Hlavní strana -> Časopis IT Systems -> Rok 2017 -> IT Systems 6/2017 -> Přinese nařízení ePrivacy vyšší ochranu osobních údajů?
IT SYSTEMS 6/2017 , IT právo

Přinese nařízení ePrivacy vyšší ochranu osobních údajů?

Aleš Terš a Erika Anna Drahoš

PwC LegalEvropská Komise předložila na začátku letošního roku k dalšímu projednávání téměř finální návrh nařízení o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích, neboli také zkráceně nařízení o soukromí a elektronických komunikacích (ePrivacy Regulation). Předpokládá se, že se předmětný návrh nařízení stane nedílnou a významnou součástí nařízení o ochraně osobních údajů (GDPR), které zásadním způsobem změní praxi ve zpracovávání osobních údajů. Platnost obou uvedených nařízení v rámci celé Evropské unie se očekává dne 25. května 2018. Nicméně i přesto, že jsou už obsahy těchto nařízení uveřejněné, se lze u některých ustanovení stále setkat s nejasnou interpretací. Tato skutečnost může pro mnohé povinné subjekty představovat určitou úroveň komplikací, vzhledem k tomu, že se očekávané datum platnosti nařízení blíží a ubývá čas se na implementovaná opatření řádně připravit.


Přizpůsobení se revoluci v odvětví elektronických komunikací

Komise odůvodňuje představení návrhu nařízení o soukromí a elektronických komunikacích ve svém „sdělení k výměně a ochraně osobních údajů v globalizovaném světě“ především tím, že se od roku 2009 výrazně zvýšilo poskytování služeb v rámci elektronických komunikacích. Faktem je, že se za téměř poslední desetiletí významně rozšířilo používání sociálních sítí, a to i s ohledem na obchodní aktivity.

V současné evropské legislativě upravuje oblast elektronických komunikací směrnice č. 2002/58/ES, o soukromí a elektronických komunikacích. Tato směrnice se však vztahuje pouze na klasické telekomunikační operátory. Z tohoto důvodu nemá směrnice dosah na zajištění dostatečné právní ochrany osobních údajů v oblasti online komunikace.

Není tedy divu, že se nařízení stalo odrazem určité přirozené reakce a procesem adaptace na stále rychleji se rozvíjejícím světě online komunikace. Opatření z nařízení ePrivacy modernizuje a rozšiřuje oblast působnosti na všechny poskytovatele elektronických komunikací a snaží se přizpůsobit novým standardům světové úrovně. Pracovní skupina WP29, jakožto nezávislý evropský poradní orgán na ochranu dat a soukromí, ve své stanovisku minulý měsíc ocenila rozšíření působnosti oblasti dopadu nařízení ePrivacy na tzv. nové komunikační služby („Over-the-Top" „OTT“), z nichž nejvýznamnější jsou Gmail, Skype, WhatsApp, Facebook a další. Na tyto subjekty budou dopadat v rámci důvěrnosti komunikace uživatelů stejné povinnosti, jako nyní na telefonní operátory.

Jednotný evropský rámec pro ochranu osobních údajů

Zavedením nové evropské legislativy se očekává vytvoření mechanismu jednotného kontaktního místa. V důsledku to bude znamenat, že za veškeré přeshraniční operace bude zodpovědný jeden dozorový orgán pro ochranu údajů. V rámci přeshraničních záležitostí, ve kterých bude rozhodovat vícero vnitrostátních úřadů pro ochranu údajů, se přijme jediné rozhodnutí.

Harmonizace pravidel pro ochranu osobních údajů se má také promítnout v oblasti prosazování práva, trestních řízeních a usnadněním spolupráce mezi policejními a justičními orgány, což v důsledku vytvoří příhodnější podmínky pro účinnější boj proti trestné činnosti a významně přispěje naplnit cíle Evropského programu pro bezpečnost. V souvislosti s již uvedeným stojí za povšimnutí i skutečnost, že se opatřeními na ochranu údajů současně předpokládá posílení naplnění hlavních strategií pro jednotný digitální trh. Spotřebitelé tak budou moci mít v digitální ekonomiku větší důvěru a z pozice fyzických osob kontrolu nad jejich osobními údaji. Podnikatelům to umožní objevit nové možnosti pro inovace a podnikání, a to například v oblasti zpracování komunikačních dat.

Jak GDPR ovlivní e-mail marketing?

Posílání obchodních e-mailů zásadním způsobem ovlivní nové nařízení Evropské unie GDPR, které začne platit v květnu 2018. Týkat se bude všech společností, jejichž zákazníky je 750 milionů občanů EU z 28 členských zemí. Opatření se totiž dotkne všech e-mailových schránek evropských rezidentů.

Mezi důležité aspekty marketingu firem, které nástup GDPR změní, patří souhlas se zasíláním e-mailů, který bude muset být jednoznačný a ničím nepodmíněný. Toto ustanovení má mimo jiné platit i zpětně ke sbíraným údajům.

Další významnou novinkou může pro mnoho společností být právo na vymazání, kdy jednotlivec bude mít právo na odstranění osobních dat. Stejně tak získá uživatel právo na získání dat, která o něm společnost má. Při získávání osobních údajů musí být použitý jazyk jednoduchý a konkrétní a musí specifikovat všechny způsoby využití osobních údajů.

Jedním z dalších cílů Komise je poskytnutí ochrany údajů i v rámci mezinárodních vztahů s Evropskou unií, a to především formou uzavírání bilaterálních a multilaterálních smluv a také vydáním rozhodnutí Komise o odpovídající ochraně, vzhledem k tomu, že se v současném mezinárodním prostředí ochrana údajů poskytuje na různých úrovních. Komise bude svá rozhodnutí vydávat po posouzení několika aspektů, mající základ v čl. 45 nařízení o ochraně osobních údajů a s ohledem dodržování právně závazných úmluv, z nichž nejvýznamnější je Úmluva Rady Evropy č. 108.

Dopady návrhu nařízení ePrivacy

Nařízení zdůrazňuje, že veškerá data vyplývající z elektronické komunikace by měla být považována za důvěrná. Prakticky by to mělo představovat zákaz zásahu, a už lidského nebo ve formě automatizovaného strojového zpracování, do jakéhokoliv přenosu elektronických dat, ledaže k tomu uživatel dal výslovný souhlas. Údaje z elektronických komunikacích by měly být vymazány, popřípadě anonymizovány.

Metadata

Ochrana soukromí se podle nařízení nemá vztahovat pouze na obsah elektronické komunikace, ale i na metadata, která z elektronické komunikace vyplývají. Těmi mohou být například údaje o čase, místě a trvání hovorů nebo údaje o navštívených internetových stránkách apod. V případě, že bude uživatel se zpracováním údajů souhlasit, mohou poskytovatelé telekomunikačních služeb tuto možnost využít ke komerčním účelům. Příkladem takového využití je tvorba tepelných map zachycující přítomnost fyzických osob a identifikovat tak jejich dopravní pohyby v určitých směrech během určitého časového období. Orgány by tak tato data mohly využít pro vytvoření výstavby nových dopravních infrastruktur v závislosti na vytíženosti jednotlivých úseků.

Výjimkami pro účely zpracovávání metadat patří ta data, která jsou využívána z důvodu vyúčtování určitých služeb, odhalení podvodného užívání telekomunikačních služeb nebo je-li to nezbytné pro splnění povinných požadavků na kvalitu služby podle evropských předpisů.

Díky GDPR získají IT oddělení více pravomocí

Za rok touto dobou již budou muset firmy splňovat nová Obecná nařízení o ochraně údajů, známá pod zkratkou GDPR. Mnozí firemní představitelé v nových pravidlech EU spatřují nepříjemnosti, nové překážky v podnikání a plýtvání penězi. Většina vedoucích IT pracovníků evropských firem (63 %) v této souvislosti očekává, že díky novým regulacím získají více pravomocí. S tímto zjištěním přišla společnost Kaspersky Lab v rámci své nové studie: Od nejasností k vyšším pravomocem – prostřednictvím GDPR k lepší ochraně dat, v rámci níž bylo dotazováno přes 2 000 IT expertů ze západní Evropy. Její výsledky naznačují, že se IT experti velmi zajímají o ochranu osobních dat. Protože se každý den potýkají s ochranou dat před jejich zneužitím, mají pochybnosti o současném stavu nakládání s daty v rámci firem. Pouhá polovina (55 %) oslovených IT expertů se domnívá, že jejich firma v současnosti dělá dostatek pro to, aby ochránila svá osobní data. Spousta IT expertů (63 %) ovšem současně přiznává, že se v nových regulacích zatím příliš nevyzná a neví, jaké je ještě čekají úkoly.

Cookies

V současné době je většina internetových stránek opatřena množstvím žádostí o souhlas uživatelů s používáním cookies, které představuje do jisté míry určitou personalizaci obsahu včetně identifikace jednotlivých uživatelů a jejich sledování. Návrh nařízení ePrivacy by mělo nově uživatelům internetu umožnit přehledněji kontrolovat svá nastavení sledování cookies a další identifikátory.

Návrh nařízení s sebou přináší v souvislosti s používáním cookies jisté výjimky, a to v případech, kdy cookies nezasahují do soukromí uživatelů a zlepšují služby na internetu. Jedná se zejména o tzv. cookies prvních stran, která jsou uvedená na adresním řádku webové stránky a mohou jimi být např. možnosti zapamatování historie nákupu online.

Nicméně druhý typ cookies, tzv. cookies třetích stran (third party cookies), už do uvedené výjimky nespadá a k jeho sledování bude vyžadován uživatelův souhlas. Cookies třetích stran pocházejí z jiných webů jejichž položky jsou na navštívené stránce vloženy. Uživatelé internetových stránek budou mít možnost sledování cookies třetích stran instalovat v samotném zařízení a zároveň i prohlížeče a další aplikace umožňující přístup k internetu mají o této možnosti uživatele informovat.

Ochrana proti nevyžádaným sdělením

Klíčový souhlas uživatele by měl v rámci elektronické komunikace platit i v případě reklamních sdělení či hovorů z call center formou přímého marketingu. Za účelem ochrany proti spamům se budou muset v budoucnu poskytovatelé komunikačních služeb určitým způsobem identifikovat, a už v podobě zobrazení čísla volajícího nebo uvést zvláštní kód, který označí skutečnost, že se jedná o marketingové volání. V případě, že uživatel dá k zpracovávání údajů souhlas, musí mít zároveň možnost tuto volbu později i odvolat.

Aleš Terš Erika Anna Drahoš Aleš Terš a Erika Anna Drahoš
Autoři článku působí v mezinárodní advokátní kanceláři PwC Legal.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.