Spolu s GDPR mělo být přijato i nové ePrivacy nařízení. Nařízení o ochraně soukromí online. Legislativní proces se ale trochu zasekl.
Jaká jsou aktuální pravidla pro cookies a marketing?
GDPR je obecný a přímo aplikovatelný právní předpis. Týká se zpracování osobních údajů, ať už k němu dochází za jakýmkoliv účelem, jakýmikoliv prostředky a bez ohledu na sektor. Pravidla pro zpracování dat v určité oblasti, např. finanční trh, zdravotnictví, školství, státní správa a samospráva, pak upřesňují zvláštní právní předpisy.
Ochrana soukromí online, včetně ochrany důvěrnosti elektronických komunikací, je ale s ohledem na rozvoj informačních a komunikačních nástrojů natolik důležitá, že si zaslouží vlastní úpravu i na úrovni Evropské unie. V tuto chvíli máme už poněkud zastaralou směrnici z roku 2002, která se v řadě bodů jen obtížně uplatní na nové technologie.
Evropská komise proto už v roce 2017 představila návrh nového ePrivacy nařízení. To mělo být přijato společně s účinností GDPR (květen 2018) a nahradit právě onu zastaralou směrnici. Květen, ani žádný jiný měsíc v roce 2018, se ale stihnout nepodařilo. Nařízení ePrivacy je stále kdesi v legislativním procesu. Občas se objeví zprávy, že se některý problematický bod podařilo překonat, ale postup to není opravdu rychlý.
Co bude ePrivacy nařízení regulovat?
Návrh ePrivacy nařízení se věnuje ochraně soukromého života a osobních údajů v elektronických komunikacích
Nařízení ePrivacy upravuje tři hlavní oblasti:
Zasílání elektronického marketingu
Ochranu důvěrnosti elektronických komunikací
Ochranu koncových zařízení uživatelů při používání cookies a podobných technologií
Návrh nařízení ePrivacy upravuje samostatné právní důvody pro zpracování dat a metadat o elektronické komunikaci a pro přístup k jejímu obsahu. Zvažují se zejména právní důvody souhlasu, zpracování nezbytného k zajištění služby nebo pro splnění právní povinnost atd.
Návrh ePrivacy upravuje pravidla pro anonymizaci či výmaz dat o elektronické komunikaci, pravidla pro další využití metadat, zavedení technických a organizačních opatření k ochraně dat (např. pseudonymizace nebo šifrování), posuzování slučitelnosti, pokud mají být metadata použita pro jiný účel (hodnocení původního účelu, okolností shromáždění dat, dopad na uživatele atd.).
Cookies nejsou jenom koláčky...
A cookies? Přístup k informacím uložených v zařízení koncových uživatelů, ukládání dat do nich, získávání detailních informací o zařízeních (hardware, software) bude možné jen ve vyjmenovaných případech, jako je souhlas, nezbytné zpracování k poskytnutí služby, měření návštěvnosti, bezpečnostní důvody atd. Pro ta cookies, která nejsou nezbytná k poskytnutí vyžádané služby, by měl zásadně platit tzv. opt-in princip. To znamená možnost využívat tato cookies jen s předchozím souhlasem daného uživatele.
Návrh ePrivacy nařízení upravuje detailní pravidla pro posuzování slučitelnosti účelů, pokud provozovatel hodlá data z cookies použít k něčemu dalšímu (pseudonymizace, zákaz profilování atd.).
Obchodní sdělení nebo spam?
Zasílání obchodních sdělení, jakýchkoliv zpráv propagujících produkt nebo značku elektronicky, tzn. e-mail, SMS, ale i služby typu Viber atd., buď:
s předchozím souhlasem adresáta, přičemž souhlas musí splˇmnovat náležitosti dle GDPR
vlastním zákazníků, pokud je jim nabízen obdobný produkt nebo služba, jestliže mají při shromažďování kontaktů možnost odmítnout marketing. Členské státy by měly mít možnost stanovit lhůtu, pro kterou tak lze dělat
Obchodní sdělení musí obsahovat identifikaci odesílatele, musí být označeno jako obchodní sdělení, adresát musí mít možnost snadno a zdarma odvolat souhlas.
Vyšší pokuty za spam i cookies
Návrh ePrivacy nařízení výrazně zvyšuje pokuty. A to na úroveň sankcí, které známe z GDPR.
Do výše 10 milionů euro nebo 2 % ročního celosvětového obratu skupiny v případě porušení pravidel pro zpracování dat elektronické komunikace nebo zasílání obchodních sdělení.
A pokuty až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu skupiny v případě porušení pravidel pro cookies, ochranu důvěrnosti elektronických komunikací nebo nesplnění nápravného opatření uloženého dozorovým úřadem.
ePrivacy nařízení nebylo schváleno, takže neplatí žádná pravidla?
To určitě není pravda! Pravidla pro ochranu soukromí online upravují i české zákony. Hlavně zákon č. 127/2005 Sb., o elektronických komunikacích, (cookies, telemarketing, důvěrnost komunikace) a zákon č. 480/2004 Sb., o některých službách informační společnosti (elektronicky posílaná obchodní sdělení).
Cookies
Cookies nebo obdobné nástroje pro sledování uživatelé na internetu jsou upraveny v zákoně o elektronických komunikacích. Po novele z roku 2022 platí i v České republice opt-in princip. Veškeré cookies, které nejsou nezbytné pro fungování webových stránek, tak mohou být používány jen s předchozím souhlasem uživatele. Ať už se jedná o měření návštěvnosti stránek, jejich fungování, chování uživatelů či marketing, ke všemu musí provozovatel webu získat aktivní a jednoznačný souhlas.
Na cookies a související zpracování osobních údajů se zaměřuje i Úřad pro ochranu osobních údajů a dozorové orgány z dalších členských států Evropské unie. V roce 2022 proběhla v EU koordinovaná kontrolní akce. Český úřad v jejím rámci kontroloval několik desítek webů. A svá zjištění formuloval v dokumentu, ve kterém upřesňuje řadu praktických otázek. Například:
Jak získávat souhlas s cookies?
Jakým způsobem a do jaké detailu uživatele o cookies informovat?
Je možné souhlasit se všemi cookies, které na dané stránce jsou, nebo musí uživatel souhlasit se všemi jednotlivě?
Jak dlouho takový souhlas platí?
Je možné uživateli bránit v užívání webu, pokud s cookies nesouhlasí (tzv. cookies wall)?
Telemarketing v novém. A s novými pokutami!
Novela zákona o elektronických komunikacích z roku 2022 změnila také pravidla pro telefonický marketing. I v této oblasti jsme přešli na tzv. opt-in princip. Zákon zakázal i volání na tzv. náhodně generovaná čísla.
Dodržování nových pravidel má starosti Český telekomunikační úřad (ČTÚ). A začal konat. Za nevyžádané marketingové hovory rozdává stotisícové pokuty. Zákon mu přitom umožňuje dávat pokuty i v řádech milionů, je tedy možné, že s postupem času i ČTÚ přitvrdí.
Pro ty, kdo v nových pravidlech stále ještě trochou tápu, ČTÚ společně s ÚOOÚ připravili také metodiku, kde upřesňují řadu specifických otázek.
Odpovědnosti za spamy už se nevyhne nikdo
Zasílání elektronických obchodních nabídek (e-maily, SMS atd.) upravuje zákon o některých službách informační společnosti. Obchodní sdělení lze posílat jen stávajícím zákazníkům, pokud je jim nabízena stejná či obdobná služba nebo produkt, který už si zakoupili. Všem ostatním je možné marketingová e-mail poslat jen s předchozím souhlasem. Obchodní sdělení musí také plnit řadu požadavků týkající se obsahu. Musí být jasně označeno, nesmí skrývat identitu odesílatele a příjemce musí mít jednoduchou možnost se z dalšího zasílání obchodních nabídek odhlásit.
Dozor v této oblasti vykonává opět Úřad pro ochranu osobních údajů. A to poměrně aktivně. Řada nejvyšší pokut, které ÚOOÚ uděluje, je právě za spamování.
Zákon o některých službách informační společnosti významně novelizován nebyl. Upřesnil se ale jeho výklad, zejména odpovědnost toho, kdo si rozesílání obchodních sdělení „jen“ objedná, ale technicky ho sám neprovádí a ponechá to na dodavateli. ÚOOÚ už několik let říká, a jeho závěry už potvrzují i české správní soudy, že odpovědný je stále ten, v jehož zájmu a na jehož pokyn jsou obchodní sdělení rozesílána. To znamená, že z odpovědnosti za obchodní sdělení a za to, že budou plnit zákonné náležitosti, se už nelze „vyvléknout“ tím, že e-maily či SMS posílá dodavatel, který se smluvně zaváže postupovat podle zákona. Objednatel, ten, v jehož prospěch jsou obchodní nabídky rozesílány, musí zajistit a kontrolovat, že dodavatele bude postupovat právě takto. Jinak pokutu dostane právě objednatel.
Co všechno je chápáno pod pojmem obchodní sdělení? Je možné souhlas získat elektronicky, tzn. poslat e-mail se žádostí o souhlas s dalším posílám obchodních nabídek? Jak je to s veřejně dostupnými e-mailovými adresami? Na to vše odpovídá ÚOOÚ v často kladených otázkách.
Je toho dost i bez ePrivacy nařízení
Na nové ePrivacy nařízení si ještě chvíli počkáme. I tak je ale na stole mnoho pravidel, zákonů a metodik ke cookies a marketingu. Ochranu soukromí online je nutno řešit komplexně, zapojit ji do celkového compliance systému, do diskusí přizvat pověřence pro ochranu osobních údajů a sledovat aktuální vývoj a poznatky dozorových úřadů. Jen tak je možné efektivně snížit riziko pokuty a reputačních problémů s návštěvníky webu či adresáty nevyžádaných marketingových hovorů a nabídek.