Menu

Koho se týká evropský kodex pro elektronické komunikace?

Bez větší pozornosti prošla Evropským parlamentem a Radou v závěru loňského roku směrnice (EU) 2018/1972 o evropském kodexu pro elektronické komunikace. Jaký bude její dopad na ochranu osobních údajů?

Směrnice představuje součást balíčku pro vytvoření jednotného digitálního trhu napříč EU. Ten by měl zajistit moderní a konkurenceschopné prostředí, příznivé pro rozvoj digitálních technologií, které bude zároveň bezpečné pro jejich uživatele. „Kodex“ coby komplexní celek nahrazuje dosavadní roztříštěnou a zastaralou právní úpravu. V tomto článku nastíníme, jaký dopad bude mít směrnice na ochranu osobních údajů v rámci elektronické komunikace.

O které předpisy se jedná?

Jednotný digitální trh představuje v poslední době jeden z hlavních cílů Evropské unie, ta proto vykazuje v této oblasti zvýšenou legislativní činnost a ztratit přehled, které předpisy vlastně platí a které jsou nahrazovány, je velmi snadné.

Na webu GDPR.cz jsme již dříve informovali o přípravě tzv. nařízení ePrivacy, které mělo původně začít platit spolu s GDPR s cílem zmodernizovat ochranu osobních údajů a soukromí v oblasti elektronické komunikace. Legislativní proces se ovšem kvůli mnohým připomínkám ohledně znění zadrhl. Stále tak není jasné, kdy tento předpis příslušné instituce odsouhlasí.

Na unijní úrovni ochrany osobních údajů proto v platnosti a účinnosti nadále zůstává původní směrnice 2002/58/ES z roku 2002 o soukromí a elektronických komunikacích, kterou mělo ePrivacy nahradit. Tato směrnice byla do českého právního řádu transponována především zákonem o elektronických komunikacích a zákonem o některých službách informační společnosti. Budou to zejména tyto dva zákony, do kterých bude muset Česká republika změny, které přináší kodex, promítnout.

Právní rámec zaspal

Jedním ze strašáků spojovaných s ePrivacy bylo rozšíření okruhu povinných subjektů z tradičních telekomunikačních operátorů využívajících telefonního signálu v rámci analogového systému i na poskytovatele tzv. OTT služeb (Over The Top Services), jako je třeba Skype, Telegram či WhatsApp. Tito poskytovatelé, na rozdíl od mobilních operátorů, nabízejí svým uživatelům takřka neomezenou možnost komunikovat skrze internetové rozhraní, a proto se rychle staly masově využívanými na úkor „klasického“ volání a SMS zpráv.

Právní rámec tento technologický vývoj ovšem zaspal, a na trhu tak vznikla nerovnost, kdy telefonní operátoři podléhali v oblasti elektronických komunikací regulaci, kdežto poskytovatelé OTT služeb byli právní úpravou mnohdy nedotčeni. A právě tento stav by nová směrnice měla změnit tím, že redefinuje pojem služby elektronické komunikace, na který odkazuje řada dalších unijních a národních předpisů.

Stejná pravidla hry

Nově tedy bude definice služby elektronické komunikace zahrnovat mj. i „interpersonální komunikační službu“, tedy službu za úplatu umožňující přímou interaktivní výměnu informací mezi dvěma a více lidmi, kdy tyto osoby, které komunikaci zahajují nebo se jí účastní, určují jejího příjemce.

Až v rámci této kategorie dále dochází k rozlišení na služby založené na číslech, kam spadá klasické volání a „smskování“ prostřednictvím telefonních čísel přidělených operátory, a na služby nezávislé na číslech, kam řadíme právě i OTT služby využívající ke zprostředkování komunikace internetový protokol.

Po transpozici by tak nově ani česká právní úprava ochrany osobních údajů neměla rozlišovat mezi oběma podkategoriemi. Poskytovatelé OTT služeb budou stejně jako telefonní operátoři povinni dodržovat pravidla ochrany osobních údajů pro oblast elektronické komunikace bez závislosti na tom, jakými prostředky tuto elektronickou komunikaci umožňují.

Pozor na ÚOOÚ i ČTÚ

Dosud neregulovaní poskytovatelé OTT služeb by si měli uvědomit, že v rámci regulace elektronických komunikací budou spadat pod dozor jak Českého telekomunikačního úřadu (ČTÚ), tak Úřadu pro ochranu osobních údajů (ÚOOÚ).

Každému úřadu přitom přísluší kontrolovat dodržování trochu jiných pravidel. Zjednodušeně můžeme říct, že obecná technicko-organizační rovina zabezpečení komunikačních služeb spadá pod ČTÚ, kdežto cokoliv týkající se zabezpečení osobních údajů je doménou ÚOOÚ. Jelikož se obě roviny v rámci zákona o elektronických komunikací prolínají, je dobré si s odborníkem vyjasnit, vůči komu a za co je vaše organizace vlastně odpovědná.

Těžiště nejdůležitějších pravidel, která se nově pro poskytovatele OTT služeb stanou závaznými, spočívají především v hlavě V zákona o elektronických komunikacích zaměřené na ochranu osobních, provozních a lokalizačních údajů a zajištění důvěrnosti komunikací. I zde ovšem narazíte na určitou nepřehlednost, protože tato hlava obsahuje povinnosti vůči oběma úřadům bez zřetelného rozlišení.

Vztah směrnice, české úpravy a GDPR

Regulaci elektronických komunikací je třeba chápat v kontextu dalších právních předpisů, které se vzájemně doplňují. Tato oblast je pouhá výseč množiny nakládání s osobními údaji, kterou od května 2018 jednotně upravuje nařízení GDPR. Právě zákon o elektronických komunikacích a zákon o některých službách informační společnosti jsou jeho nadstavbou, která reaguje na specifika tohoto odvětví a GDPR doplňuje.

Pro oblasti, které tyto národní zákony upravují odlišně od GDPR, se uplatní právě tato speciální pravidla pro elektronické komunikace. Budou-li například pro elektronickou komunikaci zákonem stanoveny zvláštní právní důvody opravňující ke zpracovávání osobních údajů, bude možné vycházet z nich namísto právních důvodů uvedených v GDPR.

A naopak, bude-li určitá činnost spadat jak pod regulaci elektronické komunikace a zároveň při ní bude docházet k nakládání s osobními údaji, při absenci vlastní úpravy v příslušných zákonech bude nutné vycházet z obecné úpravy v GDPR. Jako příklad můžeme uvést situaci, kdy zákon o elektronických komunikacích požaduje k některým činnostem souvisejícím s osobními údaji souhlas jejich subjektu. Jelikož samotný zákon souhlas nijak speciálně nedefinuje, použije se definice obsažená v GDPR.

Výjimky z regulace

Jako jedna z výjimek regulace OTT služeb, které se nebudou považovat za službu elektronické komunikace, jsou v kodexu uvedeny nástroje pro komunikaci, které představují pouze nepodstatnou, pomocnou, nicméně z objektivních technických důvodů nutnou funkci pro používání jiné, „hlavní“ služby. Příkladem takového nástroje může být využívání chatu hráči v rámci on-line her, kde vzájemná komunikace nepředstavuje těžiště dané služby, ale zároveň je určitá koordinace a domluva hráčů ve sdíleném prostředí z principu nutná.

Lze očekávat, že další výjimky postupně definuje rozhodovací praxe. Záležet bude ale i na českých zákonodárcích, jak se k tématu postaví a do jaké míry se budou při transpozici držet znění směrnice. Do té doby, budete-li chtít sami stanovit, zda určitá internetová komunikační služba představuje takovou výjimku z působnosti regulace, posuzujte její význam a důležitost z hlediska koncového uživatele. Jedině tak se vyhnete obcházení zákona, které bývá s neopodstatněným využíváním výjimek spojeno.

A jak to dopadne?

Dozvídáte-li se o směrnici o evropském kodexu pro elektronické komunikace a s ní souvisejících změnách až nyní, nemusí být nutně pozdě. Jelikož se jedná o evropskou směrnici, nejsou datem účinnosti směrnice práva a povinnosti z ní pro vás přímo závazné. Ty musí být nejprve transponovány členskými státy do podoby národních zákonů. V případě nejpodstatnějších částí směrnice na to mají státy lhůtu do 21. prosince 2020.

Svou roli také bude hrát aktivita evropských orgánů při schvalování nařízení ePrivacy, které by mělo přednost i před českými zákony, a které tak do celé věci vnáší určitou nejistotu, s čím mají povinné subjekty do budoucna vlastně počítat.

Je otázkou, jakou formu transpozice čeští zákonodárci zvolí a zda si vyberou rozsáhlou novelu stávajícího zákona o elektronických komunikacích, nebo přijdou se zcela novým předpisem. Rovněž je otázkou, do jaké míry bude znění zákona odpovídat smyslu a účelu směrnice, které čeští zákonodárci ne vždy dokázali (či nechtěli) zcela vystihnout, a smysl úpravy se tak míjel účinkem.

V každém případě, jakmile se na toto téma objeví první relevantní reakce českých normotvůrců, budeme vás informovat.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři