Menu

Chat Control vs. GDPR: Analýza rizik

Před 5 hodinami. Vytisknout

Analýza regulace Chat Control z pohledu GDPR a ochrany osobních údajů. Proč návrh ohrožuje soukromí a šifrování v EU.

Peter Lipták

Regulace Chat Control (oficiálně nazývaná „Regulation on laying down rules to prevent and combat child sexual abuse“) představuje jeden z nejkontroverznějších legislativních návrhů Evropské unie v oblasti digitálních práv za poslední roky. Tato regulace, jejíž klíčové hlasování je naplánováno na 14. října 2025, má za cíl posílit boj proti sexuálnímu zneužívání dětí online, zároveň však vyvolává velmi vážné otázky o kompatibilitě se základními principy GDPR a ochrany osobních údajů.

EU se tímto tématem zabývá už od roku 2022, ale naráží na odpor aktivistů. Podle nich by návrh otevřel zadní vrátka například vládám, které by chtěly monitorovat komunikaci novinářů či politických oponentů. Veřejný tlak už donutil Česko, aby svůj postoj změnilo.

Slovensko však s poslední verzí návrhu, která zahrnuje i možnost prolomení šifrování, problém nemělo.

Zřídkakdy se může demokraticky smýšlející občan shodnout se Smerem, ale v tomto případě by měl. Strana Smer totiž v létě začala návrh konečně veřejně kritizovat jako nepřiměřený zásah do soukromí občanů s tím, že jde o „výmysl EU“. A má pravdu, i když jen těžko lze předpokládat upřímný záměr. V tomto článku je rozebráno proč. Překvapivé je hlavně to, že EU jaksi zapomněla na nařízení GDPR — přestože na to upozornily i různé evropské orgány, například Evropský výbor pro ochranu údajů nebo think-tank Evropského parlamentu.

Dnes už i slovenské ministerstvo vnitra mluví o potřebě jasných záruk při ochraně soukromí. Nepřináší však přímou odpověď na to, zda podpoří návrh obsahující prolomení šifrování. Nabízí se ale otázka – o jaké záruky by vlastně mělo jít? Dodržování GDPR přece samo o sobě představuje jasnou záruku (byť s vlastními nedostatky). Stačí ho jen neignorovat a důsledně kontrolovat.

O co tedy jde v posledním návrhu:

Jinými slovy, poslední verze představuje určitý kompromis mezi snahou chránit děti a snahou bojovat proti kriminalitě. Podle odpůrců tím ale Unie otevírá Pandořinu skříňku. Jakmile jednou oslabíte šifrování, nelze ho už bezpečně udržet. Boj proti kriminalitě přitom může probíhat i méně invazivními prostředky. To už je však téma na samostatný článek.

Monitorování komunikace:

  • Nový návrh už nepočítá s plošným sledováním všech textů a hovorů.

  • Kontrolovat by se měly pouze obrázky a odkazy.

  • Uživatelé šifrovaných služeb (WhatsApp, Messenger, iMessage) budou muset udělit souhlas s monitorováním, ale není jasné, co se stane, pokud ho odmítnou.

Omezení pro státy:

  • Možnost vydávat příkazy ke sledování má být více omezena.

  • Data by měla být anonymizována a technologie kontrolovány, aby neohrožovaly práva ani bezpečnost uživatelů.

Kritika a obavy:

  • Novináři a whistlebloweři by ztratili jistotu, že jejich komunikace přes Signal nebo Telegram zůstane plně soukromá.

  • Kritici upozorňují, že návrh fakticky oslabuje šifrování – jakékoli „zadní vrátka“ zvyšují riziko zneužití ze strany hackerů nebo jiných aktérů, i když původně měla sloužit policii.

  • Proti návrhu se postavilo Česko, Finsko a několik občanských organizací.

Postoj Evropského parlamentu (2023):

  • Jednoznačně odmítl jakékoli zásahy do šifrování mezi koncovými zařízeními.

  • Zdůraznil, že šifrování se nesmí oslabit ani narušit.

Současný stav:

  • Poslední znění textu, které je nyní projednáváno, však stále počítá s možností narušení šifrování.

Client-side Scanning

Nejkontroverznějším prvkem návrhu je zavedení tzv. client-side scanningu (CSS), které by od poskytovatelů komunikačních služeb vyžadovalo implementaci skenování obsahu přímo na zařízeních uživatelů – ještě před samotným zašifrováním zpráv. Tento mechanismus by fungoval následovně:

  • Lokální kontrola: Každá zpráva, fotografie nebo video by se před odesláním automaticky porovnala s databází známých materiálů CSAM (child sexual abuse material).

  • Automatické nahlášení: V případě shody by zařízení odeslalo data na server EUCSA (European Centre to Combat Child Sexual Abuse).

  • Postoupení orgánům: EUCSA by následně informovalo příslušné národní orgány činné v trestním řízení.

Není třeba být raketovým inženýrem, aby bylo jasné, co to znamená pro soukromí.

Dosah regulace

Regulace by se vztahovala na všechny poskytovatele online služeb působící v členských státech EU, včetně:

  • poskytovatelů hostingu,

  • služeb mezilidské komunikace,

  • aplikačních obchodů,

  • služeb, jako jsou WhatsApp, Signal nebo Telegram.

Analýza z pohledu GDPR a základních práv

Porušování základních principů GDPR

Princip minimalizace údajů (článek 5 (1)(c) GDPR)

Chat Control představuje zásadní rozpor s principem minimalizace údajů, protože vyžaduje zpracování veškeré komunikační aktivity všech občanů – bez ohledu na podezření. Soudní dvůr EU již v případu Schrems vs. Meta Platforms jasně potvrdil, že princip minimalizace údajů neumožňuje „zpracování osobních údajů bez omezení času nebo typu údajů“.

Princip omezení účelu (článek 5 (1)(b) GDPR)

Regulace umožňuje, aby údaje získané v rámci boje proti CSAM mohly být potenciálně použity i pro jiné účely vymáhání práva, což porušuje princip omezení účelu. GDPR přitom výslovně stanoví, že osobní údaje musí být „shromažďovány pro konkrétní, výslovně vymezené a legitimní účely“.

Nedostatečný právní základ (článek 6 GDPR)

Evropský inspektor ochrany údajů (EDPS) už v podobné věci rozhodl, že politické kampaně na podporu Chat Control porušily GDPR, protože neměly dostatečně jasný a přesný právní základ. Toto rozhodnutí vyvolává vážné pochybnosti i o právním základu samotné regulace.

Konflikt s Chartou základních práv EU

Aby toho nebylo málo, návrh Chat Control je rovněž v rozporu s těmito články:

  • Článek 7 – Právo na respektování soukromého a rodinného života
    Evropský soud pro lidská práva v případu Podchasov vs. Rusko jasně potvrdil, že oslabování šifrování může vést k plošnému a nerozlišujícímu sledování komunikace všech uživatelů a tím porušuje základní lidské právo na soukromí. Chat Control by vytvořil právě takový systém masového dohledu.

  • Článek 8 – Ochrana osobních údajů
    Regulace by vyžadovala zpracování osobních údajů v bezprecedentním rozsahu, což je v přímém rozporu s článkem 8 Charty, který garantuje právo na ochranu osobních údajů.

Technická a bezpečnostní rizika

  • Oslabení end-to-end šifrování – Nezávislí experti z Cambridge University ve studii “Bugs in Our Pockets” ukázali, že systémy client-side scanningu jsou křehké, náchylné ke zneužití a nejsou schopné naplnit požadavek proporcionality. Dokonce i společnost Apple, která podobné opatření dříve zvažovala, od něj po celosvětovém odporu v roce 2022 nakonec ustoupila.

  • Vysoká míra falešně pozitivních výsledků – Automatické skenery mohou chybně vyhodnotit i zcela nevinný obsah, například dovolenkové fotografie nebo soukromé žerty, jako nelegální. To vystavuje běžné uživatele riziku falešných obvinění. V zemích jako Švýcarsko dosahuje míra falešných pozitiv až 80 %.

Dopady na Slovensko

Pro Slovensko, které návrh v podstatě podporuje, by zavedení Chat Control znamenalo:

  • povinnost pro všechny poskytovatele komunikačních služeb implementovat skenovací technologie,

  • riziko porušení slovenského ústavního práva na soukromí,

  • možné sankce za nedodržování GDPR při zavádění takových systémů,

  • ekonomické dopady na slovenské IT firmy a startupy.

Slovensko by však mělo svou podporu regulace Chat Control jednoznačně přehodnotit, a to s ohledem na:

  • zjevné právní rozpory s GDPR,

  • technickou neproveditelnost bez narušení bezpečnosti,

  • negativní stanoviska EDPS a dalších právních expertů.

Alternativní řešení

Není třeba být odborníkem, aby bylo jasné, že ochrana dětí je sice ušlechtilý cíl, ale neměla by být vykoupena ztrátou jiných základních práv. Namísto plošného sledování by mělo Slovensko podporovat:

  • cílená vyšetřování založená na soudních příkazech,

  • zlepšení přeshraniční spolupráce mezi orgány činnými v trestním řízení,

  • investice do technologií zachovávajících soukromí (privacy-enhancing technologies),

  • posílení programů prevence a ochrany obětí.

Slovensko by také mělo vyžadovat komplexní posouzení dopadů na ochranu osobních údajů (DPIA) pro jakoukoli implementaci Chat Control, jak to vyžaduje i článek 35 GDPR.

Regulace Chat Control v současné podobě je neslučitelná se základními principy GDPR a Chartou základních práv EU. Návrh by vytvořil systém masového sledování, který:

  • porušuje princip minimalizace údajů – zpracovává data všech občanů bez rozdílu,

  • nemá dostatečný právní základ – jak už potvrdil EDPS v podobných případech,

  • ohrožuje bezpečnost komunikace – oslabením šifrování pro všechny uživatele,

  • není proporcionální – cíle ochrany dětí lze dosáhnout méně invazivními prostředky.

Pro Slovensko, které se profiluje jako expertní země v oblasti GDPR, by podpora takové regulace znamenala oslabení vlastní důvěryhodnosti v ochraně osobních údajů. Doporučuje se, aby Slovensko svou pozici přehodnotilo a podpořilo alternativní řešení, která chrání děti, aniž by obětovala základní digitální práva všech občanů EU.

Klíčové hlasování 14. října 2025 bude rozhodujícím momentem pro budoucnost digitálních práv v Evropě. Slovensko má stále příležitost postavit se na správnou stranu historie.

Zde můžete sledovat, které země Chat Control podporují, které jsou proti a další podrobnosti: Flight Chat Control – Protect Digital Privacy in the EU.

 

Komentáře   0
Internet a e-mail Sociální sítě IT Management