ePrivacy

S příchodem GDPR se změnil pohled na ochranu osobních dat. Nařízení mělo masivní dopad jak na jedince, tak na firmy. S odstupem času se již zdá, že si organizace uvědomily, že musí jednat. Je ale důležité mít na paměti, že nás navíc k GDPR čeká v blízké době také tzv. ePrivacy Regulation neboli nařízení o soukromí a elektronických komunikacích. Na co se zaměřit s jeho příchodem?

Základní informace o ePrivacy

Nařízení bude mít formu úpravy stávajícího evropského právního rámce o elektronické komunikaci. Dojde k nahrazení lokálních právních předpisů, v návaznosti na GDPR. Nařízení bude mít spíše formu regulační (nařízení), než direktivní (směrnice), což bude mít dopad na jeho aplikovatelnost. Bude mít také charakter „lex specialis“, což znamená, že se bude zaměřovat na určitou oblast ochrany dat, konkrétně důvěrnost elektronické komunikace. GDPR má proti tomu charakter „lex generalis“, je tedy obecně širšího záběru.

V současné době je nařízení ePrivacy ve formě návrhu. Naposledy byl tento návrh zamítnutý v listopadu 2019 a bude se muset znovu přepracovat. Není tedy zatím jasné, kdy bude finalizován. Již nyní ale víme, že ne všechny požadavky budou nové. Mnoho z nich je již součástí směrnice Evropské parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, která vstoupila v platnost již v roce 1995. V několika zemích Evropy vznikly od té doby místní zákony, např. v Nizozemsku je tato směrnice upravena do místního zákona týkajícího se telekomunikací („Telecommunicatiewet“). Ve Spojeném království je pak takovým ekvivalentem tzv. PECR (Privacy and Electronic Communications Regulations). Tyto lokální národní právní předpisy jsou pak obecně známy jako tzv. cookie zákony, což je ostatně zavádějící označení, neboť se zdaleka nezabývají pouze tzv. cookies.

Hlavní části návrhu Nařízení ePrivacy

Článek 5 je jádrem celého nařízení. Ustanovuje fakt, že data elektronické komunikace jsou důvěrná a že jakýkoliv zásah do nich je zakázaný. Nařízení udává také několik výjimek. Jinými slovy, třetí strany nemohou zasahovat do (osobních) elektronických komunikací mezi jednotlivci, pakliže se nejedná o výjimku.

Vzhledem k tomu, že je současná verze nařízení stále v návrhu, není jasné, které části budou či nebudou zahrnuty do konečné verze. Nyní mezi hlavní body patří:

1. Nařízení vs. směrnice: nový právní předpis bude nařízením s přímým efektem na státy EU, což znamená, že nebude potřeba implementace do vnitrostátního práva. Současný právní předpis je směrnicí, která nemá přímý vliv. Hlavní výhodou nařízení je harmonizace e-Privacy právních předpisů napříč EU. Výsledkem tedy bude stejný právní předpis pro každý členský stát.
2. Data a metadata: nařízení ePrivacy se bude vztahovat na „data elektronické komunikace“ a „metadata elektronické komunikace“. Záběr je tedy širší než v případě GDPR, a to z toho důvodu, že data elektronické komunikace nejsou pouze daty vztahujícími se přímo k osobě. Data elektronické komunikace mohou například prozradit informace týkající se právnických osob. Zároveň je nařízení vztaženo také na metadata, která obsahují informace, jako je například poloha koncového uživatele a datum, čas, doba trvání a typ komunikace.
3. Služby OTT: Nařízení se bude také týkat tzv. over-the-top („OTT“) distribuce. Tedy audio nebo video obsahu a dalších médií přenášených přes internet bez možnosti poskytovatele internetového připojení kontrolovat přenášený obsah. Současná směrnice se vztahuje pouze na „tradiční“ poskytovatele služeb (např. pevné telefonní linky a SMS). Mezi poskytovatele OTT patří například služby, jako je Skype, webový e-mail a komunikace přes sociální sítě (WhatsApp, Facebook Messenger atd.). Díky tomu tak budou fyzické osoby užívající OTT služby chráněny a poskytovatelé OTT služeb budou muset dodržovat stejná pravidla jako tradiční poskytovatelé služeb.
4. Cookies: Evropská komise došla k závěru, že současná Směrnice nemá reálný efekt, co se týče cookies, a mezi lidmi už dochází k všeobecné únavě z neustálého potvrzování cookies souhlasů. Nařízení se tedy zaměřuje právě na tuto problematiku, která vzbuzuje mezi experty velké debaty. Není jisté, zda dojde k tomu, že bude možné v prohlížečích nastavit možnost povolení všech cookies. Další otázkou pak zůstávají tzv. cookie walls, tedy okna blokující návštěvu stránky, kdy nemáte jinou možnost než souhlasit s použitím cookies, abyste se dostali k obsahu.
5. Vymáhání: Dozorčím orgánem pro vznik ePrivacy byl stanoven Nizozemský úřad pro ochranu osobních údajů (Dutch Data Protection Authority), zatímco za směrnici je zodpovědný Nizozemský úřad pro ochranu práv spotřebitelů (Dutch Authority for Consumers & Markets). Dojde tedy k posílení ochranných práv díky centralizaci právních předpisů jak z GDPR, tak i ePrivacy. Navíc, výše pokut pro ePrivacy je stanovena stejně jako pro GDPR, tedy maximálně 20 mil. eur nebo 4 % z celosvětového ročního obratu.