Studijní text

Pojem Data Governance získává v posledních letech na významu, byť se věcně nejedná o zásadně nový koncept. Označuje totiž systém rozhodovacích práv a odpovědnosti využívaný v procesech, při nichž dochází ke zpracování dat a práci s informacemi obecně. Z právního hlediska je to ve své podstatě otázka regulace toho kdo může s jakými daty na základě jakých podmínek a v jakém rozsahu nakládat. Jak již zaznělo na minulém bloku výuky, prostá data nejsou nijak chráněná a nepodléhají ani vlastnickému právu. Na druhou stranu, data mohou být předmětem velkého množství různých regulatorních nástrojů, které se navíc mohou poměrně volně překrývat. Neexistuje přitom jeden základní "datový kodex", který by danou problematiku upravoval komplexně. Zorientování se v možnostech nakládání s různými daty se tak může stát poměrně netriviálním procesem. Obecně je možné říct, že právo dta reguluje v případě, že se nacházejí v takovém kontextu, aby jimi byla vytvořena informace podléhající nějakému specifickému právnímu režimu.

Jako příklad je možné uvést práva duševního vlastnictví, která na data nepřímo dopadají. Typickým příkladem je databázová ochran, což je institut poměrně specifický pro evropský právní prostor, vyplývající ze směrnice 96/9/ES. Tato směrnice, která byla implementována do zákonu č. 121/2000 Sb., autorský zákon, rozeznává dva základní režimy ochrany databází. Dle zákona je databáze souborem nezávislých děl, údajů nebo jiných prvků, systematicky nebo metodicky uspořádaných a individuálně přístupných elektronickými nebo jinými prostředky, bez ohledu na formu jejich vyjádření. Rozlišujeme tzv. originální databáze ve smyslu § 2 odst. 2 AutZ, na které se hledí jako na autorské dílo, a u kterých je chráněna jejich struktura a metoda výběru obsahu (ale již ne samotný obsah), a dále zvláštní práva pořizovatele databáze, neboli „sui generis“ databázovou ochranu. V autorském zákoně je upravena v §§ 88 – 94. Tato ochrana je v první řadě ochranou investice vložené do vzniku databáze. Ochrana svědčí pořizovateli databáze  tehdy, pokud pořízení, ověření nebo předvedení obsahu databáze představuje kvalitativně nebo kvantitativně podstatný vklad. Podstatný vklad může být v podobě finančních, časových nebo jiných prostředků. Pořizovatel databáze má právo na vytěžování nebo na zužitkování celého obsahu databáze nebo její kvalitativně nebo kvantitativně podstatné části a právo udělit jinému oprávnění k výkonu tohoto práva. Byť tedy právní úprava nemíří přímo na jednotlivé údaje, nepřímo je reguluje tím, že nikdo jiný než pořizovatel databáze nesmí zpracovávat podstatnou část databáze.

Jako další příklady, kdy dochází k regulaci dat prostřednictvím úpravy informačních práv, je možné uvést ochranu osobních údajů, ochranu obchodního tajemství, ochranu utajovaných informací nebo nakládání s údaji chráněnými statistickou důvěrností, ale zároveň také pravidla pro zajištění volného přístupu k informacímobecně  a k informacím o životním prostředí specificky. Dále bychom do této oblasti mohli zařadit i úpravu informačních systémů veřejné správy a základních registrů a datových toků, které s nimi souvisejí. Není cílem této hodiny nabídnout komplexní všeobjímající výklad celého spektra, protože to ani není možné v rámci časové dotace stihnout. Zaměříme se proto pouze na vybrané problémy související zejména s opětovným užitím dat veřejného sektoru.

Na evropské úrovni se v kontextu data governance setkáme, krom ochrany osobních údajů, zejména v kontextu zajištění možnosti ekonomického využití dat. Na jaře roku 2020 Evropská Komise představila rámec pro chystanou datovou legislativu v podobě tzv. Evropské datové strategie. Do té byly zahrnuty již existující předpisy, jako je směrnice č. 2019/1024, o otevřených datech a opakovaném použití informací veřejného sektoru (dále "OD Směrnice"), nařízení č. 2018/1807 o rámci pro volný tok neosobních údajů v Evropské unii, nebo GDPR. Dále pak byly alespoň hrubě představeny legislativní záměry, mezi které patřilo nařízení o správě dat (nakonec přijaté v létě 2022 pod číslem 2022/868, známé jako DGA), tzv. data act, nebo nařízení o AI.

V rámci této přednášky se zaměříme na OD Směrnici a DGA a jejich promítnutí do české právní úpravy. Účel OD Směrnice spočívá v motivaci členských států, aby v maximální možné míře umožnily opětovné užití informací veřejného sektoru, kterými disponují. Zároveň ale (až na jednu výjimku) neukládá přímou povinnost jakékoli informace veřejného sektoru poskytovat. Cílem je umožnit snadné opětovné užití zveřejněných informací a dat, při zachování principů interoperabilty, aby kdokoli z celé EU mohl propojovat data poskytovaná na různých místech a tak došlo k naplnění jejich potenciálu.  Informace by se měly poskytovat ideálně v kvalitě otevřených dat, což znamená, že jde data, která jsou poskytovaná v úplné podobě, ve strojově čitelném a otevřeném formátu, jejichž další užití není právně omezeno nad nezbytnou míru (např. když se jedná o osobní údaje). Z působnosti směrnice jsou vyňaté informace a data, která jsou neveřejná, ať už na základě evropského práva, nebo práva členského státu. Opět, majoritním příkladem takové situace jsou osobní údaje v neveřejných rejstřících. OD Směrnice byla implementována do zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

DGA je nový předpis, který zatím nenabyl účinnosti, ale stane se tak až v září 2023. Základním účelem DGA je prostřednictvím zavedení vybraných právních institutů vytvořit bezpečné prostředí, které následně povede k usnadnění toků dat, která jsou jinach pod nějakým režimem ochrany. Příkladem takových institutů je tzv. datový altruismus, který má zabezpečeným způsobem umožnit projevit soukromoprávním subjektům vůli dovolit ostatním nakládat s daty za předem vybranými účely. Druhým příkladem jsou pak datoví prostředníci, kteří by v ideálním případě mohli posloužit jako dobrá výpomoc v osobním managementu sdílení osobních údajů. Konečně, z hlediska dalšího užití dat veřejného sektoru je v DGA zásadní kapitola 2, která věcně navazuje na OD Směrnici a obsahuje pravidla pro další užití dat, která jsou jinak neveřejná a nachází se tak mimo rozsah aplikace OD Směrnice. Jedná se o osobní údaje, údaje chráněné statistickou důvěrností, duševní vlastnictví třetích osob a obchodní tajemství. DGA pak směřuje k tomu, aby bylo možné tato data bezpečně sdílet a využít, čím bude možné dosáhnout jejich socio ekonomického potenciálu (zejm. za účelem vědeckého výzkumu), ale zároveň musí toto sdílení proběhnout tak, aby nebylo zasaženo do práv a zájmů subjektů údajů. Zároveň ale, podobně jako OD Směrnice, DGA nezakládá povinnost nějaká data poskytovat jako takovou. DGA zatím do českého právního řádu provedeno nebylo.

Na národní úrovni právní úpravy je nutné zmínit zejména zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Jde primárně o předpis, který slouží k možnosti výkonu základního politického práva na informace ve smyslu čl. 17 odst. 5 LZPS. Jako takový se řídí zásadou publicity veřejné správy, která stanoví, že informace veřejného sektoru se obecně poskytují a zveřejňují, ledaže je jejich poskytování ze zákona omezeno. Zákon č. 106/1999 Sb. pak plní dva hlavní účely, a to jednak zajistit možnost výkonu tohoto práva, a zároveň umožnit co nejsnadnější použití dat a informací, které byly poskytnuty. Tento druhý cíl je pak výsledkem implementace OD směrnice, resp. její předchůdkyně v podobě směrnice č. 2003/98/ES o opakovaném užití informací veřejného sektoru. Opět, není v možnostech této hodiny zabývat se jím celým do detailu. V poslední době se diskuze ohledně zákona č. 106/1999 Sb. vedla zejména v dvou hlavních oblastech. První z nich je otázka povinných subjektů, resp. zahrnutí osob soukromého práv mezi povinné subjekty. § 2 odst. 1 obsahuje neurčitý právní pojem "veřejná instituce", která se stala základem pro velmi bohatou soudní praxi. Ta se nakonec po nálezu ÚS ve věci ČEZ (sp. zn. IV. ÚS 1146/16) a nálezu ve věci Pražská plynárenská Servis distribuce, a.s. (I.ÚS 1262/17) ustálila na stavu, že za veřejnou instituci a tedy povinný subjekt, se považují takové společnosti, které splní test formulovaný v názvu Letiště Praha a zároveň jsou 100% vlastněny jiným povinným subjektem, včetně jiných veřejných institucí (je tedy možné tvořit řetězec povinných subjektů). Zásadní změnu přinesla implementační novela reagující na OD Směrnici, která zavedla nový typ povinného subjektu, tzv. veřejný podnik (§ 2a), kde není potřeba 100% účast ze strany státu, ale vymezení se týká pouze taxativně stanovených oblastí činnosti - zejména pak jde o relevantní činnost podle zákona o zadávání veřejných zakázek. ČEZ je tak podle aktuální úpravy povinným subjektem dle zákona č. 106/1999 Sb.

Druhou diskutovanou oblastí je střet práva na informace a práva na ochranu soukromí a osobních údajů, který krystalicky materializuje v problematice žádostí o informace o platech a odměnách zaměstnanců povinných subjektů. Zásadním rozhodnutím v této oblasti byl tzv. Platový nález ÚS (IV.ÚS 1378/16 ), který formuloval, že aby bylo možné informaci o platech poskytnout, musí být v rámci žádosti kumulativně splněny následující podmínky: "a) účelem vyžádání informace je přispět k diskusi o věcech veřejného zájmu; b) informace samotná se týká veřejného zájmu; c) žadatel o informaci plní úkoly či poslání dozoru veřejnosti či roli tzv. "společenského hlídacího psa"; d) informace existuje a je dostupná." Tento nález přerušil dosavadní ustálenou rozhodovací praxi NSS, dle které se informace o platech měly obecně poskytovat s výhradou případů, kdy se "osoba na podstatě vlastní činnosti povinného subjektu podílí jen nepřímo a nevýznamným způsobem a zároveň nevyvstávají konkrétní pochybnosti o tom, zda v souvislosti s odměňováním této osoby jsou veřejné prostředky vynakládány hospodárně" (rozsudek NSS č.j. 8 As 55/2012-62 ze dne 22. 10. 2014). V rámci implementační novely zákonodárce reagoval i na tento problém a nabídl nové ustanovení § 8c, který informování o příjmech fyzických osob specificky upravuje. Přesto střet těchto dvou základních práv tvoří zajímavý problém, který rozhodně není finálně vyřešení a o kterém je možné se dále bavit.

Výukové video

Povinná literatura

• Kapitola 8 Data veřejného sektoru monografie POLČÁK, Radim et al. Právo informačních technologií. Wolters Kluwer, 2018. ISBN 978-80-7598-045-8. Dostupné z ASPI.
• Stránky EK - Evropská datová strategie.

Doporučená literatura

• Fischer, B., Piskorz-Ryń, A. Artificial intelligence in the context of data governance. International Review of Law, Computers & Technology. 2021, č. 3, s. 419–428.
• Relevantní části komentáře Furek, A., Rothanzl, L., Jírovec, T. Zákon o svobodném přístupu k informacím: Komentář. Praha: C. H. Beck, 2016.