Nařízení o ochraně soukromí: Co vás bude dál?

Mario Steinberg Naposledy aktualizováno 21.10.2020
8 min.
Nařízení o ochraně soukromí: Přichází k vám
Naposledy aktualizováno 21.10.2020

Ačkoli se očekává, že "nařízení o soukromí a elektronických ochranách" bude přijato až v roce 2020, již vrhá svůj stín. V tomto článku bych vám rád poskytl přehled o nařízení o ochraně soukromí a elektronických údajů, o současné právní situaci při používání sledovacích nástrojů a o tom, jak by se mohlo v rámci EPVO změnit. Nakonec bych rád stručně vysvětlil, proč je podle mého názoru nové nařízení důležité. Ale nepanikařte: stejně jako svět, na rozdíl od všech předpovědí, je GDPR dne 25.05.2018 to nelze při uplatňování nařízení o ochraně soukromí a elektronických údajů očekávat.

I. Nařízení o ochraně soukromí a elektronických údajů

1. Co je nařízení o ochraně soukromí a elektronických údajů?

Nařízení o ochraně soukromí a soukromí (EPVO) je návrh nařízení Evropské komise,o němž se v současné době diskutuje na evropské úrovni akteré stanoví směrnici o soukromía elektronických soukromí (směrnice 2002/58/ES, naposledy pozměněnou směrnicí 2009/136/ES; E-Privacy-RL) a přizpůsobit ji současnému stavu techniky (např.B. v současné době tzv. over-the-top služby, tj. IP komunikační služby, nejsou zahrnuty v E-Privacy-RL).

Jako evropské nařízení bude EPVO platit přímo a přímo v celé Evropské unii. Na rozdíl od směrnice o soukromí a elektronických soukromí nebude záviset na provedení jednotlivých členských států do vnitrostátního práva. Mimochodem, toto provedení E-Privacy-RL do vnitrostátního práva se v Německu nikdy nekonalo, pokud jde o část zákona o ochraně údajů relevantní pro provozovatele internetových stránek.

2. Jaký je cíl nařízení o ochraně soukromí a elektronických údajů?

Cílem nařízení o soukromí a ochraně soukromí je chránit důvěrnost komunikace a důvěrnost a integritu koncových zařízení uživatelů.

Jednoduše řečeno, uživatelé by měli být chráněni před špehováním při návštěvě webových stránek nebo používání e-mailové nebo kurýrní služby bez jejich vědomí.

Na rozdíl od GDPR , jsou chráněny nejen fyzické osoby (osoby), ale i právnické osoby (společnosti a sdružení). Nařízení o ochraně soukromí a elektronických údajů objasňuje a doplňuje GDPR údaje o elektronických komunikacích, což jsou osobní údaje.

3. Co nařízení o ochraně soukromí a elektronických údajů reguluje?

Nařízení o ochraně soukromí upravuje nejen komunikaci (klasickou) hlasovou telefonií, textovými zprávami (SMS) a e-mailem, ale také komunikaci prostřednictvím VoIP telefonie, kurýrních služeb a webových e-mailových služeb. Vztahuje se také na stále důležitější komunikaci mezi stroji (klíčové slovo "Internet věcí").

Epvo věnuje zvláštní pozornost tomu, jak jsou informace ukládány nebo odesílány, požadovány nebo zpracovávány koncovými zařízeními uživatelů (např. .B počítače a chytré telefony). Je tomu tak proto, že citlivé osobní údaje (e.B. e-maily a zprávy, obrázky, kontaktní a lokalizační údaje jsou uloženy na těchto terminálech. Uživatelé koncových zařízení by proto měli být chráněni před používáním sledovacích nástrojů k tajnému sledování své činnosti bez jejich vědomí (např. soubory cookie.B, otisky prstů v prohlížeči a podobné technologie pro sledování chování uživatelů).

4. Kdy přijde nařízení o ochraně soukromí a elektronických údajů?

Původně se předpokládalo, že nařízení o soukromí a elektronických GDPR Platnost. Evropská komise zveřejnila svůj návrh EPVO již na začátku ledna 2017. Avšak vzhledem k tomu, že evropský parlament a Rada Evropské unie jsou rovněž zapojeny do legislativního procesu, mnoho ustanovení nařízení o soukromí a elektronických soukromí je stále předmětem politické diskuse. Vzhledem ke složitosti legislativního procesu se neočekává, že nařízení o soukromí a elektronických ochranách vstoupí v platnost v roce 2019. Kromě toho je pravděpodobné, že bude podobná GDPR přechodné období, dokud epvo skutečně nezažádá.

II. Právní situace pro používání sledovacích nástrojů

1. Co jsou sledovací nástroje?

Sledovací nástroje jsou určeny k tomu, aby chování uživatelů internetu bylo srozumitelné: Jak často se používá webová stránka přístupná konkrétním uživatelem nebo kurýrní službou (pokud je chování konkrétního uživatele "analyzováno", již se jedná o čistý analytický a statistický nástroj, ale o nástroj pro sledování)? Jaký je obsah odeslaných zpráv? Které položky jsou prohledávány a objednávány v internetovém obchodě? Ke kterým účtům sociálních médií jste přihlášeni? Je propojená položka klikaná a zakoupená (affiliate marketing)?

Údaje jsou shromažďovány nejen při návštěvě webových stránek nebo při používání služby, ale často i po dlouhou dobu. Vzhledem k tomu, že soubory cookie, počítání pixelů atd. nastavené na koncovém zařízení se obvykle při zastavení služby nesmazávají. Často zůstávají na zařízení uživatele několik měsíců a pokračují v odesílání dat, aniž by o tom uživatel věděl.

V mnoha případech jsou údaje získané tímto způsobem shromažďovány a zpracovávány nejen samotným poskytovatelem služeb, ale často jsou také předávány třetím stranám.

V důsledku toho je vytvořeno velké množství uživatelských profilů, aniž by o tom uživatel věděl.

2. Kde je v současné době regulováno používání sledovacích nástrojů?

Předběžná poznámka: Tato část je násilně formulována zákonným způsobem. Pokud vás tyto jemnosti nezajímají, můžete si bez problémů přečíst ve 3.

V Německu jsou požadavky na elektronické informační a komunikační služby stanoveny v zákoně o telemediích (TMG) Regulované. Zákon o telemedii vstoupil v platnost v roce 2007 a byl naposledy pozměněn v září 2017. E-Privacy-RL, která byla změněna v roce 2009 a která upravuje ukládání a přístup k informacím uloženým v koncovém zařízení uživatele v čl. 5(3), však nebyla formálně převedena do německého práva. V pozadí je, že spolková vláda to nepovažoval za nezbytné z důvodu nařízení, která jsou již obsažena v § 15(3) TMG. Kromě toho nebyla přijata ustanovení zákona o telemediích (§ 4; § 11 a násl. TMG), která upravují povinnosti poskytovatelů služeb, GDPR Přizpůsobený.

Důsledkem toho je, že kolizní norma článku 95 GDPR , což zlepšuje vztah mezi GDPR a směrnice o ochraně soukromí a elektronických údajů se nevztahuje. Vzhledem k tomu, že přímé uplatňování E-Privacy-RL také není v úvahu (evropské směrnice se na rozdíl od evropských nařízení nevztahují přímo a přímo), Priorita použití GDPR .

To znamená, že vzhledem k tomu, že uplatňování GDPR , tj. od 25. května 2018 právní základ pro zpracování osobních údajů poskytovateli služeb výhradně čl. 6(1) GDPR je; odpovídající ustanovení zákona o telemedii nebyla od té doby použitelná.

Neočekává se, že se to změní, dokud nebude v platnosti nařízení o ochraně soukromí: za současné situace budou pravidla EPVO v souladu s příslušnými pravidly GDPR za předpokladu, že sledují stejný cíl.

3. Jaká je současná právní situace pro používání sledovacích nástrojů?

Současným právním základem pro používání sledovacích nástrojů je čl. GDPR . To znamená, že sledovací nástroje lze obvykle použít pouze v případě, že

  • zpracování za účelem ochrany oprávněných zájmů správce nebo třetí strana, pokud nepřevůsobí zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů, zejména pokud je subjektem údajů dítě (čl. 6(1) (1) GDPR )

nebo

  • subjekt údajů má svůj souhlas zpracování osobních údajů, které se jich týkají, pro jeden nebo více konkrétních účelů (čl. 6(1) (1) GDPR ).

>> podrobnosti o oprávněných zájmech poskytovatele služeb

Pokud má poskytovatel služeb převažující oprávněné zájmy na používání sledovacích nástrojů, není vyžadován souhlas uživatele.

Například na webových stránkách by bylo zaškrtávací políčko nadbytečné. Provozovatel webových stránek by měl informovat pouze o sledovacích nástrojích použitých v prohlášení o ochraně údajů.

Oprávněné zájmy poskytovatele služeb mohou být skutečné, ekonomické a ideální.

Často to samozřejmě bude o ekonomických zájmech. Zákona. Ty mohou spočívat například v uložení nákupního košíku zákazníka v internetovém obchodě nebo v ukládání webových písem, karetních služeb a sociálních médií. Plugins které mají být zahrnuty. Ale také webové analýzy a statistické nástroje o návštěvnících stránek nebo používání reklamních trackerů je třeba považovat za legitimní zájmy.

Je-li příslušné zpracování údajů nezbytné k ochraně těchto oprávněných zájmů, musí být posudky vyvažovány se zájmy nebo základními právy a svobodami uživatele. Patří mezi ně ochrana před hospodářskými nevýhodami, právo na respektování soukromého života a komunikace v souladu s článkem 7 Listiny základních práv Evropské unie (GRCh),základní právo na ochranu údajů podle článku 8GRCh a právo na informační sebeurčení.

Při zvažování příslušných zájmů je důležitý především dopad zamýšleného zpracování údajů a jeho zranitelnost vůči zneužití. Kromě toho je třeba vzít v úvahu mimo jiné přiměřená očekávání uživatele ohledně služby a to, zda může rozumně předpokládat, že zamýšlené zpracování údajů může probíhat.

Zda v jednotlivých případech převládají oprávněné zájmy poskytovatele služeb (nebo třetí strany) nebo zájmy uživatele.

Je třeba poznamenat, že poskytovatel služeb musí prokázat, že jeho oprávněné zájmy mají přednost. Pokud tento důkaz není v případě sporu úspěšný, shromažďování údajů bylo nezákonné a poskytovatel služeb musí očekávat pokutu.

Rovnováha zájmů by proto měla být pro orgány dohledu srozumitelná a dobře zdokumentovaná.

>> podrobnosti o souhlasu uživatele

Pokud poskytovatel služeb nemůže založit integraci sledovacího nástroje na oprávněném zájmu, je souhlas uživatele povinný.

Podmínky účinného souhlasu jsou stanoveny v článku 7 GDPR Regulované. Jedná se o:

  • Srozumitelná forma;
  • jasný a jednoduchý jazyk;
  • odlišnost od jiných situací;
  • a) kdykoli předchozí odkaz na právo na odstoupení od smlouvy;
  • Dodržování zákazu spojování (tj. že služba nesmí být podmíněna udělením souhlasu se zpracováním osobních údajů nesouvisejících se službou).

Souhlas lze také udělit implicitně, tj. prostřednictvím přesvědčivého jednání. Při zpracování zvláštních kategorií osobních údajů je však vždy vyžadován výslovný souhlas (viz čl. GDPR ).

Je třeba také poznamenat, že souhlas lze kdykoli odvolat. Zpracování údajů proto musí být vynecháno od okamžiku, kdy subjekt údajů odvolá svůj souhlas.

V současné době je souhlas s nastavením cookies a podobných technologií na webových stránkách obvykle získán tzv. "zaškrtávacím políčkem", ve kterém musí uživatel aktivně zaškrtnout (opt-in).

Pokud jsou nastaveny nejen technicky nezbytné cookies, nestačí lapidární oznámení v tzv. "cookie banneru", které je pak potvrzeno pouze kliknutím na tlačítko "OK".

V každém případě musí být uživatelé informováni o sledovacích nástrojích používaných v zásadách ochrany osobních údajů.

4. Jaká je očekávaná právní situace pro používání sledovacích nástrojů?

Návrh nařízení o soukromí a ochraně soukromí, který Evropská komise zveřejnila na začátku ledna 2017, je stále předmětem politické diskuse. Obsahuje stanoviska Evropského výboru pro ochranu údajů a evropského inspektora ochrany údajů,pozměňovací návrhy Evropského parlamentua diskusní dokumenty Rady Evropské unie.

Není proto jasné, jaké bude přesné znění nařízení o ochraně soukromí a elektronických údajů.

S ohledem na pokračující "datové skandály" v poslední době však zejména ochránci údajů stále více pracují na tom, aby EPVO nezaoštítilo za současnou úrovní ochrany směrnice o soukromí a elektronických ochranách a směrnice o ochraně soukromí a elektronických GDPR Zanechal.

Například v dokumentu z května 2018 evropský úřad pro ochranu osobních údajů že důvěrnost elektronických komunikací vyžaduje zvláštní ochranu, která není GDPR musí jít ven. Oprávněné zájmy poskytovatele služeb by proto již neměly být právním základem pro zpracování obsahu a metadat elektronických komunikací.

Pokud toto zobrazení převládá, měly by být sledovací nástroje používány pouze po předchozím souhlasu uživatele (např.B. pomocí zaškrtávacího políčka).

III. Proč je nařízení o ochraně soukromí a elektronických údajů

Navzdory všem nepříjemnostem je EPVO rozumným a dlouho již po splatnějším nařízením. Koneckonců, technicky možné úplné sledování našeho uživatelského chování by nemělo být jednoduše akceptováno tímto způsobem.

Je proto dobré, pokud provozovatelé webových stránek a poskytovatelé služeb musí předem poskytnout jasné a transparentní informace o tom, jaké údaje jsou shromažďovány při návštěvě webových stránek nebo při používání služby a komu jsou předávány za jakým účelem. To je jediný způsob, jak se návštěvníci a uživatelé webových stránek mohou rozhodnout, zda návštěva webu nebo používání služby opravdu stojí za zveřejnění jejich údajů.

Jako provozovatel webových stránek však nyní nemusíte strkat hlavu do písku. Jako okamžité opatření je nejlepší zkontrolovat, zda můžete všechny služby na svých webových stránkách založit na oprávněném zájmu nebo souhlasu uživatelů. Pokud ne, měli byste získat chybějící souhlasy uživatelů. Kromě toho byste měli své sledovací aktivity prezentovat transparentně v zásadách ochrany osobních údajů.

Jakmile je známo konečné znění nařízení o ochraně soukromí a elektronických údajů, měli byste nejprve zkontrolovat, zda a případně od kdy potřebujete získat další souhlasy. Abyste mohli v klidu implementovat vše a vše ostatní potřebné, stojí za to držet se nařízení o ochraně soukromí.

Obrázek příspěvku: Scott Webb [Pexels]

Mario Steinberg je právník a odborný právník pro správní právo v advokátní kanceláři LIEB. Právníci. Jeho činnost se zaměřuje na právo na ochranu osobních údajů, právo it bezpečnosti a právo IT.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.