rasistický či diskriminační obsah, je to problém. Ale předpis reaguje právě na situace, kdy obsah nevytváří provozovatel, ale uživatelé, kteří se na platformě mohou registrovat během několika sekund nebo vytvořit e-shop jedním kliknutím a ani netuší, že tam mají obsah, který může být problémový a šíří se pod jménem dané platformy.

DSA tedy stanovuje pravidla odpovědnosti za obsah uživatelů. Platforma za tento obsah musí nést určitý díl odpovědnosti, protože kdyby nezačala nést odpovědnost, nikdo by to neřešil a všichni by se vymlouvali na uživatele.

Jedním z hlavních nástrojů je tzv. notice and takedown proces, známý z Ameriky (DMCA) i v Evropě již před přijetím DSA. Nejde tedy o nic nového, jen se to nyní detailněji rozpracovává.

Předpis stanovuje, že provozovatel služby musí mít nastavený proces, kdy po upozornění na nevhodný obsah má tento obsah odstranit v rozumné lhůtě, s odůvodněním a evidencí těchto případů. Mělo by se to vyhodnocovat a reportovat.

Zjednodušeně řečeno, DSA není žádný převratný předpis, jen rozšiřuje notoricky známý princip a poukazuje na potřebu jeho dodržování.

Tento předpis je dlouhý a podrobnější, ukazuje, jak procesy zefektivnit, ne jen požadovat jednoduše odstranění nevhodného obsahu.

Například pokud mám cestovatelský deník, kde uživatelé sdílejí cesty, ale někdo tam vloží hate speech nebo dokonce plánování útoku, provozovatel by měl dostat upozornění a být povinen to řešit.

V praxi to znamená, že provozovatel má nastavený systém, který řeší stížnosti na nevhodný obsah v přiměřených lhůtách s jasnou evidencí a vyhodnocováním.

Tento nový evropský předpis není revoluční, ale v podstatě přináší více organizovanosti a právních požadavků na stávající praxe.

Vnímám vlnu odporu proti předpisům v EU, která mnohdy plyne z nepochopení či obav, že zákony poškozují podnikání, jako tomu je v případě GDPR.

Je pravda, že velké korporace mají administrativu navíc, ale když slyším, že někdo z malé obce stěžuje, že ho GDPR šikanuje, je třeba si uvědomit, že GDPR pouze chrání osobní údaje a ukládá povinnost s nimi nakládat odpovědně.

Celý problém s těmito předpisy je v tom, že jich je hodně, často je jimi možné zakrýt skutečné problémy.

Na druhé straně, EU je v tomto oboru napřed, a ať už jde o DSA, GDPR či AI Act, principy jsou stále stejné – chtějí zajistit bezpečnost a odpovědné nakládání s daty a informacemi.

GDPR představilo koncept privacy by design, AI Act bude klást důraz na transparentnost by design. Jinak je to však stále totéž.

Rozumím, že lidé opět budou kritizovat, že EU přereguluje a podnikání to zničí. Do určité míry to pochopím, ale EU má své povinnosti a zájmy na ochraně dat a bezpečnosti.

Na druhou stranu podnikání tady bude fungovat dál, trh existuje, a firmy se na tyto požadavky musí připravit.

Podniky proto nekrachují, i když přibývají povinnosti, některé společnosti mají více, jiné méně.

Navíc se může jednat o nové trendy a nastavení vyšších standardů, které mohou být základem pro budoucí regulace i mimo EU, například v USA.

Nové předpisy často zavádějí procesy vývoje a pravidla, podle kterých jsou certifikována regulační řešení – podobně jako ISO normy.

Toto potvrzuje trend, že regulace bude čím dál podrobnější, avšak i standardizovaná a jasně definovaná.

Tímto směrem se vše vyvíjí a nelze tomu uniknout ani v digitálním světě.

Těší mě záruka kvality. Všichni vědí, že když má někdo nálepku ISO 27001, tak to něco znamená. Třeba to lidé budou chtít a možná se to stane novým standardem. Když budu mít nové auto nebo nějaký systém, který je rizikový, ocením, že má nálepku potvrzující, že prošel kontrolou kvality. Ne, že ne. To je úhel pohledu, který je důležitý.

Aniž bych to chtěl úplně obhajovat, protože nemám žádný osobní zájem, vidím v tom smysl. Chápu však podniky, které to „zničí“ v uvozovkách, protože se tím budou muset zabývat, budou to muset řešit, a je to pro ně práce navíc.

Vidím tam několik věcí. Za prvé souhlasím, že regulace není vždy špatná. Například GDPR podle mého názoru nastavilo standardy, které následně přijaly i Brazílie a Kalifornie. Během diskuze o GDPR bylo zajímavé sledovat, jak tehdy s kauzou Cambridge Analytica vznikl velký odpor vůči technologickým monopolům – FANG, Apple ani tak ne, ale hlavně Facebooku a Amazonu. GDPR bylo v těchto diskuzích často zmiňováno jako něco, co chceme také, tedy ochranu individuálních práv. Špatná nálepka GDPR nebyla všeobecná, často naopak byla chápána velmi pozitivně, což považuji za zajímavé.

Myslím si, že nejvíc to bolí, když to zkazí oblíbený nástroj, například osekávání funkcí Google pro uživatele. To je bolestivé, ale z širšího pohledu jsem rád, že si podniky nemohou dělat, co chtějí, a nemohou vzít naši veškerou duševní vlastnictví a vložit ji do svých produktů, čímž by posilovaly své monopoly.

Myslím si, že je to také politické téma z hlediska národních států. Je snadné říct, že za to mohou oni, a zapomenout, že jsme to podepsali i my, že jsme byli předsednickou zemí, když to procházelo, a měli jsme to na starost. To je další linka k tomu.

Pojďme se podívat na AI Act. Ten již trochu nastartoval pokračování tohoto trendu. Když se podíváme na dané nařízení, uvidíme konkrétní dopady. Je to velmi sledované téma, které plní LinkedIn a předpokládám, že i vaši klienti za vámi chodí s otázkou: „Co máme dělat?“ Moje odpověď na to je: „Pane bože, nestresujte se.“

Je to těžké, ale – s trochou nadsázky na začátek – nebudou to žádné brutální změny. Podobně jako tomu bylo u kyberbezpečnosti. Ta se objevila relativně nedávno, ale byla obdobná situace: Přišel nový předpis, který jasně daně upravil povinnosti regulovaných podniků. Museli zavést procesy, opatření, a byla obava, že to bude postihovat stovky nebo tisíce podniků.

Ze strany dodavatelů se ozývalo, že mají najít kyberspecialistu, dokud ještě mohou, protože jich brzy bude nedostatek. Ale NIS 2 a kyberbezpečnost tu již nějakou dobu jsou. Nyní se dotahují vnitřní předpisy, ale základ je zde.

Z mého pohledu lidé o tom spíše mluví proto, že je to populární téma, a kdo o tom nemluví, není in. Ale většina skutečně regulovaných subjektů to moc neřeší, zejména proto, že stávající státní podniky to již řeší, takže pro ně toho nové mnoho nepřinese.

Okruh regulovaných se rozšiřuje o pár klíčových firem, které mají důležité zákazníky. V mém prostředí zatím nezaznamenávám velkou poptávku po konzultacích. Startupy, zejména infrastrukturové, to zatím tak neřeší.

Paradoxně spíše přichází požadavky od dodavatelů, kteří říkají: „Dodáváme regulovanému subjektu, co bude po nás chtít a jak to bude fungovat?“ Oni už na to dávají pozor, protože jsou z oboru a vědí, že se to děje, ale regulovaný subjekt si zatím své dodavatele příliš nekontroluje.

Je možné, že to v jiných prostředích je jinak, ale v mém to tak zatím není. Celkově je to spíše byznysová příležitost, stejně jako u AI Act.

Podstata AI Actu je regulace nejrizikovějších systémů. I zde platí podobný princip posuzování subjektů podle rizikovosti. Nejkritičtější kategorie, která je zodpovědná za většinu povinností, se týká jen minima systémů.

Zvlášť se pak řeší například „foundation“ modely, tedy základní modely, a také generativní AI, například chatboti komunikující s lidmi. U těch foundation modelů jde o dokumentaci a spolupráci s uživateli, kteří model aplikují.

Nejdůležitější částí je regulace nejrizikovějších systémů, například systémů pro rozpoznávání tváří a podobně. Pokud nejsou zakázané, patří zde kritická infrastruktura. Jedná se o systémy s velkým potenciálem narušit fungování společnosti, kdy jejich selhání by znamenalo vážné dopady, případně jsou velmi citlivé z hlediska soukromí a bezpečnosti.

Podobně jako u NIS 2 bude existovat úzký okruh regulovaných AI systémů, které budou podléhat certifikaci, musí dbát na kvalitu svých učících, testovacích a ověřovacích dat, jež musí být transparentní z hlediska použitých dat. Budou muset psát dokumentaci a snažit se být vysvětlitelné, tedy schopné odůvodnit konkrétní závěry.

Zbývá pár měsíců do nabytí účinnosti. Logika je taková, že na nerizikové systémy budou platit požadavky přibližně za 12 měsíců, tedy je odstupňování o šest měsíců.

Nyní začínají platit i zakázané techniky. Je zajímavé, že předpis zakazuje některé způsoby využití AI. Například kreditní hodnocení ve smyslu, že hodnotíme lidi a odepřeme jim přístup k některým službám, je zakázáno.

Po 12 měsících budou vysoce rizikové systémy muset splnit základní povinnosti a zbytek požadavků bude platit až za dva roky. Máme tedy určitý čas se přizpůsobit.

Při podrobnějším čtení předpisu samozřejmě najdeme kontroverzní body, zejména z praktického hlediska. Angažujeme se v předpisech podobných GDPR, které říkají „přijměte vhodná, adekvátní opatření,“ a nikdo přesně neví, co to znamená.

Budeme to tak muset zkoušet metodou pokus-omyl, a teprve postupem času zjistíme, co funguje a co ne. Ale tyto požadavky dávají smysl, protože celý předpis směřuje k tomu, aby se u rizikových případů pečovalo o koncové uživatele. Aby systém byl bezpečný, řádně testovaný, měl nezávislou certifikaci a k dispozici dokumentaci.

To je asi podstata, se kterou žádný rozumný člověk nebude zásadně nesouhlasit. Není principielně špatné, když vám někdo řekne, že byste měli mít kvalitní data pro vybudování AI. Kdo by řekl, že ne? Budeme se však dohadovat, co znamenají kvalitní data a jak by se jejich správnost měla ověřovat. To jsou technické detaily, které jsou sice důležité, ale jsou již druhou úrovní předpisů.

Jak jsem naznačoval, GDPR, kyberbezpečnostní NIS 2 a AI Act vlastně říkají totéž: Buďte opatření, nastavte procesy, pečujte o bezpečnost produktů a chraňte osobní údaje koncových uživatelů.

To je princip a cesta k tomu je skrze složité předpisy, které jsou hodně komentované, kontroverzní a o kterých se hodně mluví. Když si je však přečtete, zjistíte, že dávají smysl a nejsou až tak hrozné.

Například pokud máte generativní AI, která může tvořit deepfakes, předpis říká, že by takové jevy měly být označeny tak, aby bylo jasné, že jsou umělé. Proti tomu nikdo nebude bojovat.

To jsou pravidla, která dávají naprostý smysl a lidé z nich budou mít radost, protože si všichni uvědomují rizika.

Nejde o hejt nebo negativitu, jde spíše o edukaci a vysvětlování, protože tomu často nerozumíme. Úmysly nejsou špatné, ale způsob komunikace a vyvolaný strach bývá často zbytečný, protože není jasné, co předpis znamená, jak funguje a co prakticky přináší.

Moje právnické srdce plesá a děkuji ti, Pavle.

Za prvé za to, že vztahuješ legislativu zpět do praxe. Existence předpisu neznamená, že musím překopat celý svůj byznys. Ukazuješ, že právo je práce s riziky, že nestojíme před soudem jako Alisik Bílova, neházíme rukama a nenajímáme soukromé detektivy, ale jde o byznys, vyjednávání, kompromisy a správná opatření.

Jsem rád, že trochu demystifikuješ Evropskou unii a bruselský diktát, protože mám pocit, že jsou to strašáci, se kterými se lehce mává rukou a na které se odvoláváme.

Držím palce, ať máte super klienty s dobrými byznysem, kterým nová legislativa přináší globální konkurenční výhodu, a ať nesázejí na porážku.

To je vše. Děkuji, že jste poslouchali až sem. Děkuji také našim partnerům: Big Hubu, Intexu, Sazce, Bystreethu, Colors of Data, Revolt BI, Good Data, Kebule, eMarku, Karl Data Company a Datamindům.

Pokud vás zajímá více, navštivte naše stránky datatalk.cz a přihlaste se k odběru našeho newsletteru.