← Cuadernos Lacre

Analýza · 26. mája 2026

Skutočné verzus zdanlivé súkromie: otázky, ktoré je vhodné si položiť

Operatívne zhrnutie cyklu 2: otázky, ktoré odlišujú službu s architektonickým súkromím od služby s deklaratívnym súkromím. Dotazník pre európskeho profesionála pred prijatím akéhokoľvek digitálneho nástroja na citlivé údaje.

Rozdiel medzi architektonickým súkromím a deklaratívnym súkromím

Počas siedmich predchádzajúcich článkov tohto cyklu sme prešli rôznymi vrstvami tej istej veci. Právo medzinárodných prenosov so Schrems II. Matematickú myšlienku kryptografického hashu, ktorý pečatí každý Cuaderno. Architektonickú voľbu kill switcha a inštitucionálne zajatie, ktoré ho takmer vždy sprevádza. Mechanizmus koncového šifrovania a operatívnu otázku, kde sa nachádzajú kľúče. Zladenie podnetov podľa obchodného modelu. Sebazvrchovanú kryptografickú identitu. Self-hosting ako proporcionálnu stratégiu. Každý článok sa zaoberal jedným uhlom pohľadu. Tento, posledný v cykle, ich spája do dotazníka.

Rozlíšenie, ktoré je vhodné si zapamätať, je jednoduché: existujú služby, ktorých súkromie je architektonické, a existujú služby, ktorých súkromie je deklaratívne. Prvé je zabudované do technického návrhu: isté porušenia záväzku k súkromiu sú technicky náročné alebo nemožné, pretože architektúra ich nedovoľuje. Druhé je uložené v texte právneho upozornenia: isté porušenia by boli zmluvne postihnuteľné, ak by k nim došlo, ale technicky im nič nebráni. Oba modely môžu spĺňať GDPR; ale jeden chráni svojou konštrukciou a druhý chráni sľubom, a ten rozdiel je operatívne obrovský.

Otázky, ktoré nasledujú, sú navrhnuté tak, aby odlíšili jeden prípad od druhého. Nie sú to pokročilé technické otázky. Sú to otázky, na ktoré každý poctivý poskytovateľ dokáže odpovedať vo svojej verejnej dokumentácii. Kvalita a presnosť odpovede vypovedá o produkte rovnako ako odpoveď sama. Otázky sa zoskupujú do šiestich vrstiev; je vhodné položiť ich všetky pred prijatím služby na citlivé údaje, nielen tie, ktoré identifikuje prvý inštinkt.

Vrstva 1: architektúra

Ujasnime si jeden pojem, kým budeme pokračovať. Operátorom rozumieme spoločnosť poskytujúcu službu: subjekt ovládajúci servery a softvér, nie konkrétnu osobu. Po tomto spresnení znie základná architektonická otázka: čo robí operátor s obsahom medzi odosielateľom a príjemcom? Možné odpovede sú tri a oplatí sa ich vedieť rozlíšiť, pretože všetky tri sa niekedy propagujú podobným slovníkom.

  • Prvá: obsah prechádza serverom operátora v otvorenej podobe, kde ho operátor môže čítať, aj keby sľúbil, že tak neurobí.
  • Druhá: obsah prechádza serverom operátora šifrovaný, kde ho operátor nemôže čítať, ak kľúče sídlia výhradne v zariadeniach používateľov.
  • Tretia: obsah neprechádza žiadnym serverom operátora, pretože v tomto konkrétnom toku žiadny server operátora neexistuje.

Rozdiel medzi týmito tromi nie je rozdielom stupňa: je rozdielom druhu.

Doplňujúcou otázkou — už položenou v Cuaderno o šifrovaní — je: kto má kryptografické kľúče umožňujúce čítať obsah? Ak ich má používateľ a iba používateľ, šifrovanie je skutočné. Ak ich má navyše operátor v akejkoľvek podobe — hoci pod názvom „obnova účtu” alebo „synchronizácia medzi zariadeniami” —, šifrovanie je nominálne. Otázka nepripúšťa poctivú medziľahlú odpoveď.

Vrstva 2: obchodný model

Otázka obchodného modelu je rovnako dôležitá ako otázka architektonická, a to z toho istého podstatného dôvodu: podnety v priebehu času produkujú systematicky odlišné produkty aj pri totožných deklarovaných zámeroch. Ako operátor dnes zarába peniaze? Jeden zdroj, dva, zmes? Ak financovanie zahŕňa reklamu alebo speňažovanie údajov, aké údaje sa speňažujú a na akom právnom základe GDPR sa tak deje? Pokrýva účel deklarovaný v právnom upozornení údaje tretích osôb, ktoré profesionál mieni službe zveriť?

A otázka druhého rádu, nie vždy položená: aká je finančná situácia operátora v horizonte troch až piatich rokov? Firma vo fáze rizikového kapitálu funguje pod inými tlakmi než firma so stabilnou ziskovosťou. Zmena modelu financovania je opakovane okamihom, keď sa implicitná zmluva s používateľmi prepíše bez vyjednávania.

Vrstva 3: jurisdikcia

Pre európskeho profesionála nie je otázka jurisdikcie rečnícka. V akej jurisdikcii je operátor zapísaný? V ktorej krajine sa fyzicky nachádzajú servery spracúvajúce údaje? Je odpoveď na obe predchádzajúce otázky rovnaká, alebo odlišná, a ak sa líši, aké právo sa uplatní? Európsky región prevádzkovaný americkou firmou nie je na účely Schrems II európskou odpoveďou: firma podlieha FISA 702 bez ohľadu na to, kde sa servery nachádzajú.

Doplňujúcou operatívnou otázkou je: keby zajtra prišiel spravodajský príkaz platný v jurisdikcii operátora požadujúci vydanie mojich údajov alebo údajov mojich klientov, čo by sa stalo? Ak poctivá odpoveď začína slovami „firma by bola povinná ich vydať”, služba pred týmto príkazom nechráni, nech reklama naznačuje čokoľvek opačné. Ak poctivá odpoveď začína slovami „firma by ich nemohla vydať, pretože ich nemá v otvorenej podobe”, služba chráni; a ten rozdiel závisí takmer výhradne od prvých dvoch vrstiev, nie od kvality zásad ochrany súkromia.

Vrstva 4: operátor a kill switch

Akú technickú schopnosť si operátor ponecháva na diaľkové pozastavenie, zablokovanie, zrušenie alebo zhoršenie služby? Otázka nie je paranoidná: je operatívna. Digitálne platformy túto schopnosť v posledných rokoch opakovane uplatnili, niekedy z vlastnej iniciatívy, inokedy na príkaz vlád, inokedy po zmenách vlastníctva alebo politiky. Ak schopnosť existuje, je vhodné vedieť, za akých zmluvne deklarovaných predpokladov sa uplatňuje, a ponechať si rezervu pre nedeklarované predpoklady, ktoré prax posledných rokov ukázala ako rovnako relevantné: nečakaný súdny príkaz, medzinárodná sankcia, zmena podnikového vedenia, akvizícia subjektom s inou politikou.

Sesterskou otázkou je otázka plánu kontinuity: keby operátor túto schopnosť uplatnil proti profesionálovi — z akéhokoľvek dôvodu, oprávneného či nie —, aký dlhý čas prevádzky by zostal k dispozícii, aký postup exportu údajov existuje a ku ktorému alternatívnemu poskytovateľovi by bolo možné migrovať? Ak odpoveď začína slovami „to by sa nemalo stať”, nie je to operatívna odpoveď; je to sľub.

Vrstva 5: identita a prístup

Kto ovláda prístupové údaje k službe? Ak operátor môže obnoviť prístup používateľa bez účasti používateľa — postup zvyčajne nazývaný „obnova účtu” —, je operátor technicky správcom účtu a môže ho aj postúpiť tomu, kto oň požiada príslušným postupom. Ak operátor nemôže obnoviť prístup, pretože identita sa kryptograficky nachádza v zariadení používateľa, operátor ju nemôže ani postúpiť, a to ani na príkaz. Oba spôsoby sú podľa kontextu legitímne; ale, opäť, sú odlišné a je vhodné vedieť, ktorý sa prijíma.

Čo sa stane s údajmi profesionála, ak profesionál stratí prístup? Existujú mechanizmy obnovy — účtu, súboru, relácie —, ktoré závisia od operátora? Sú tieto mechanizmy zlučiteľné s profesijnou deontológiou odboru, ak je operátor donútený ich použiť?

Vrstva 6: budúcnosť

Táto posledná vrstva býva opomínaná, pretože vyžaduje projekciu. Čo by sa stalo, keby službu kúpila iná firma? Takmer všetky akvizície so sebou v nasledujúcich mesiacoch nesú revíziu podmienok služby. Čo by sa stalo, keby sa zmenili regulačné požiadavky? Európske právo od roku 2022 povinnosti odstránenia a blokovania zvýšilo, nie znížilo. Čo by sa stalo, keby operátor zmizol? Významná časť cloudových služieb nemá zdokumentovaný plán odchodu pre scenár ukončenia činnosti operátora; profesionál objaví problém, keď už nie je čas pripraviť sa naň.

Existuje formulácia, ktorú je vhodné si pre túto vrstvu zapamätať: architektúry, ktoré menej závisia od operátora, sú odolnejšie voči zmenám operátora. Self-hosting v ktorejkoľvek zo svojich podôb, sebazvrchovaná kryptografická identita, komunikácia bez servera uprostred — to všetko znižuje budúcu plochu rizika tým, že znižuje súčasnú plochu závislosti. Neodstraňuje ju; znižuje ju.

Rozdiel medzi štruktúrou a sľubom

Keby sme mali celý cyklus vydestilovať do jedinej vety, znela by takto: štrukturálne odpovede sa udržia, aj keď sa operátor, správa alebo právo zmení; odpovede založené na sľube sa udržia, kým ten, kto sľubuje, môže a chce ich dodržať. Obe môžu byť v okamihu prijatia správne. Len jedna z nich sa udrží nezávisle od plynutia času a zmeny okolností.

To neznamená, že každý profesionál musí vyžadovať štrukturálne odpovede od všetkých služieb, ktoré prijíma. Proporcionalita zostáva legitímna: tabuľka na vnútorné účtovníctvo nepotrebuje tú istú odpoveď ako klinická dokumentácia pacienta. Znamená to však, že profesionalita spočíva v tom vedieť, aký druh odpovede bol v každom prípade prijatý, a vedome rozhodnúť, že tento druh odpovede je proporcionálny konkrétnemu údaju.

Dotazník, usporiadaný

Dvanásť konkrétnych otázok, ktoré zhŕňajú cyklus, usporiadaných tak, aby odpoveď na každú z nich utvárala tú nasledujúcu:

  1. Prechádza obsah serverom operátora? Ak prechádza: v otvorenej podobe, šifrovaný kľúčmi operátora, alebo šifrovaný kľúčmi výhradne používateľa?
  2. Ak sa odvoláva na koncové šifrovanie (end-to-end), kde sa nachádzajú kryptografické kľúče? Pozná alebo uchováva operátor akúkoľvek ich časť v akejkoľvek podobe vrátane „obnovy”?
  3. Aké metaúdaje služba generuje a uchováva? Po akú dlhú dobu? Komu sú viditeľné?
  4. Ako sa operátor financuje? Ak financovanie zahŕňa reklamu alebo speňažovanie údajov, pokrýva deklarovaný účel údaje tretích osôb zverené profesionálom?
  5. Aká je finančná situácia operátora v horizonte troch až piatich rokov? Existujú faktory naznačujúce bezprostrednú zmenu modelu (čakajúci vstup na burzu, vyčerpávajúce sa kolo financovania, pravdepodobná akvizícia)?
  6. V akej jurisdikcii je operátor zapísaný? V ktorej krajine sa fyzicky nachádzajú servery? Ak sa líšia, aké vnútroštátne právo sa na spracúvanie vzťahuje?
  7. Čo by sa stalo, keby spravodajský príkaz platný v jurisdikcii operátora požadoval vydanie mojich údajov? Mohla by ho firma technicky splniť?
  8. Akú technickú schopnosť si operátor ponecháva na pozastavenie, zablokovanie alebo zrušenie služby? Za akých zmluvných predpokladov? Za akých nezmluvných, historicky zdokumentovaných predpokladov?
  9. Aký plán odchodu existuje, keby operátor túto schopnosť uplatnil proti mne, či už oprávnene, alebo neoprávnene? Existuje zdokumentovaný postup exportu údajov k alternatívnemu poskytovateľovi?
  10. Kto ovláda prístupové údaje? Môže ich operátor obnoviť bez mojej účasti? Chráni ma to, alebo ma to vystavuje riziku?
  11. Existuje pre túto konkrétnu funkciu európska, self-hostovaná alternatíva alebo alternatíva bez servera uprostred? Aké sú jej skutočné náklady v porovnaní s vyhodnoteným rizikom?
  12. Keby dnešné rozhodnutie o päť rokov skúmal inšpektor, audítor alebo klient zasiahnutý únikom údajov, bola by súčasná voľba obhájiteľná argumentmi dostupnými dnes, alebo by vyžadovala ospravedlnenie za to, že neboli položené rozumné otázky?

Otázky neočakávajú dokonalé odpovede. Očakávajú odpovede poctivé, ktoré poctivý operátor vie dať a menej poctivý operátor sa vyhýba tomu, aby ich presne formuloval. Operatívny rozdiel medzi oboma triedami operátorov, hovoríme to bez dramatizovania, sa zvyčajne dá vnímať pri pomalom čítaní odpovedí, ktoré poskytujú dobrovoľne, ešte predtým, než treba žiadať o viac.


Týmto článkom uzatvárame druhý cyklus Cuadernos Lacre. Začali sme redakčným dlhom zdedeným po Schrems II a končíme operatívnym dotazníkom. Cestou sme prešli pojmami — hash, šifrovanie, identita — aj aplikovanými rozbormi — kill switch, obchodný model, self-hosting. Deklarovaným redakčným zámerom publikácie nebolo zahltiť čitateľa vyčerpávajúcim zoznamom problémov, ale odovzdať mu nástroje, aby pri akejkoľvek novej službe rozlíšil, aký druh odpovede prijíma. Toto rozlíšenie — medzi architektúrou a sľubom — je tým nástrojom. Zvyšok každý profesionál vloží do služby tým údajom, ktoré vo svojej praxi uzná za hodné tej otázky.

Zdroje a ďalšie čítanie

  • Táto publikácia, cyklus 2 (máj 2026) — Schrems II päť rokov potom, Čo je SHA-256 doopravdy, Kill switch a inštitucionálne zajatie, Koncové šifrovanie vysvetlené doopravdy, Obchodný model ako signál dôvery, 24 slov: čo je kryptografická identita, Self-hosting ako profesijná prax. Sedem článkov, na ktorých tento dotazník spočíva.
  • Nariadenie (EÚ) 2016/679 — Všeobecné nariadenie o ochrane údajov. Referenčný právny rámec pre všetky otázky, ktoré dotazník kladie, najmä články 5, 6, 25, 28, 32, 33 a kapitola V.
  • Európsky výbor pre ochranu údajov — usmernenia a operatívne stanoviská k Schrems II, medzinárodným prenosom, posúdeniam vplyvu a proaktívnej zodpovednosti (publikácie 2020 – 2024).
  • Španielsky úrad na ochranu údajov — sankcie zverejnené v rokoch 2022 – 2024 voči prevádzkovateľom za nevhodné nástroje prenosu alebo za formálne posúdenia vplyvu bez vecného obsahu.
  • noyb.eu — Európske centrum pre digitálne práva, vedené Maximilianom Schremsom. Verejné úložisko sťažností, opravných prostriedkov a analýz o skutočnom, nie zdanlivom dodržiavaní európskych noriem ochrany údajov.

Nedávne čítanie