Tag: elektronické komunikace


Veřejné wifi sítě a GDPR

28.2.2018

Nezařazené

Comments Off on Veřejné wifi sítě a GDPR


Čím více se přibližuje květnové datum účinnosti nového evropského nařízení týkajícího se ochrany osobních dat (GDPR), tím častěji se v různých médiích objevují více či méně zasvěcené komentáře o jeho problematičnosti. Jedna z celostátních televizních stanic například zavedla takřka pravidelnou zpravodajskou rubriku, kde informuje o tom, že po 25. Květnu 2018 se její žurnalistické možnosti značně omezí například ve vztahu k informacím o nebezpečných zločinech a jejich pachatelích. Tyto zprávy potvrzují různí „experti“, ač již z řad právnické obce či mimo ní. Většina těchto zpráv je samozřejmě, jemně řečeno, nepřesná. Toto téma si oblíbila i řada politiků, kteří bez zjevné znalosti textu GDPR neváhají vydávat obšírné kritické komentáře. Je jistě legitimním politickým postojem bránit se proti přebujelé regulaci, nicméně je vhodné zvážit, zda tak není dobré činit s alespoň elementární znalostí kritizované matérie.

 

V nedávné době se v jednom celostátním internetovém deníku[1] objevily tzv. „doom saying“ informace, že GDPR znemožní provozovatelům veřejných wifi sítí (tzv. free access pointů), jako jsou hotely, restaurace či nemocnice, provozovat nezaheslované sítě pro své návštěvníky. Autor článku to zdůvodňuje tak, že provozování takové sítě je samo o sobě v rozporu s novým nařízením. Ze článku s názvem Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty, lze citovat: “provozovatelé restaurací, barů, škol a firem by měli vědět o každém, kdo se připojí na jejich síť a kde všude je dostupné jejich heslo”, či „podle zákona by přitom měli poznat, kdo prostřednictvím jejich wi-fi pošle třeba poplašnou zprávu nebo nelegální obsah. Bez zabezpečení hrozí civilní žaloby od poškozených a v krajním případě i trestní stíhání pro spolupachatelství. Za porušení hrozí pokuta až dvacet milionů eur” či „zabezpečená síť je přitom světovým standardem a podle GDPR dokonce nutností”. Ačkoliv je jasné, že GDPR přináší některé novinky a povinnosti pro správce i zpracovatele osobních údajů a nařízení je poměrně rozsáhlé a detailní, jedním dechem je nutno dodat, že mnoho povinností vyplývajících z GDPR již téměř 20 let existuje (a je mnoha subjekty zcela ignorováno) a GDPR je v zásadě v nezměněné podobě přebírá. Hned dalším dechem je možno podotknout, že tyto výklady se příliš nesetkávají s realitou.

 

Koncem února dokonce i Úřad pro ochranu osobních údajů vydal dementi k výše uvedenému článku. Regulátor v něm ostře polemizuje s některými informacemi v článku obsaženými. Jedním z nich je to, že GDPR vyžaduje wi-fi síť zabezpečit, tj. zaheslovat. To zcela zřejmě není pravda. Úřad správně argumentuje, že ochrana soukromí vychází z oprávnění na tzv.  informační sebeurčení subjektu údajů, přičemž tyto údaje nezadatelně patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť. Dále Úřad správně uvádí, že GDPR se vztahuje na zpracování dat v sítích elektronických komunikací pouze  podpůrně. Hlavním evropským předpisem upravující tuto oblast je totiž směrnice o soukromí a elektronických komunikacích č. 2002/58/ES. Tato směrnice již v České republice několik let platí, resp. je implementována v zákoně č. 127/2005 Sb., o elektronických komunikacích a zákoně č. 480/2004 Sb., o některých službách informační společnosti. Úřad také informuje, že v současné době probíhá v EU jednání o nahrazení směrnice o soukromí a elektronických komunikacích novým nařízením (odlišným od GDPR). Úřad dále k obsahu článku uvádí, že provozovatel wi-fi sítě přirozeně ví (resp. může vědět, pokud monitoruje provoz) o každém připojeném uživateli. Nicméně filtrace nebo monitoring zpráv provozovatelem wi-fi sítě (aby odhalil například zprávu poplašnou nebo jinak nelegální) naopak povinností provozovatele není. Pokud by provozovatel sledoval obsah přenosů, mohl by se naopak dopustit trestné činnosti v podobě porušení listovního tajemství.

S některými dílčími a marginálními závěry Úřadu by bylo naopak možné jemně polemizovat, a to například s kategorickým vyjádřením ohledně zásadního rozdílu v druhu odpovědnosti za trestněprávní a přestupkové delikty. To nicméně není ve světle výše uvedeného relevantní.

Nakonec se Úřad vyjadřuje ohledně informací obsažených v článku týkajících se výše pokuty. Toto vyjádření je třeba vnímat v širším kontextu. Na jeho základě lze zřejmě do jisté míry předjímat, jak se může český regulátor k problematice sankcí podle GDPR do budoucna stavět. Porušení povinností při provozu wi-fi sítě se dle Úřadu primárně řídí českými právními předpisy a do budoucna se bude řídit nařízením o soukromí a elektronických komunikacích. Informace v článku jsou tak zavádějící. Ale podle regulátora ani při sankcionování podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. Výše pokuty totiž musí být přiměřená závažnosti deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, není 20 000 000 €, nýbrž deset tisíckrát méně (tedy pokuta v řádech desítek tisíc korun).

[1] http://zpravy.e15.cz/byznys/podniky-a-trhy/za-volne-dostupnou-wi-fi-sit-hrozi-restauracim-ci-hotelum-likvidacni-pokuty-1343701


Otravné spamy

24.2.2018

Nezařazené

Comments Off on Otravné spamy


Nemám rád spamy. Setkal se s nimi snad každý. Nejednoho uživatele připravily o e-mailovou schránku, kdy se mu tam začalo spamů hromadit tolik, že se schránka stala nepoužitelnou. Z technického hlediska není obrana proti spamům snadná. Některé spam filtry uživateli spíše „zavaří“ než pomohou. Leckomu se již jistě stalo, že mu filtr odfiltroval důležitý obchodní e-mail, který mylně vyhodnotil jako reklamu.

Jaký je však vývoj na poli práva a jeho praktické aplikace ze strany regulátorů?

Z hlediska českého práva jsou reklamy zasílané elektronickou poštou (či v jiné formě elektronické komunikace, např. pomocí různých komunikátorů apod.) se jedná o tzv. obchodní sdělení a upravuje je především §7 zákona č. 480/2004 Sb., o některých službách informační společnosti. Dozorovým orgánem na poli „spamů“, je v České republice Úřad pro ochranu osobních údajů. Tento úřad na toto téma vydal několik stanovisek, včetně stanoviska z února tohoto roku.

Úřad mimo jiné veřejnosti sdělil, že se ve své rozhodovací praxi často zabývá situací, kdy jsou pro zasílání obchodních sdělení (reklam apod.) využívány databáze poskytnuté třetí osobou. V praxi se jedná o databáze kontaktů, ať již je jejich původ legální či nikoliv (viz nedávná kauza T-mobile) se kterými se obchoduje. Databáze kontaktů jsou lukrativním obchodním artiklem. Řada rozesílatelů obchodních nabídek, po pořízení takové databáze za nemalé prostředky, si však nejspíš neuvědomí (nebo to naopak dobře ví), že zakoupení databáze nestačí. Stále totiž postrádá poměrně zásadní prostředek k tomu, aby mohl koupenou databázi legálně použít. Tímto prostředkem je platný souhlas udělený jednoznačně určenou osobou se zasíláním obchodních sdělení. Šiřitelé, které takovéto databáze třetích osob používají, se pak v případě stížnosti v následném správním řízení před Úřadu pro ochranu osobních údajů hají buď prohlášením prodejce databáze její o zákonnosti (jinými slovy odpovědnost se snaží přenést na toho, od koho databázi zakoupili) anebo na obecný text souhlasu se zasíláním nevyžádaných obchodních sdělení.

To však není správně. Souhlasem se podle § 7 zákona č. 480/2004 Sb. rozumí svobodný, zřejmý a vědomý projev vůle, který učiní adresát vůči šiřiteli obchodních sdělení, aby mu umožnil využívat podrobnosti svého elektronického kontaktu k šíření obchodních sdělení. Ze souhlasu musí být vždy jasné, kdo jej poskytuje, komu jej poskytuje a za jakým účelem. Souhlas by měl být udělen předem (před zasláním reklamy ne po jejím obdržení) a šiřitel musí být schopen jej doložit. Z toho jasně plyně, že povinností odesílatele obchodního sdělení je doložení souhlasu jednoznačně určené osoby se zasíláním obchodních sdělení. Souhlasu dále musí být poskytnut právě konkrétnímu šiřiteli a také by měl vymezovat věcný okruh obchodních sdělení, k jejichž přijímání příjemce souhlas poskytuje. Na rozdíl od (obecné) úpravy souhlasu se zpracováním osobních údajů (ať již podle současné národní legislativy nebo podle GDPR) není v tomto případě nutné, aby byl souhlas udělen na předem stanovenou dobu. Příjemci reklam však musí být dána možnost souhlas odvolat v každém jednotlivém zaslaném sdělení (známý řádek na konci e-mailu, v praxi často vyhotovený fontem 5pt „unsubscribe“).

Zákonem není stanovena požadovaná forma takového souhlasu (např. písemná), ale, jak je uvedeno výše, poskytnutí souhlasu musí být doložitelné. S tím souvisí i skutečnost, že důkazní břemeno ohledně udělení platného souhlasu nese plně právě šiřitel. Této odpovědnosti se bohužel nelze zprostit odkazem na výše uvedená prohlášení prodejce databáze. Zde může vzniknout pouze odpovědnost prodejce civilněprávní, například za způsobenou újmu, ale správní sankce bude bohužel vyměřena šiřiteli samotnému. Pokud není šiřitel schopen poskytnutí souhlasu doložit, riskuje poměrně znatelnou sankci (až do výše 10.000.000 Kč, cca. 400.000 EUR). Jedná se totiž o porušení povinností podle výše zmíněného §7 zákona č. 480/2004 Sb. a související přestupkové jednání podle § 11 téhož předpisu.

Jeden z případů, o kterém Úřad informoval, a který se týká právě využití databáze kontaktů k rozesílání obchodních nabídek koupené od třetího subjektu, skončil pokutou pro poskytovatele půjček společnost Zaplo Finance. Je ovšem nutno podotknout, že sankce byla spíše symbolická (36.000 Kč, tedy asi 1.500 EUR). Důvodem udělení tak nízké pokuty byla dle Úřad skutečnost, že na Zaplo Finance Úřad neobdržel mnoho stížností, a tedy v tomto případě vyhodnotil míru škodlivosti jako nepatrnou. Tuto problematiku však neradno podceňovat. Nelze vyloučit, že příště mohou být pokuty mnohem citelnější. Úřad se již nechal slyšet, že se v rámci prováděných kontrol budou touto problematikou intenzivně zabývat.



Kontakty:

Pobočka ČELÁKOVICE
Na požárech 1709
25088 ČELÁKOVICE
advokatni.kancelar @ tajbr.cz
+ 420 737 328 278

Pobočka PRAHA
Na poříčí 3a
110 00 PRAHA 1
advokatni.kancelar @ tajbr.cz
+ 420 737 328 278