Veřejné wifi sítě a GDPR
Čím více se přibližuje květnové datum účinnosti nového evropského nařízení týkajícího se ochrany osobních dat (GDPR), tím častěji se v různých médiích objevují více či méně zasvěcené komentáře o jeho problematičnosti. Jedna z celostátních televizních stanic například zavedla takřka pravidelnou zpravodajskou rubriku, kde informuje o tom, že po 25. Květnu 2018 se její žurnalistické možnosti značně omezí například ve vztahu k informacím o nebezpečných zločinech a jejich pachatelích. Tyto zprávy potvrzují různí „experti“, ač již z řad právnické obce či mimo ní. Většina těchto zpráv je samozřejmě, jemně řečeno, nepřesná. Toto téma si oblíbila i řada politiků, kteří bez zjevné znalosti textu GDPR neváhají vydávat obšírné kritické komentáře. Je jistě legitimním politickým postojem bránit se proti přebujelé regulaci, nicméně je vhodné zvážit, zda tak není dobré činit s alespoň elementární znalostí kritizované matérie.
V nedávné době se v jednom celostátním internetovém deníku[1] objevily tzv. „doom saying“ informace, že GDPR znemožní provozovatelům veřejných wifi sítí (tzv. free access pointů), jako jsou hotely, restaurace či nemocnice, provozovat nezaheslované sítě pro své návštěvníky. Autor článku to zdůvodňuje tak, že provozování takové sítě je samo o sobě v rozporu s novým nařízením. Ze článku s názvem Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty, lze citovat: “provozovatelé restaurací, barů, škol a firem by měli vědět o každém, kdo se připojí na jejich síť a kde všude je dostupné jejich heslo”, či „podle zákona by přitom měli poznat, kdo prostřednictvím jejich wi-fi pošle třeba poplašnou zprávu nebo nelegální obsah. Bez zabezpečení hrozí civilní žaloby od poškozených a v krajním případě i trestní stíhání pro spolupachatelství. Za porušení hrozí pokuta až dvacet milionů eur” či „zabezpečená síť je přitom světovým standardem a podle GDPR dokonce nutností”. Ačkoliv je jasné, že GDPR přináší některé novinky a povinnosti pro správce i zpracovatele osobních údajů a nařízení je poměrně rozsáhlé a detailní, jedním dechem je nutno dodat, že mnoho povinností vyplývajících z GDPR již téměř 20 let existuje (a je mnoha subjekty zcela ignorováno) a GDPR je v zásadě v nezměněné podobě přebírá. Hned dalším dechem je možno podotknout, že tyto výklady se příliš nesetkávají s realitou.
Koncem února dokonce i Úřad pro ochranu osobních údajů vydal dementi k výše uvedenému článku. Regulátor v něm ostře polemizuje s některými informacemi v článku obsaženými. Jedním z nich je to, že GDPR vyžaduje wi-fi síť zabezpečit, tj. zaheslovat. To zcela zřejmě není pravda. Úřad správně argumentuje, že ochrana soukromí vychází z oprávnění na tzv. informační sebeurčení subjektu údajů, přičemž tyto údaje nezadatelně patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť. Dále Úřad správně uvádí, že GDPR se vztahuje na zpracování dat v sítích elektronických komunikací pouze podpůrně. Hlavním evropským předpisem upravující tuto oblast je totiž směrnice o soukromí a elektronických komunikacích č. 2002/58/ES. Tato směrnice již v České republice několik let platí, resp. je implementována v zákoně č. 127/2005 Sb., o elektronických komunikacích a zákoně č. 480/2004 Sb., o některých službách informační společnosti. Úřad také informuje, že v současné době probíhá v EU jednání o nahrazení směrnice o soukromí a elektronických komunikacích novým nařízením (odlišným od GDPR). Úřad dále k obsahu článku uvádí, že provozovatel wi-fi sítě přirozeně ví (resp. může vědět, pokud monitoruje provoz) o každém připojeném uživateli. Nicméně filtrace nebo monitoring zpráv provozovatelem wi-fi sítě (aby odhalil například zprávu poplašnou nebo jinak nelegální) naopak povinností provozovatele není. Pokud by provozovatel sledoval obsah přenosů, mohl by se naopak dopustit trestné činnosti v podobě porušení listovního tajemství.
S některými dílčími a marginálními závěry Úřadu by bylo naopak možné jemně polemizovat, a to například s kategorickým vyjádřením ohledně zásadního rozdílu v druhu odpovědnosti za trestněprávní a přestupkové delikty. To nicméně není ve světle výše uvedeného relevantní.
Nakonec se Úřad vyjadřuje ohledně informací obsažených v článku týkajících se výše pokuty. Toto vyjádření je třeba vnímat v širším kontextu. Na jeho základě lze zřejmě do jisté míry předjímat, jak se může český regulátor k problematice sankcí podle GDPR do budoucna stavět. Porušení povinností při provozu wi-fi sítě se dle Úřadu primárně řídí českými právními předpisy a do budoucna se bude řídit nařízením o soukromí a elektronických komunikacích. Informace v článku jsou tak zavádějící. Ale podle regulátora ani při sankcionování podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. Výše pokuty totiž musí být přiměřená závažnosti deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, není 20 000 000 €, nýbrž deset tisíckrát méně (tedy pokuta v řádech desítek tisíc korun).
[1] http://zpravy.e15.cz/byznys/podniky-a-trhy/za-volne-dostupnou-wi-fi-sit-hrozi-restauracim-ci-hotelum-likvidacni-pokuty-1343701
Otravné spamy
Nemám rád spamy. Setkal se s nimi snad každý. Nejednoho uživatele připravily o e-mailovou schránku, kdy se mu tam začalo spamů hromadit tolik, že se schránka stala nepoužitelnou. Z technického hlediska není obrana proti spamům snadná. Některé spam filtry uživateli spíše „zavaří“ než pomohou. Leckomu se již jistě stalo, že mu filtr odfiltroval důležitý obchodní e-mail, který mylně vyhodnotil jako reklamu.
Jaký je však vývoj na poli práva a jeho praktické aplikace ze strany regulátorů?
Z hlediska českého práva jsou reklamy zasílané elektronickou poštou (či v jiné formě elektronické komunikace, např. pomocí různých komunikátorů apod.) se jedná o tzv. obchodní sdělení a upravuje je především §7 zákona č. 480/2004 Sb., o některých službách informační společnosti. Dozorovým orgánem na poli „spamů“, je v České republice Úřad pro ochranu osobních údajů. Tento úřad na toto téma vydal několik stanovisek, včetně stanoviska z února tohoto roku.
Úřad mimo jiné veřejnosti sdělil, že se ve své rozhodovací praxi často zabývá situací, kdy jsou pro zasílání obchodních sdělení (reklam apod.) využívány databáze poskytnuté třetí osobou. V praxi se jedná o databáze kontaktů, ať již je jejich původ legální či nikoliv (viz nedávná kauza T-mobile) se kterými se obchoduje. Databáze kontaktů jsou lukrativním obchodním artiklem. Řada rozesílatelů obchodních nabídek, po pořízení takové databáze za nemalé prostředky, si však nejspíš neuvědomí (nebo to naopak dobře ví), že zakoupení databáze nestačí. Stále totiž postrádá poměrně zásadní prostředek k tomu, aby mohl koupenou databázi legálně použít. Tímto prostředkem je platný souhlas udělený jednoznačně určenou osobou se zasíláním obchodních sdělení. Šiřitelé, které takovéto databáze třetích osob používají, se pak v případě stížnosti v následném správním řízení před Úřadu pro ochranu osobních údajů hají buď prohlášením prodejce databáze její o zákonnosti (jinými slovy odpovědnost se snaží přenést na toho, od koho databázi zakoupili) anebo na obecný text souhlasu se zasíláním nevyžádaných obchodních sdělení.
To však není správně. Souhlasem se podle § 7 zákona č. 480/2004 Sb. rozumí svobodný, zřejmý a vědomý projev vůle, který učiní adresát vůči šiřiteli obchodních sdělení, aby mu umožnil využívat podrobnosti svého elektronického kontaktu k šíření obchodních sdělení. Ze souhlasu musí být vždy jasné, kdo jej poskytuje, komu jej poskytuje a za jakým účelem. Souhlas by měl být udělen předem (před zasláním reklamy ne po jejím obdržení) a šiřitel musí být schopen jej doložit. Z toho jasně plyně, že povinností odesílatele obchodního sdělení je doložení souhlasu jednoznačně určené osoby se zasíláním obchodních sdělení. Souhlasu dále musí být poskytnut právě konkrétnímu šiřiteli a také by měl vymezovat věcný okruh obchodních sdělení, k jejichž přijímání příjemce souhlas poskytuje. Na rozdíl od (obecné) úpravy souhlasu se zpracováním osobních údajů (ať již podle současné národní legislativy nebo podle GDPR) není v tomto případě nutné, aby byl souhlas udělen na předem stanovenou dobu. Příjemci reklam však musí být dána možnost souhlas odvolat v každém jednotlivém zaslaném sdělení (známý řádek na konci e-mailu, v praxi často vyhotovený fontem 5pt „unsubscribe“).
Zákonem není stanovena požadovaná forma takového souhlasu (např. písemná), ale, jak je uvedeno výše, poskytnutí souhlasu musí být doložitelné. S tím souvisí i skutečnost, že důkazní břemeno ohledně udělení platného souhlasu nese plně právě šiřitel. Této odpovědnosti se bohužel nelze zprostit odkazem na výše uvedená prohlášení prodejce databáze. Zde může vzniknout pouze odpovědnost prodejce civilněprávní, například za způsobenou újmu, ale správní sankce bude bohužel vyměřena šiřiteli samotnému. Pokud není šiřitel schopen poskytnutí souhlasu doložit, riskuje poměrně znatelnou sankci (až do výše 10.000.000 Kč, cca. 400.000 EUR). Jedná se totiž o porušení povinností podle výše zmíněného §7 zákona č. 480/2004 Sb. a související přestupkové jednání podle § 11 téhož předpisu.
Jeden z případů, o kterém Úřad informoval, a který se týká právě využití databáze kontaktů k rozesílání obchodních nabídek koupené od třetího subjektu, skončil pokutou pro poskytovatele půjček společnost Zaplo Finance. Je ovšem nutno podotknout, že sankce byla spíše symbolická (36.000 Kč, tedy asi 1.500 EUR). Důvodem udělení tak nízké pokuty byla dle Úřad skutečnost, že na Zaplo Finance Úřad neobdržel mnoho stížností, a tedy v tomto případě vyhodnotil míru škodlivosti jako nepatrnou. Tuto problematiku však neradno podceňovat. Nelze vyloučit, že příště mohou být pokuty mnohem citelnější. Úřad se již nechal slyšet, že se v rámci prováděných kontrol budou touto problematikou intenzivně zabývat.
Spotřebitelské testy před Ústavním soudem
18.3.2018
Nezařazené
Comments Off on Spotřebitelské testy před Ústavním soudem
Jaroslav Tajbr
Ve svém rozhodnutí[1] ze začátku března 2018 Ústavní soud ČR zamítl ústavní stížnost společnosti Karlovarské minerální vody, a.s., (KMV), známého výrobce minerálních vod. KMV podala ústavní stížnost proti rozhodnutím obecných soudů. Ústavní soud hodnotil zejména vzájemnou interakci práva na dobrou pověst (výrobce) s právem na kritiku a její přípustnou míru. Vyslovil se rovněž k rozdílům, které vidí mezi spotřebitelskými testy a reklamní kampaní. Soud se přitom přiklonil na stranu spotřebitelských organizací přinášející spotřebitelské testy různých výrobků.
Skutkově šlo o následující. Časopis dTest zveřejnil koncem roku 2009 výsledek spotřebitelských testů s názvem „Opravdu víte, co pijete?“. Testy srovnávaly téměř 20 značek balených neperlivých vod, a to vod kojeneckých, přírodních a minerálních. Testován byl obsah mikroorganismů, prvků žádoucích i nežádoucích a látek zdravotně závadných. U článku byla zveřejněna i tabulka srovnávající hodnoty naměřené Státním zdravotním ústavem. U jedné z balených pitných vody vyráběných KMV byl uveden obsah sodíku, přičemž tato hodnota byla označena symbolem černého trojúhelníku, který znamenal „zvýšený, resp. vysoký obsah“. Ke každé hodnocené vodě byl také v dTestu zveřejněn komentář. V případě předmětného testovaného vzorku kromě úrovně obsahu sodíku i negativně hodnotící objev nedovolených cizorodých organických látek (benzo(ghi)perylenu a trihalomethanů). Dtest zveřejnil i úvahy o tom, jak se tyto látky do vody mohly dostat. Dalším zajímavým aspektem případu bylo, že daná voda byla označena nápisem „jen 0,002 % sodíku“. Takové tvrzení zřejmě v některých spotřebitelích může vyvolat určitá očekávání ohledně toho, že obsah sodíku je zde (relativně) nízký. Voda však přitom měla z hodnocených vod obsah sodíku druhý nejvyšší (a třikrát vyšší než byl průměr ostatních výrobků).
KMV se takto prezentované výsledky nelíbily a napadly je soudně u Městského soudu v Praze. Pro spor se v některých kruzích vžilo označení „soud o černý trojúhelníček“. KMV před soudem zejména požadovaly, aby se dTest za uvedení tohoto znaku omluvil, protože obsah sodíku se nedostal nad zákonnou mez. To dTest to odmítal učinit. Bránil se mimo jiné tvrzením, že testy prováděné spotřebitelskými organizacemi se odlišují od kontrol prováděných regulátory, kteří pouze analyzují soulad se zákony či vyhláškami. Srovnávací testy spotřebitelských organizací naproti tomu dle dTestu srovnávají více výrobků a v zájmu informovanosti spotřebitelů jdou jejich závěry často nad rámec právních předpisů. DTest navíc zjištěné výsledky interpretuje tak, aby byly na rozdíl od státních zkušebních protokolů srozumitelné i běžným čtenářům. Dtest dále tvrdil, že pokud by ztratil možnost vyhodnocovat a srozumitelně interpretovat výsledky testů, nemohl by prezentovat prakticky nic než (nesrozumitelné) zkušební protokoly. Nebylo by ani možné srovnání mezi výrobky navzájem a interpretace výsledků, které pomáhají spotřebitelům v nákupním rozhodování.
Městský soud žalobě z velké části vyhověl a uložil dTestu povinnost se za černý trojúhelníček omluvit. DTest se proti rozsudku odvolal. Odvolací Vrchní soud v Praze rozsudek změnil tak, že žalobu zamítl. Ve svém rozhodnutí zdůraznil, že proti tvrzenému zásahu do dobré pověsti KMV stálo právo dTestu na svobodu projevu a šíření informací. S odkazem na existující judikaturu tvrdil, že ani (případné) zveřejnění nepravdivého údaje nemusí nutně znamenat neoprávněné poškození dobré pověsti právnické osoby. Aby se tak stalo, zásah by musel přesáhnout určitou míru intenzity. Naměřené hodnoty látek a ukazatelé kvality testovaných vod byly však vesměs pravdivé. U komentářů se potom jednalo o hodnotící soudy založené na vlastním úsudku dTestu, které ovšem měly ve vysoké míře reálný základ. Text neměl dle soudu za cíl poškodit výrobky KMV a nevybočil z přípustných mezí přiměřené kritiky.
Rozsudek Vrchního soudu byl napaden ze strany KMV dovoláním k Nejvyššímu soudu, ten však dovolání odmítl. KMV se tak následně obrátila s ústavní stížností na Ústavní soud ČR.
Ústavní soud stížnosti nevyhověl. Vyslovil se naopak tak, že kritický projev sdružení na ochranu spotřebitelů nelze klást naroveň jiným projevům veřejné kritiky, jež mají difamační potenciál. Daný článek sice vykazuje znaky komerčního projevu (commercial speech), ale jeho působení je nasměrováno nikoli soutěžně či reklamně, ale v „obráceném gardu“. Účelem článku zde byla dle Ústavního soudu ochrana spotřebitele spočívající ve varování před nežádoucími vlastnostmi výrobků. Ochrana spotřebitele jako slabší strany vůči prodávajícímu, resp. výrobci vyžaduje jinak zacílená kritéria, než je tomu u ochrany spotřebitele před reklamním projevem. Jedním z měřítek tu musí zůstat prvek přípustně laděné diskuse determinované vztahem kvality výrobku a ochrany veřejného zdraví. Druhým z kritérií musí být náležitá odbornost hodnocení testovaného produktu; místo tu má volba přiměřených prostředků hodnocení, nikoli však evidentní nadsázka, přemíra exprese, sugestivnosti nebo dokonce zjevná manipulace s hodnocením v neprospěch prodejce či výrobce. Kritický projev tak dle závěrů Ústavního soudu požívá ústavní ochranu. Je totiž přiměřeným prostředkem k dosažení sledovaného účelu, jímž byla ochrana spotřebitele; ta je též společensky aprobovaným legitimním cílem, vykonává-li ji zákonem předvídaný subjekt práva. Ústavní soud tak v zásadě potvrdil názor Vrchního soudu v Praze, že k nežádoucímu excesu na straně dTestu nedošlo. Použitá škála hodnocení výrobků a grafické symboly plnící výstražnou funkci (černý trojúhelník, červené zvýraznění textu) náleží při korektním použití mezi přiměřené hodnotící soudy.
Ústavní soud závěrem zdůraznil, že nijak nehodnotil kvalitu dané vody. Ve svém nálezu se věnoval toliko problematice obsahu spotřebitelského testu Dospěl přitom k závěru, že tento test sice vykazoval určité nedostatky, nicméně tyto nedostatky nedosáhly kritické úrovně a proto dal za pravdu dTestu.
[1] https://www.usoud.cz/fileadmin/user_upload/Tiskova_mluvci/Publikovane_nalezy/2018/I._US_3819_14_na_web.pdf