Ochranu osobních údajů bychom měli, teď ještě nějaké ty ochránce
Díky GDPR má EU od května letošního roku zřejmě nejmodernější a nejkomplexnější úpravu oblasti ochrany osobních údajů na celém světě. Mimo oblast ochrany osobních údajů, potažmo soukromí patří mezi dlouhodobé cíle EU realizace tzv. jednotného digitálního trhu. Myšlenkou v pozadí tohoto pojmu je, aby se digitální data mezi jednotlivými členskými státy pohybovala co nejsnáze a v cestě jim stálo co možná nejnižší množství překážek. Současně je však zapotřebí zachovat bezpečnost těchto dat a dát osobám, kterých se tato data týkají, přehled a přiměřenou kontrolu nad jejich pohybem (zejména pokud jsou daty osobní údaje). V této souvislosti přináší ePrivacy potřebnou regulaci oblasti elektronických komunikací. ePrivacy nařízení mělo původně vstoupit v platnost a účinnost současně s GDPR, tedy dne 25. 5. 2018. K tomu však nedošlo a ePrivacy nařízení se v současnosti ve formě schválené Parlamentem EU projednává na poli Rady EU. Jeho účinnost lze očekávat v průběhu příštího roku. Na rozdíl od GDPR, které stanovuje pro většinu podnikatelů řadu povinností, nařízení ePrivacy by mělo přinést vítané novinky (téměř) pro všechny. Nařízení ePrivacy obecně chrání důvěrnost elektronických komunikací jak fyzických, tak právnických osob. Oproti stávající zákonné úpravě, která se převážně vztahuje pouze na telekomunikační operátory, se nová úprava bude vztahovat rovněž na poskytovatele tzv. over-the-top služeb (tedy např. aplikace sloužící pro komunikaci/chatování jako jsou WhatsApp, Skype, facebookový Messenger atp.).
Zřejmě nejvíce pozitivní změnou je výrazné zpřísnění podmínek pro nevyžádaná obchodní sdělení šířená za účelem přímého marketingu. Pro zasílání či telefonické sdělování nevyžádaných obchodních sdělení bude zapotřebí získat souhlas dotčené osoby. Tento souhlas bude muset splňovat podmínky GDPR, tedy nepodmíněnost, srozumitelnost, jednoznačnost, možnost jej kdykoliv a snadno odvolat atp. Nařízení ePrivacy navíc zavádí povinnost obchodníků uvádět speciální předčíslí, které jasně určí, že se jedná o marketingový hovor, popřípadě uvést kontakt, na kterém je možné vyjádřit nesouhlas s dalším kontaktováním. Možnost používat skryté číslo pak obchodníkům pro účely marketingových hovorů zůstane zapovězena. Pouze pro úplnost uvádím, že jiný režim bude i nadále platit pro zákazníky, kteří dříve u obchodníka poptali zboží či službu – těm je možno obchodní sdělení zasílat i bez souhlasu. I v těchto případech však adresátovi obchodního sdělení musí být dána jednoduchá možnost se od odběru obchodních sdělení kdykoliv odhlásit (tzv. opt-out).
Další výraznou změnou projde režim cookies. Cookies jsou krátké textové soubory vytvářené webovým serverem a ukládané v počítači prostřednictvím webového prohlížeče, které slouží k personalizaci uživatelského rozhraní webové stránky. Toho je často využíváno také pro personalizaci reklamy. Používání cookies bude nově podmíněno souhlasem konkrétního uživatele (opět bude nezbytné naplnit podmínky souhlasu dle GDPR). Současná praxe, kdy se pro využití cookies používají bannery s textem typu: “Navštívením této webové stránky vyjadřujete svůj souhlas s používáním cookies,“ nebude již po účinnosti nařízení ePrivacy možná. Stejně tak by již nadále neměla být možná praxe tzv. „tracking walls“ – tedy podmínění zobrazení webové stránky poskytnutím souhlasu se zpracováním osobních údajů. Využití cookies bude vyžadovat aktivní projev vůle dotčené osoby (tzv. opt-in).
Nařízení ePrivacy přináší i další novinky, jako např. vyšší ochranu obsahu korespondence přenášené prostřednictvím over-the-top služeb, rozšíření možnosti blokovat příchozí hovory, nebo větší ochranu koncových zařízení před neoprávněným přístupem k datům. Stávající text nového nařízení EU je evidentně koncipován s důrazem na koncept privacy by design. Ten zjednodušeně řečeno vyjadřuje myšlenku, že vysoká úroveň ochrany soukromí má být standardem a pouze aktivním jednáním dotčené osoby může být tato úroveň snížena. Bude-li tato osoba neaktivní, její soukromí má zůstat nedotčeno. Pro dosažení ochrany soukromí nesmí být vyžadována aktivita dotčené osoby, ale naopak vysoká úroveň této ochrany má být dána bez dalšího.
GDPR zpravidla nemělo mezi českou veřejností ani tuzemskými podnikateli příliš dobrý ohlas. Pokud se však nad novou úpravou zamyslíme z podnikatelského úhlu pohledu, vyvstává otázka, proč by dobrý ohlas mělo mít? Z hlediska běžného zaměstnavatele (v pozici správce osobních údajů) přineslo pouze administrativní a finanční zátěž. Domnívám se nicméně, že na GDPR je potřeba nahlížet v širších souvislostech, jako na jeden z předpisů pro zajištění vysoké úrovně ochrany osobních údajů a soukromí každého z nás, o nějž se snaží i nařízení ePrivacy. Osobní údaje jsou v dnešní digitální době nesmírně cenná komodita, která si zasluhuje adekvátní ochranu. Ta by měla spočívat zejména ve skutečnosti, že každá osoba by měla mít přiměřenou kontrolu a moc nad tím, kdo, kde a z jakých důvodů její osobní údaje používá. Tohoto cíle ovšem nelze dosáhnout bez všeobecného přijetí skutečnosti, že osobní údaje jsou nesmírně cennou hodnotou, jejich důsledná a efektivní ochrana je nejen smysluplná ale dokonce nezbytná věc, a bez respektování pravidel, která jsou způsobilá tuto ochranu zabezpečit. Tím se vracím k názvu tohoto článku. Rámec ochrany osobních údajů je nyní tvořen pravidly, která odpovídají moderní informační době, v níž žijeme. Teď je ještě zapotřebí, aby byla pravidla ochrany osobních údajů vnímána jako smysluplná a aby byla současně respektována – tedy ochranu osobních údajů bychom měli, teď ještě nějaké ty ochránce. Právě ve zlepšení pohledu veřejnosti na právní regulaci oblasti ochrany osobních údajů (tedy na pomyslné hledání ochránců osobních údajů) by mohlo výrazně pomoci nařízení ePrivacy, které má potenciál pomoci přesvědčit (odbornou i laickou) veřejnost, že ochrana osobních údajů má smysl a může přinášet i užitky, nejenom výdaje a zbytečnou administrativu.
JUDr. Jaroslav David,
advokátní koncipient
