Menu

Méně známý příbuzný GDPR. Co přinese nařízení ePrivacy?

O nařízení o ochraně soukromí a elektronických komunikacích, tzv. nařízení ePrivacy, se nemluví zdaleka tolik jako o slavnějším GDPR. Obě nařízení jsou součástí stejného unijního balíčku předpisů v rámci jednotného digitálního trhu, k jehož základním kamenům patří i ochrana osobních údajů a soukromí.

Původní plán byl takový, že obě nařízení začnou platit ve stejný den, tedy 25. května 2018. Na rozdíl od již schváleného GDPR se ale ePrivacy stále nachází v legislativním procesu, konkrétně ve fázi trialogu mezi Komisí, Parlamentem a Radou, a na jeho konečné znění se čeká. I proto lze očekávat, že dojde k odkladu jeho účinnosti minimálně na druhou polovinu roku 2018. Co momentálně o ePrivacy víme, co přinese a na koho se bude vztahovat především?

ePrivacy jako doplněk GDPR

Oba předpisy jsou nařízeními a obsahují přímo aplikovatelná pravidla, která vlády členských států nemohou přizpůsobit či „ohnout“ jakýmkoliv zájmům. Smyslem obou nařízení je zvýšení ochrany osobních údajů fyzických osob před jejich stále hojnější komercializací a riziky s tím spojenými. Ve vztahu ke GDPR je ePrivacy doplňkem ochrany, tedy zvláštním předpisem detailně upravujícím určitou výseč nakládání s osobními údaji, jehož obecná úprava je obsažena právě v GDPR. Obsah nařízení ePrivacy tak bude mít v této výseči elektronických komunikací před GDPR přednost, přesto je třeba při přizpůsobování se nové úpravě myslet na předpisy oba; bude-li totiž váš podnik v působnosti ePrivacy, budou se na vás vztahovat i pravidla GDPR.

Smyslem ePrivacy je dohnat dobu rapidně se rozvíjejících komunikačních on-line technologií a přizpůsobit tomu právní řády států EU, které mnoho dnes již naprosto běžných aktivit vůbec neregulují, přestože při nich ve velkém dochází k nakládání s osobními údaji. Zatímco GDPR se věnuje především ochraně fyzických osob, nařízení ePrivacy by mělo cílit na důvěrnost elektronických komunikací jak fyzických osob, tak právnických osob. Hlavní myšlenkou ePrivacy je vytvoření ekvivalentu listovního tajemství i pro oblast nejmodernějších způsobů komunikace.

Internetové televize i restaurace a kavárny

Stávající směrnice o soukromí a elektronických komunikacích se vztahuje pouze na tradiční telekomunikační operátory. Nařízení ePrivacy okruh povinných subjektů značně rozšiřuje a kromě zmíněné regulace telekomunikací se bude nově vztahovat i na poskytovatele služeb jako VoIP (tedy volání přes internet), na provozovatele aplikací přenášejících audiovizuální obsah pomocí internetu, tzv. OTT služby (over-the-top services), tedy aplikace typu WhatsApp, Viber, Skype či facebookový Messenger, ale i internetové televize typu Netflix. Nařízení se dále dotkne i poskytovatelů veřejných a polosoukromých sítí Wi-Fi či firem produkujících přístroje komunikující v rámci tzv. internetu věcí (viz dále). Máte-li kavárnu s Wi-Fi pro hosty, týká se nařízení ePrivacy i vás.

Nařízení by tak mělo odstranit nelogickou situaci, kdy služby SMS či telefonní hovory musí splňovat určité standardy zabezpečení, ale stejné služby poskytované přes internet regulovány vůbec nejsou, ač jsou z pohledu ochrany soukromí stejně rizikové, či dokonce rizikovější.

Chráněn není pouze obsah komunikace

Kromě ochrany důvěrnosti samotného obsahu komunikovaných zpráv, jehož zneužitím může dojít k odhalení vysoce citlivých informací ať už o zdravotním stavu, obchodním tajemství, či například sexuální orientaci, bude nařízení chránit i tzv. metadata – tedy údaje odvozené ze samotné komunikace, jako jsou volaná čísla, navštívené internetové stránky, poloha, čas a datum komunikace, doba volání a další. I tyto údaje totiž, ač třeba ne tak přímočaře, dokážou přiblížit jedincův osobní život, průběh dne, jeho zájmy či návyky, a mohou tak být dále obchodně využity.

Všechny tyto údaje budou považovány za důvěrné a mělo by být zakázáno bez souhlasu všech komunikujících stran jakkoliv zasahovat do jejich přenosu, ať už přímo lidským zásahem, nebo zprostředkovaně počítačovými algoritmy a podobně. Zvláště se pak zakazuje zachycování obsahu těchto elektronických komunikací a metadat o nich; bez souhlasu tak nebude možné monitorovat navštívené internetové stránky, délku jejich návštěvy či data o interakci s ostatními subjekty!

Podobně jako GDPR i nařízení ePrivacy klade největší důraz právě na poskytování souhlasů se zpracováním jako na základní nástroj a pojistku ochrany osob a jejich soukromí. Je tak nutné věnovat zvláštní pozornost tomu kdy, v jaké formě a pro jaké aktivity budete muset takový souhlas od koncových uživatelů získat.

Konec „cookies“ oznámení

Pravděpodobně jste si všimli, že prakticky každá nově navštívená internetová stránka po vás chce souhlas s uchováním tzv. cookies. V některých případech dokonce nemůže návštěvník stránku užívat, dokud tento souhlas „neodklikne“. To by nařízení ePrivacy mělo změnit umožněním komplexního nastavení v rámci internetového vyhledávače, které bude dále závazné pro všechny navštěvované stránky.

Zpřísnění čeká podmínky pro nevyžádaná obchodní sdělení pro účely přímého marketingu, která často končí ve spamové schránce. Nyní bude nutné získat souhlas každého uživatele s přijímáním těchto nabídek a souhlas bude možné jednoduchým způsobem kdykoliv odvolat. V případě marketingových telefonátů bude zakázané skrývat číslo volajícího, naopak se bude povinně uvádět předčíslí značící skutečnost, že jde o marketingový hovor, nebo číslo, na kterém bude možné svůj souhlas odvolat, popřípadě uvést.

Když si stroje povídají…

Nařízení dopadne i na průmyslové podniky či automobilky, které budou nově muset zabezpečit internetová čidla v rámci skokově se rozvíjejícího odvětví tzv. internetu věcí (Internet of Things – IoT), tedy sítě navzájem propojených a komunikujících přístrojů, které si vyměňují nejrůznější data a dále je používají k naplňování potřeb uživatelů.

V praxi se s tímto nejčastěji můžeme setkat v rámci chytrých domácností, tedy sítí propojených „inteligentních“ domácích spotřebičů a další elektroniky, které usnadňují péči o domácnost. Lze sem zařadit i moderní automobily se zabudovanými čidly a senzory snímajícími okolí a stav vozidla či navzájem komunikující zdravotní přístroje a implantáty.

Dle nařízení se pravidla pro zachování důvěrnosti budou vztahovat právě i na tuto komunikaci mezi stroji, neboť jejím předmětem jsou mnohdy citlivé informace o jejich uživatelích a prostředí, ve kterém žijí.

Nezaspali jste s ePrivacy?

Zpozornět by měli především ti správci a zpracovatelé, kteří se doposud připravovali především na účinnost GDPR, ale vzhledem k ePrivacy, možná i díky menší mediální pozornosti, zaspali. Jakmile bude známé finální znění nařízení a dojde k jeho schválení, přineseme vám podrobnější informace jak o nových právech a povinnostech, tak především o datu jeho účinnosti. Nelze však očekávat, že by při schvalování došlo k zásadním změnám, a je možné pro základní přípravu vycházet i z dosavadních znění.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři