Několik poznámek k návrhu nařízení ePrivacy
Ke dni 25. května 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů (GDPR).[1] V mediálním rozruchu, který GDPR doprovází, se poněkud pozapomnělo, že obecné nařízení mají doplnit další předpisy zaměřené na na specifické aspekty ochrany soukromí a osobních údajů, které přinesou další změny a nové povinnosti.
Základní cíle nařízení ePrivacy jsou v zásadě obdobné cílům GDPR - sjednotit pravidla hry v Evropské unii a zajistit jednotný dozor nad jejich dodržováním. Podobně jako před GDPR byla ochrana osobních údajů pouze harmonizována směrnicí, řeší problematiku ochrany soukromí a osobních údajů v elektronických komunikacích na evropské úrovni „pouze“ směrnice[3]. To se má změnit právě s nařízením ePrivacy, které stanoví jednotný právní rámec pro ochranu soukromí v elektronických komunikacích v Evropské unii. Dohled nad dodržováním pravidel nařízení ePrivacy pak má být svěřen dozorovým úřadům pro ochranu osobních údajů a na evropské úrovni Evropskému sboru pro ochranu osobních údajů.[4]
Návrh nařízení ePrivacy podrobuje přezkumu stávající směrnice a reaguje tak na nové skutečnosti digitálního světa (nové komunikační technologie, internet věcí), stejně jako na systém ochrany osobních údajů podle GDPR, vůči němuž má být nařízení ePrivacy do značné míry lex specialis.
Jen málokdo se dnes obejde bez nástrojů elektronické komunikace a mobilní telefony, e-maily, ale i modernější komunikační služby, jako jsou WhatsApp nebo Facebook, mají důležité místo v našem každodenním životě. Obsahem elektronických komunikací jsou pochopitelně i velmi citlivé informace o jejich uživatelích – ať už jsou přímo obsahem sdělení elektronické komunikace, nebo jsou ukryty v tzv. metadatech elektronické komunikace. Metadaty se rozumí informace například o navštívených internetových stránkách, volaných číslech, zeměpisné poloze nebo čase a datu uskutečnění elektronické komunikace. Z nich lze dovozovat poměrně přesné závěry týkající se každodenního života uživatele elektronické komunikace, jeho zájmů či sociálních vztahů.
Širší záběr nařízení ePrivacy oproti stávající úpravě má spočívat zejména v tom, že má regulovat i moderní komunikační služby, na něž současná úprava nedoléhá. Nařízení ePrivacy se tak má vztahovat na stávající i budoucí komunikační prostředky včetně volání, přístupu k internetu, aplikací pro výměnu rychlých zpráv, elektronické pošty, internetových telefonních volání a zasílání osobních zpráv prostřednictvím sociálních médií. Jde tak o otevřený výčet, zahrnující i tzv. over-the-top services, tedy komunikační služby využívající propojení přes Internet, komunikace přes sociální sítě a stejně tak i komunikační technologie, které teprve vzniknou.
Nařízení ePrivacy má chránit všechny uživatele takových služeb elektronických komunikací – ať už jsou jimi fyzické nebo právnické osoby (součástí elektronické komunikace konečně mohou být také citlivé údaje týkající se právnických osob, kupříkladu obchodní tajemství). Za tím účelem stanoví právní rámec pro zpracování veškerých dat elektronických komunikací prováděné v souvislosti s poskytováním a využíváním služeb elektronických komunikací, stejně jako pro zpracování informací souvisejících s koncovými zařízeními uživatelů takových služeb.
Ochrana dat elektronických komunikací
Jak již bylo výše uvedeno, ochrana dat elektronických komunikací se mimo jejich vlastní obsah (např. textový, hlasový či audiovizuální) má výslovně rozšířit i na metadata elektronických komunikací.
Základním východiskem, plynoucím už ze základní lidskoprávní zásady ochrany soukromí[5], je, že všechna data elektronických komunikací jsou důvěrná a je zakázáno jejich sledování, zpracování či zasahování do nich kýmkoliv jiným než příslušnými koncovými uživateli.
Tato zásada však nemůže působit absolutně, pak by totiž služby elektronických komunikací nemohly vůbec fungovat. Zcela logicky se tak připouští zpracování, které je nezbytné pro přenos komunikace a pro zajištění bezpečnosti služby elektronické komunikace – zásadně pak za předpokladu jejich následného vymazání či anonymizace.
Vedle dalších přípustných zpracování (zahrnujících například zpracování za účelem vyúčtování nebo pro odhalování zneužití služby) návrh nařízení ePrivacy uvádí jako řádný titul pro zpracování souhlas koncového uživatele elektronické komunikace – jak pro zpracování metadat, tak i samotného obsahu elektronické komunikace, stejně jako pro zpracování a uchování informací z jeho koncového zařízení. Koncový uživatel často má zájem například na zálohování svých dat nebo i na jejich analýze a není důvod takové služby neumožňovat.
Návrh nařízení ePrivacy počítá s tím, že takový souhlas bude podléhat režimu GDPR – tedy bude vyžadovat projev vůle svobodný, konkrétní, informovaný a odvolatelný[6]. Vedle zajištění odvolatelnosti souhlasu pak návrh nařízení ePrivacy stanoví povinnost poskytovatelům elektronických komunikací svým uživatelům v pravidelných intervalech jejich možnost odvolat souhlas připomínat. Zakotvuje se rovněž několik pravidel směřujících k tomu, aby metody pro poskytnutí informací a získání souhlasu koncového uživatele, jako i jeho odvolání, byly vůči uživatelům co nejvstřícnější.
V souvislosti s revizí stávající úpravy ochrany elektronických komunikací se navrhují i modifikace v právním režimu cookies. Podle stávajícího návrhu by například měla být dána možnost vyjádřit souhlas se zpracováním cookies „hromadně“ prostřednictvím nastavení prohlížeče.
Vzhledem k různému přístupu koncových uživatelů k ochraně svého soukromí se v rámci příprav nařízení ePrivacy diskutuje také o možnostech nastavování stupňů ochrany soukromí samotnými uživateli. Uživatelé by si tak napříště sami měli při instalaci nového software zvolit stupeň ochrany soukromí – kupříkladu povolit či zakázat přijímání cookies, nebo zakázat jen některá cookies, například cookies třetích stran.
Koncoví uživatelé a kontrola nad elektronickými komunikacemi
Mimo zpracování dat elektronických komunikací návrh nařízení ePrivacy modifikuje pravidla zasílání sdělení v rámci elektronických komunikací, zejména pokud jde o zasílání obchodních sdělení.
Návrh nařízení ePrivacy zejména rozšiřuje definici přímých marketingových sdělení pro účely posílení ochrany uživatelů před nevyžádanými obchodními sděleními[7]. Napříště by mělo jít o jakoukoli formu reklamy (písemnou i ústní) zasílanou konkrétním koncovým uživatelům služby elektronické komunikace, a to vedle elektronické pošty i prostřednictvím automatických volacích systémů a SMS.
Zasílání všech takových přímých marketingových sdělení fyzickým osobám by mělo být podmíněno získáním souhlasu koncového uživatele s tím, že souhlas by uživatel měl mít možnost kdykoli jednoduchým způsobem odvolat. V návrhu pak rovněž zůstává pravidlo, umožňující využít kontakty získané v souvislosti s prodejem vlastního výrobku nebo služby k zasílání přímých marketingových sdělení, a to za předpokladu, že je dána možnost namítat, resp. odmítnout zasílání takových sdělení.
V návrhu se rovněž akcentuje informační povinnost zasílatele obchodních sdělení a veškerá přímá marketingová sdělení šířená prostřednictvím elektronických komunikací (v rozsahu nové definice) by vedle informace pro odvolání souhlasu s jejich zasíláním měla být doplněna také o informace o jejich marketingovém charakteru a o totožnosti toho, kdo sdělení přenáší.
Návrh se také zabývá právy volajících a volaných koncových uživatelů v rámci komunikačních služeb založených na číslech – zejména pokud jde o právo volajícího zabránit identifikaci linky, ze které uskutečňuje volání, na straně jedné, a právo volaného odmítnout volání z neidentifikovaných linek na straně druhé. Poskytovatelé takových služeb by měli zajistit tato práva svých koncových uživatelů, stejně jako umožnit blokovat nežádoucí volání.
Nová regulace by se měla týkat i veřejných seznamů shromažďujících údaje o koncových uživatelích (jako telefonní čísla, e-mailové adresy či jiné kontaktní údaje). Do takového seznamu by měly být fyzické osoby zahrnuty až poté, co vysloví svůj souhlas; právnické osoby by pak měly mít možnost vznést námitku proti zahrnutí údajů, které se jich týkají.
Sankce
Návrh nařízení ePrivacy, obdobně jako GDPR, počítá s vysokými pokutami za porušení stanovených pravidel, které by mohly dosahovat až 20 milionů EUR, případně až 4 % ročního obratu podniku. Výše pokut je odůvodněna zejména tím, že je potřeba zajistit, aby sankce byly citelné i pro velké hráče na trhu elektronických komunikací.
Rovněž se navrhuje zakotvit právo koncových uživatelů podávat v souvislosti s porušováním jejich práv podle nařízení ePrivacy stížnosti u dozorových úřadů.
Závěrem
Původním záměrem bylo, aby nařízení ePrivacy nabylo účinnosti současně s GDPR, k tomu však v důsledku komplikovaných jednání nedošlo. Nyní se jeví jako pravděpodobný termín účinnosti nařízení ePrivacy až druhá polovina roku 2019, ne-li pozdější. Na tuto skutečnost reagoval i Evropský sbor pro ochranu osobních údajů, který ve svém stanovisku apeluje na nutnost co nejrychlejšího přijetí odpovídajícího právního rámce ochrany soukromí v elektronických komunikacích.[8]
Jednání o konečné podobě nařízení ePrivacy stále probíhají a nejsou vyloučeny ani důležité obsahové změny stávajícího návrhu. Zájmem všech by pak, jak ve výše zmiňovaném stanovisku zdůrazňuje i Evropský sbor pro ochranu osobních údajů, mělo být zejména to, aby výsledná podoba nařízení ePrivacy nesnižovala úroveň ochrany soukromí, které již bylo dosaženo v předchozích směrnicích a v GDPR.
Advokátní kancelář Kříž a partneři s.r.o.
Rybná 9
110 00 Praha 1
Tel.: +420 224 819 334
Fax: +420 224 819 343
e-mail: info@ak-kp.cz
____________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Stávající text návrhu nařízení ePrivacy, dostupné na www, k dispozici >>> zde.
[3] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) a Směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 , kterou se mění směrnice 2002/22/ES o univerzální službě a právech uživatelů týkajících se sítí a služeb elektronických komunikací, směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací a nařízení (ES) č. 2006/2004 o spolupráci mezi vnitrostátními orgány příslušnými pro vymáhání dodržování zákonů na ochranu zájmů spotřebitele.
[4] Evropský sbor pro ochranu osobních údajů (European Data Protection Board), který byl zřízen článkem 68 GDPR, navazuje na činnost Article 29 Working Party, oproti níž je však nadán řadou pravomocí. Oficiální webové stránky Evropského sboru pro ochranu osobních údajů jsou dostupné na www, k dispozici >>> zde.
[5] Výslovně zachycené také v článku 7 Listiny základních práv Evropské unie.
[6] Zejména v souladu s čl. 4 odst. 11 a čl. 7 GDPR.
[7] Pro srovnání současné znění § 7 zákona č. 480/2004 Sb. , o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), upravující šíření obchodních sdělení elektronickými prostředky.
[8] Statement of the EDPB on the revision of the ePrivacy Regulation and its impact on the protection of individuals with regard to the privacy and confidentiality of their communications ze dne 28. května 2018. Stanovisko je dostupné na www, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz