Změna zákona o ochraně soukromí v EU

Nařízení o ochraně osobních údajů: Co vás čeká?

Ačkoli se očekává, že nařízení o soukromí a elektronických komunikacích (nařízení o soukromí a elektronických komunikacích) bude přijato až později v roce 2020, již nyní vrhá svůj stín. V tomto článku bych vám rád přiblížil, o čem nařízení o soukromí a elektronických komunikacích je, jak vypadá současná právní situace v oblasti používání sledovacích nástrojů a jak by se mohla změnit v rámci nařízení o soukromí a elektronických komunikacích. Na závěr stručně vysvětlím, proč si myslím, že je nové nařízení důležité. Ale nepropadejte panice: Stejně jako se, navzdory všem předpovědím, svět nezmění vstupem nařízení v platnost. GDPR 25. května 2018, nelze to očekávat ani v případě platnosti nařízení o soukromí a elektronických komunikacích.

I. Nařízení o soukromí a elektronických komunikacích

1 Co je nařízení o soukromí a elektronických komunikacích?

Nařízení o soukromí a elektronických komunikacích (EPR) je návrh nařízení, který v současné době projednává Evropská komise na evropské úrovni a který má nahradit směrnici o soukromí a elektronických komunikacích(směrnice 2002/58/ES, naposledy pozměněná směrnicí 2009/136/ES; směrnice o soukromí a elektronických komunikacích), která je v platnosti od roku 2002, a přizpůsobit ji současnému stavu techniky (např. tzv. over-the-top služby, tj. komunikační služby založené na IP, nejsou v současné době pokryty směrnicí o soukromí a elektronických komunikacích).

GDPR je evropské nařízení, které se přímo a bezprostředně použije v celé Evropské unii. Na rozdíl od směrnice o soukromí a elektronických komunikacích nebude záviset na transpozici do vnitrostátního práva jednotlivých členských států. Mimochodem, v Německu k tomuto provedení směrnice o soukromí a elektronických komunikacích do vnitrostátního práva, pokud jde o část týkající se ochrany údajů relevantní pro provozovatele internetových stránek, nikdy nedošlo.

2. Co je cílem nařízení o soukromí a elektronických komunikacích?

Cílem nařízení o soukromí a elektronických komunikacích je chránit důvěrnost komunikace, jakož i důvěrnost a integritu koncových zařízení uživatelů.

Jednoduše řečeno, uživatelé by měli být chráněni před špehováním při návštěvě webových stránek nebo používání e-mailové nebo kurýrní služby bez jejich vědomí.

Na rozdíl od GDPR jsou chráněny nejen fyzické osoby (lidé), ale také právnické osoby (společnosti a sdružení). Nařízení o soukromí a elektronických komunikacích upřesňuje a doplňuje GDPR s ohledem na údaje o elektronických komunikacích, které jsou osobními údaji.

3. Co upravuje nařízení o soukromí a elektronických komunikacích?

Nařízení o soukromí a elektronických komunikacích upravuje nejen komunikaci prostřednictvím (tradiční) hlasové telefonie, textových zpráv (SMS) a e-mailu, ale také komunikaci prostřednictvím telefonie VoIP, služeb messenger a webových e-mailových služeb. Vztahuje se rovněž na komunikaci mezi stroji, která nabývá na významu (klíčové slovo "internet věcí").

EPVO věnuje zvláštní pozornost tomu, jak jsou informace ukládány nebo odesílány, vyžadovány nebo zpracovávány koncovými zařízeními uživatelů (např. osobními počítači a chytrými telefony). Je to proto, že v těchto koncových zařízeních jsou prakticky vždy uloženy citlivé osobní údaje (např. e-maily a zprávy, obrázky, kontaktní a lokalizační údaje). Uživatelé koncových zařízení by proto měli být chráněni před nástroji pro sledování, které jsou používány k tajnému sledování jejich aktivit bez jejich vědomí (např. soubory cookie, otisky prstů prohlížeče a podobné technologie pro sledování chování uživatelů).

4 Kdy přijde nařízení o soukromí a elektronických komunikacích?

Původním záměrem bylo, aby nařízení o soukromí a elektronických komunikacích vstoupilo v platnost současně s nařízením GDPR . Evropská komise zveřejnila návrh nařízení o soukromí a elektronických komunikacích již na začátku ledna 2017. Protože se však do legislativního procesu musí zapojit také Evropský parlament a Rada Evropské unie, řada ustanovení nařízení o soukromí a elektronických komunikacích je v současné době stále předmětem politických diskusí. Vzhledem ke složitosti legislativního procesu je nepravděpodobné, že by nařízení o soukromí a elektronických komunikacích vstoupilo v platnost v roce 2019. Kromě toho je pravděpodobné, že do doby, než nařízení o soukromí a elektronických komunikacích skutečně vstoupí v platnost, bude trvat přechodné období, podobně jako v případě GDPR .

II Právní situace pro používání nástrojů pro sledování

1. Co jsou to nástroje pro sledování?

Sledovací nástroje jsou určeny k tomu, aby chování uživatelů internetu bylo srozumitelné: Jak často se používá webová stránka přístupná konkrétním uživatelem nebo kurýrní službou (pokud je chování konkrétního uživatele "analyzováno", již se jedná o čistý analytický a statistický nástroj, ale o nástroj pro sledování)? Jaký je obsah odeslaných zpráv? Které položky jsou prohledávány a objednávány v internetovém obchodě? Ke kterým účtům sociálních médií jste přihlášeni? Je propojená položka klikaná a zakoupená (affiliate marketing)?

Údaje jsou shromažďovány nejen při návštěvě webových stránek nebo při používání služby, ale často i po dlouhou dobu. Vzhledem k tomu, že soubory cookie, počítání pixelů atd. nastavené na koncovém zařízení se obvykle při zastavení služby nesmazávají. Často zůstávají na zařízení uživatele několik měsíců a pokračují v odesílání dat, aniž by o tom uživatel věděl.

V mnoha případech jsou údaje získané tímto způsobem shromažďovány a zpracovávány nejen samotným poskytovatelem služeb, ale často jsou také předávány třetím stranám.

V důsledku toho je vytvořeno velké množství uživatelských profilů, aniž by o tom uživatel věděl.

2. Kde je v současné době upraveno používání sledovacích nástrojů?

Předběžná poznámka: Tato část je násilně formulována zákonným způsobem. Pokud vás tyto jemnosti nezajímají, můžete si bez problémů přečíst ve 3.

V Německu jsou požadavky na elektronické informační a komunikační služby upraveny v zákoně o telemédiích (TMG ). Zákon o telemédiích vstoupil v platnost v roce 2007 a naposledy byl novelizován v září 2017. Směrnice o soukromí a elektronických komunikacích, která byla novelizována v roce 2009 a ve svém čl. 5 odst. 3 upravuje uchovávání informací uložených v koncovém zařízení uživatele a přístup k nim, však nebyla do německého práva formálně transponována. Důvodem je skutečnost, že spolková vláda to nepovažovala za nutné vzhledem k úpravě obsažené již v § 15 odst. 3 TMG. Ustanovení o ochraně údajů v zákoně o telemédiích (§ 4; § 11 a násl. TMG), která upravují povinnosti poskytovatelů služeb, nebyla rovněž přizpůsobena GDPR .

Důsledkem toho je, že se nepoužije kolizní norma článku 95 GDPR, která upravuje vztah mezi GDPR a směrnicí o soukromí a elektronických komunikacích. Vzhledem k tomu, že přímá aplikace směrnice o soukromí a elektronických komunikacích rovněž nepřipadá v úvahu (na rozdíl od evropských nařízení se evropské směrnice neaplikují přímo a bezprostředně), má GDPR nadále přednost.

To znamená, že vzhledem k tomu, že uplatňování GDPR , tj. od 25. května 2018 právní základ pro zpracování osobních údajů poskytovateli služeb výhradně čl. 6(1) GDPR je; odpovídající ustanovení zákona o telemedii nebyla od té doby použitelná.

Neočekává se, že se to změní, dokud nebude v platnosti nařízení o ochraně soukromí: za současné situace budou pravidla EPVO v souladu s příslušnými pravidly GDPR za předpokladu, že sledují stejný cíl.

"*" povinný údaj

Rád bych se přihlásil k odběru newsletteru, abych byl informován o nových článcích na blogu, e-knihách, funkcích a novinkách ve WordPressu. Svůj souhlas mohu kdykoli odvolat. Více informací v našich Zásadách ochrany osobních údajů.
Toto pole slouží k ověření a nemělo by se měnit.

3. Jaká je současná právní situace v oblasti používání sledovacích nástrojů?

Současným právním základem pro používání sledovacích nástrojů je čl. GDPR . To znamená, že sledovací nástroje lze obvykle použít pouze v případě, že

  • zpracování je nezbytné pro účely oprávněných zájmů správce nebo třetí strany, s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů, zejména pokud je subjektem údajů dítě (čl. 6 odst. 1 první pododstavec písm. f) GDPR).

nebo

  • subjekt údajů udělil souhlas se zpracováním osobních údajů, které se ho týkají, pro jeden nebo více konkrétních účelů (čl. 6 odst. 1 první pododstavec písm. a) GDPR).

>> podrobnosti o oprávněných zájmech poskytovatele služeb

Pokud má poskytovatel služeb převažující oprávněné zájmy na používání sledovacích nástrojů, souhlas uživatele není nutný.

Například na webových stránkách by bylo zaškrtávací políčko nadbytečné. Provozovatel webových stránek by měl informovat pouze o sledovacích nástrojích použitých v prohlášení o ochraně údajů.

Oprávněné zájmy poskytovatele služeb mohou být skutečné, ekonomické a ideální.

Často se samozřejmě jedná o obchodní zájmy. Mezi ně může patřit například ukládání nákupního košíku zákazníka v internetovém obchodě nebo integrace webových písem, mapových služeb a pluginů sociálních médií na webové stránky. Za oprávněné zájmy se však považují také nástroje pro analýzu a statistiku návštěvníků webových stránek nebo používání reklamních sledovačů.

Pokud je příslušné zpracování údajů nezbytné k zajištění těchto oprávněných zájmů, je třeba je porovnat se zájmy nebo základními právy a svobodami uživatele. Mezi ně patří ochrana před hospodářským znevýhodněním, právo na respektování soukromého života a komunikace podle článku 7 Listiny základních práv Evropské unie (LZPS), základní právo na ochranu údajů podle článku 8 LZPS a právo na informační sebeurčení.

Při zvažování příslušných zájmů jsou důležité zejména účinky zamýšleného zpracování údajů a jejich náchylnost ke zneužití. Kromě toho je třeba vzít v úvahu také přiměřené očekávání uživatele od služby a to, zda uživatel může rozumně předvídat, že k zamýšlenému zpracování údajů může dojít.

Zda v jednotlivých případech převládají oprávněné zájmy poskytovatele služeb (nebo třetí strany) nebo zájmy uživatele.

Je třeba poznamenat, že poskytovatel služeb musí prokázat, že jeho oprávněné zájmy mají přednost. Pokud tento důkaz není v případě sporu úspěšný, shromažďování údajů bylo nezákonné a poskytovatel služeb musí očekávat pokutu.

Vyvažování zájmů by proto mělo být pro orgány dohledu srozumitelné a dobře zdokumentované.

>> podrobnosti o souhlasu uživatele

Pokud poskytovatel služeb nemůže založit integraci sledovacího nástroje na oprávněném zájmu, je souhlas uživatele povinný.

Podmínky účinného souhlasu jsou stanoveny v článku 7 GDPR Regulované. Jedná se o:

  • Srozumitelná forma;
  • jasný a jednoduchý jazyk;
  • odlišnost od jiných situací;
  • a) kdykoli předchozí odkaz na právo na odstoupení od smlouvy;
  • Dodržování zákazu spojování (tj. že služba nesmí být podmíněna udělením souhlasu se zpracováním osobních údajů nesouvisejících se službou).

Souhlas lze také udělit implicitně, tj. prostřednictvím přesvědčivého jednání. Při zpracování zvláštních kategorií osobních údajů je však vždy vyžadován výslovný souhlas (viz čl. GDPR ).

Je třeba také poznamenat, že souhlas lze kdykoli odvolat. Zpracování údajů proto musí být vynecháno od okamžiku, kdy subjekt údajů odvolá svůj souhlas.

V současné době je souhlas s nastavením cookies a podobných technologií na webových stránkách obvykle získán tzv. "zaškrtávacím políčkem", ve kterém musí uživatel aktivně zaškrtnout (opt-in).

Pokud nejsou nastaveny pouze technicky nezbytné soubory cookie, nestačí stručné upozornění v takzvaném "cookie banneru", které je následně potvrzeno pouhým kliknutím na tlačítko "OK".

V každém případě musí být uživatelé informováni o sledovacích nástrojích používaných v zásadách ochrany osobních údajů.

4. Jaká je pravděpodobná právní situace při používání sledovacích nástrojů?

Návrh nařízení o soukromí a elektronických komunikacích, který Evropská komise zveřejnila na začátku ledna 2017, je v současné době stále předmětem politické diskuse. K dispozici jsou mimo jiné stanoviska Evropského výboru pro ochranu osobních údajů a evropského inspektora ochrany údajů, pozměňovací návrhy Evropského parlamentu a diskusní dokumenty Rady Evropské unie.

Není proto jasné, jaké bude přesné znění nařízení o ochraně soukromí a elektronických údajů.

S ohledem na pokračující "datové skandály" v poslední době však zejména ochránci údajů stále více pracují na tom, aby EPVO nezaoštítilo za současnou úrovní ochrany směrnice o soukromí a elektronických ochranách a směrnice o ochraně soukromí a elektronických GDPR Zanechal.

Evropský sbor pro ochranu osobních údajů ve svém dokumentu zveřejněném na adrese Mai 2018 uvedl, že důvěrnost elektronické komunikace vyžaduje zvláštní ochranu, která musí jít nad rámec GDPR . Oprávněné zájmy poskytovatele služeb by proto v budoucnu již neměly být právním základem pro zpracování obsahu a metadat elektronických komunikací.

Pokud tento názor převládne, lze sledovací nástroje používat pouze s předchozím souhlasem uživatele (např. prostřednictvím zaškrtávacího políčka).

III Proč je nařízení o soukromí a elektronických komunikacích dobré?

Navzdory všem nepříjemnostem je EPVO rozumným a dlouho již po splatnějším nařízením. Koneckonců, technicky možné úplné sledování našeho uživatelského chování by nemělo být jednoduše akceptováno tímto způsobem.

Je proto dobré, pokud provozovatelé webových stránek a poskytovatelé služeb musí předem poskytnout jasné a transparentní informace o tom, jaké údaje jsou shromažďovány při návštěvě webových stránek nebo při používání služby a komu jsou předávány za jakým účelem. To je jediný způsob, jak se návštěvníci a uživatelé webových stránek mohou rozhodnout, zda návštěva webu nebo používání služby opravdu stojí za zveřejnění jejich údajů.

Jako provozovatelé webových stránek však nemusíte strkat hlavu do písku. Jako okamžité opatření je nejlepší ověřit, zda můžete všechny služby integrované na vašich webových stránkách založit na oprávněném zájmu nebo souhlasu uživatele. Pokud ne, měli byste chybějící souhlas uživatele získat. Kromě toho byste měli především transparentně prezentovat své sledovací aktivity ve svých zásadách ochrany osobních údajů.

Jakmile bude známo konečné znění nařízení o soukromí a elektronických komunikacích, měli byste si zejména ověřit, zda a případně od kdy je třeba získat další souhlas. Vyplatí se mít o nařízení o soukromí a elektronických komunikacích přehled, abyste mohli v klidu implementovat tuto i všechny další potřebné informace.

Doporučený obrázek: Scott Webb [Pexels].

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.