Tag: GDPR


Veřejné wifi sítě a GDPR

28.2.2018

Nezařazené

Comments Off on Veřejné wifi sítě a GDPR


Čím více se přibližuje květnové datum účinnosti nového evropského nařízení týkajícího se ochrany osobních dat (GDPR), tím častěji se v různých médiích objevují více či méně zasvěcené komentáře o jeho problematičnosti. Jedna z celostátních televizních stanic například zavedla takřka pravidelnou zpravodajskou rubriku, kde informuje o tom, že po 25. Květnu 2018 se její žurnalistické možnosti značně omezí například ve vztahu k informacím o nebezpečných zločinech a jejich pachatelích. Tyto zprávy potvrzují různí „experti“, ač již z řad právnické obce či mimo ní. Většina těchto zpráv je samozřejmě, jemně řečeno, nepřesná. Toto téma si oblíbila i řada politiků, kteří bez zjevné znalosti textu GDPR neváhají vydávat obšírné kritické komentáře. Je jistě legitimním politickým postojem bránit se proti přebujelé regulaci, nicméně je vhodné zvážit, zda tak není dobré činit s alespoň elementární znalostí kritizované matérie.

 

V nedávné době se v jednom celostátním internetovém deníku[1] objevily tzv. „doom saying“ informace, že GDPR znemožní provozovatelům veřejných wifi sítí (tzv. free access pointů), jako jsou hotely, restaurace či nemocnice, provozovat nezaheslované sítě pro své návštěvníky. Autor článku to zdůvodňuje tak, že provozování takové sítě je samo o sobě v rozporu s novým nařízením. Ze článku s názvem Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty, lze citovat: “provozovatelé restaurací, barů, škol a firem by měli vědět o každém, kdo se připojí na jejich síť a kde všude je dostupné jejich heslo”, či „podle zákona by přitom měli poznat, kdo prostřednictvím jejich wi-fi pošle třeba poplašnou zprávu nebo nelegální obsah. Bez zabezpečení hrozí civilní žaloby od poškozených a v krajním případě i trestní stíhání pro spolupachatelství. Za porušení hrozí pokuta až dvacet milionů eur” či „zabezpečená síť je přitom světovým standardem a podle GDPR dokonce nutností”. Ačkoliv je jasné, že GDPR přináší některé novinky a povinnosti pro správce i zpracovatele osobních údajů a nařízení je poměrně rozsáhlé a detailní, jedním dechem je nutno dodat, že mnoho povinností vyplývajících z GDPR již téměř 20 let existuje (a je mnoha subjekty zcela ignorováno) a GDPR je v zásadě v nezměněné podobě přebírá. Hned dalším dechem je možno podotknout, že tyto výklady se příliš nesetkávají s realitou.

 

Koncem února dokonce i Úřad pro ochranu osobních údajů vydal dementi k výše uvedenému článku. Regulátor v něm ostře polemizuje s některými informacemi v článku obsaženými. Jedním z nich je to, že GDPR vyžaduje wi-fi síť zabezpečit, tj. zaheslovat. To zcela zřejmě není pravda. Úřad správně argumentuje, že ochrana soukromí vychází z oprávnění na tzv.  informační sebeurčení subjektu údajů, přičemž tyto údaje nezadatelně patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť. Dále Úřad správně uvádí, že GDPR se vztahuje na zpracování dat v sítích elektronických komunikací pouze  podpůrně. Hlavním evropským předpisem upravující tuto oblast je totiž směrnice o soukromí a elektronických komunikacích č. 2002/58/ES. Tato směrnice již v České republice několik let platí, resp. je implementována v zákoně č. 127/2005 Sb., o elektronických komunikacích a zákoně č. 480/2004 Sb., o některých službách informační společnosti. Úřad také informuje, že v současné době probíhá v EU jednání o nahrazení směrnice o soukromí a elektronických komunikacích novým nařízením (odlišným od GDPR). Úřad dále k obsahu článku uvádí, že provozovatel wi-fi sítě přirozeně ví (resp. může vědět, pokud monitoruje provoz) o každém připojeném uživateli. Nicméně filtrace nebo monitoring zpráv provozovatelem wi-fi sítě (aby odhalil například zprávu poplašnou nebo jinak nelegální) naopak povinností provozovatele není. Pokud by provozovatel sledoval obsah přenosů, mohl by se naopak dopustit trestné činnosti v podobě porušení listovního tajemství.

S některými dílčími a marginálními závěry Úřadu by bylo naopak možné jemně polemizovat, a to například s kategorickým vyjádřením ohledně zásadního rozdílu v druhu odpovědnosti za trestněprávní a přestupkové delikty. To nicméně není ve světle výše uvedeného relevantní.

Nakonec se Úřad vyjadřuje ohledně informací obsažených v článku týkajících se výše pokuty. Toto vyjádření je třeba vnímat v širším kontextu. Na jeho základě lze zřejmě do jisté míry předjímat, jak se může český regulátor k problematice sankcí podle GDPR do budoucna stavět. Porušení povinností při provozu wi-fi sítě se dle Úřadu primárně řídí českými právními předpisy a do budoucna se bude řídit nařízením o soukromí a elektronických komunikacích. Informace v článku jsou tak zavádějící. Ale podle regulátora ani při sankcionování podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. Výše pokuty totiž musí být přiměřená závažnosti deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, není 20 000 000 €, nýbrž deset tisíckrát méně (tedy pokuta v řádech desítek tisíc korun).

[1] http://zpravy.e15.cz/byznys/podniky-a-trhy/za-volne-dostupnou-wi-fi-sit-hrozi-restauracim-ci-hotelum-likvidacni-pokuty-1343701


GDPR: Pracovní skupina WP29 k souhlasům se zpracováním

16.2.2018

Nezařazené

Comments Off on GDPR: Pracovní skupina WP29 k souhlasům se zpracováním


Skupina WP29 vydala další vodítka k výkladu ustanovení, které přináší již brzy účinné (25.5.2018) Nařízení o ochraně osobních údajů (GDPR). Tentokrát se Working Party zaměřila na podrobnou interpretaci institutu souhlasu. Souhlas je jedním právních základů pro zpracovávání osobních údajů. Je třeba opakovaně uvést, že souhlas je z pohledu GDPR méně preferovaným právním základem pro zpracování, přičemž nařízení dává jasnou přednost zákonným důvodům jiným.

Definice souhlasu se zpracováním je obsažena v článku 4 odst. 11 GDPR: „Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“

Konkrétní prvky potřebné pro platnost souhlasu tedy jsou:  svobodnost, určitost, informovanost, jednoznačnost. Working Party se vyjádřila k jednotlivým prvkům takto:

Svoboda udělení souhlasu  – subjektům údajů musí být poskytnuta možnost skutečného výběru, rozhodnutí  a následné kontroly nad uděleným souhlasem, jinak souhlas nebude platný. Pokud je nutné v rámci služby provádět více zpracování pro více účelů, je nutné udělit konkrétní souhlas vždy pro každou konkrétní operaci odděleně. „Generální“ souhlas pro více sloučených účelů zpracování by byl neplatný. Je nepřípustné, aby zpracování osobních údajů na základě souhlasu bylo určitou formou protislužby za plnění smlouvy. Potencionálním odmítnutím souhlasu nesmí subjekt údajů utrpět újmu, správce musí být vždy schopen prokázat, že služba umožňuje odvolat souhlas bez jakýchkoliv negativních důsledků. Pro zpracování osobních údajů veřejnými orgány nebo zaměstnavatelem by měly být téměř výlučně používány zákonné důvody.

Určitost souhlasu – určitost souhlasu má zajistit možnost kontroly a transparentnosti zpracování osobních údajů. Požadavek určitosti je naplněn, pokud je jasně stanoven účel zpracování, souhlas je udělován pro každou oddělenou operaci zvlášť a informace týkající se udělení souhlasu jsou zřetelně vymezeny od ostatních informací. Získání platného souhlasu musí předcházet stanovení určitého, výslovně vyjádřeného a legitimního účelu pro zamýšlené činnosti zpracování. V žádosti správce o souhlas k několika různým účelům by měly být dány samostatně na výběr možnosti (především udělení souhlasu odmítnout) pro každý jednotlivý účel.

Informovanost subjektu údajů – souhlas musí být informovaný. V praxi je vyžadováno několik náležitostí, aby souhlas tuto podmínku splňoval. Informace musí být podána o: totožnosti správce, účelu každé z operací zpracování, pro které je žádáno o souhlas, druhy údajů, které budou zpracovány, existence práva odvolat souhlas, informace o případném profilování, případné náležitosti při předávání informací. Seznámit se s informacemi nesmí být pro dotčený subjekt údajů nijak obtížné, sdělení musí být jasné, srozumitelné a pokud možno stručné. Neúplné, nepřesné nebo vůbec neposkytnuté informace mají za následek neplatnost udělení souhlasu.

Jednoznačnost souhlasu –  z jednání dotčeného subjektu údajů musí být zcela zřejmé, že daný souhlas je jím udělen. Musí jít o aktivní konání subjektu, konkludentnost udělení je vyloučena. Z jednání také musí být zřejmé ke kterému konkrétnímu zpracování se vztahuje.

Specifická forma souhlasu, souhlas udělený elektronicky – v případě, kdy je souhlas se zpracováním udělován elektronicky, by takové udělení mělo být pro uživatele co nejméně zatěžující. Vzhledem k tomu, že mnoho digitálních služeb vyžaduje osobní údaje pro svou funkci, panuje obava, že neustálé udělování může vést k jisté míře tzv. „klikací únavy“. V praxi poté uživatel (potencionální subjekt údajů) souhlas dává instinktivně, bez toho, aby si byť jen částečně podmínky přečetl. Jedním z možných řešení nastíněných WP29 je získání souhlasu vycházející z nastavení prohlížeče.



Kontakty:

Pobočka ČELÁKOVICE
Na požárech 1709
25088 ČELÁKOVICE
advokatni.kancelar @ tajbr.cz
+ 420 737 328 278

Pobočka PRAHA
Na poříčí 3a
110 00 PRAHA 1
advokatni.kancelar @ tajbr.cz
+ 420 737 328 278