Toto nařízení má nahradit směrnici platící od roku 2002, která potřebuje přizpůsobení současné situaci. Podobně jako GDPR má nařízení platit přímo a okamžitě v celé Evropské unii a nebude tak záležet na transpozici do tuzemského zákona.
Co je cílem nařízení?
Podle Evropské komise je cílem ePrivacy posílit důvěru a bezpečnost v digitálním světě s tím, že evropská legislativa musí držet krok s rychlým tempem, kterým se vyvíjejí služby založené na IT. Jak uvádí Mario Steinberg na blogu společnosti reidboxes, ePrivacy si klade za cíl chránit důvěrnost komunikace stejně jako důvěrnost a integritu koncových zařízení uživatelů. Jednoduše řečeno, uživatelé by měli být chráněni před špehováním bez jejich vědomí, když navštíví webovou stránku nebo používají e-mail nebo služby na posílání zpráv,
doplňuje s tím, že na rozdíl od GDPR jsou chráněny nejen fyzické osoby (lidé), ale i právnické osoby (firmy a spolky). Nařízení o soukromí a elektronických komunikacích upřesňuje a doplňuje GDPR s ohledem na údaje z elektronických komunikací, které jsou osobními údaji,
dodává dále.
Robert Bateman z TermsFeed vysvětluje, že nařízení o soukromí a elektronických komunikacích chrání data elektronické komunikace. Ta jsou buď odesílána prostřednictvím elektronických zpráv (pomocí e-mailu, SMS, MMS), nebo ekvivalentních aplikací a technik (sem spadá například WhatsApp a podobné aplikace). ePrivacy se tedy zaměřuje na obsah vyměňovaný prostřednictvím služeb elektronických komunikací, jako je text, hlas, videa, obrázky a zvuk a metadata elektronických komunikací: údaje o obsahu elektronických komunikací, jako například odkud byl odeslán, kdo jej odeslal, datum, čas, trvání a typ komunikace. Je důležité si uvědomit, že údaje z elektronických komunikací nejsou totéž jako „osobní údaje“, kterých se týká GDPR. Data elektronické komunikace mohou obsahovat osobní údaje, ale také nemusí,
podotýká.
Na koho nová pravidla dopadnou
Nařízení o soukromí a elektronických komunikacích stanoví tedy pravidla pro přímý marketing, soubory cookie a podobné technologie (jakýkoli software nebo kód, který bude umístěn do zařízení uživatele), zabezpečení komunikačních služeb a veřejně dostupné adresáře. Jak popisuje Robert Bateman, nařízení ePrivacy se bude vztahovat na každého, kdo vykonává činnosti uvedené výše.
Půjde například o:
- Firmy zabývající se elektronickým přímým marketingem, včetně e-mailů, zpráv, SMS nebo hovorů
- Vývojáře vytvářející software nebo webové stránky, pokud používají soubory cookie a podobné technologie
- Lidé nebo podniky provozující software nebo webové stránky, kteří musí zajistit, aby tyto služby byly v souladu s nařízením
- Poskytovatele služeb elektronických komunikací, včetně například poskytovatelů protokolu VoIP, telefonních služeb nebo internetu věcí (IoT).
Důležité budou souhlasy
O cookies se v minulosti hodně mluvilo a uživatelé internetu se často setkávají s lištami, které musí na webových stránkách povolovat. Jedná se o sledovací nástroje, ze kterých je možné vyčíst například, jak často je web navštěvován konkrétním uživatelem. Data nejsou shromažďována pouze při návštěvě webové stránky nebo používání služby, ale často ještě dlouhou dobu poté a často zůstávají na koncovém zařízení uživatele několik měsíců a nadále odesílají data, aniž by si toho uživatel byl vědom.
Mario Steinberg zmiňuje, že není nutný souhlas uživatele se sledovacími službami, když má poskytovatel služeb převažující oprávněné zájmy na používání sledovacích nástrojů. Často se však jedná o komerční zájmy, které mohou zahrnovat například uložení nákupního košíku zákazníka v internetovém obchodě nebo integraci mapových služeb. Za oprávněné zájmy jsou však považovány i nástroje pro analýzu webu a statistiky o návštěvnících webových stránek nebo používání reklamních sledovačů,
upřesňuje s tím, že při zvažování příslušných zájmů jsou zvláště důležité účinky zamýšleného zpracování dat a jejich náchylnost ke zneužití.
Podle Maria Steinberga musí provozovatelé webových stránek a poskytovatelé služeb předem jasně a transparentně informovat o tom, jaké údaje se shromažďují při návštěvě webové stránky nebo používání služby, komu jsou tyto údaje předávány a za jakým účelem. Jedině tak se návštěvníci webu a uživatelé mohou rozhodnout, zda se jim vyplatí web navštívit nebo službu využívat a zveřejnit svá data. Dále doporučuje zkontrolovat, zda mohou všechny služby integrované na webu založit na oprávněném zájmu nebo souhlasu uživatele. Pokud ne, měli byste získat chybějící souhlas uživatele. Kromě toho byste měli především transparentně prezentovat své sledovací aktivity ve svých zásadách ochrany osobních údajů,
doplňuje a radí zkontrolovat další souhlasy, až bude známý konečný text nařízení.
Nařízení o soukromí a elektronických komunikacích má sjednotit také takzvaný elektronický marketing, pod který spadá marketing prostřednictvím e-mailu, služeb pro zasílání zpráv (jako je WhatsApp nebo Facebook Messenger), fax a SMS. Jak popisuje Robert Bateman, dnes zákony umožňují princip „soft opt-in“, což umožňuje firmám zasílat spotřebitelům za určitých podmínek přímá marketingová sdělení bez souhlasu. Podle GDPR a směrnice o soukromí a elektronických komunikacích je možné zasílat marketingová sdělení na zákonném základě „oprávněných zájmů“. To je normálně povoleno pouze za určitých podmínek, mezi které patří, že u společnosti daná osoba nakoupila, dala jí své kontaktní údaje nebo měla možnost se odhlásit, když poskytla své kontaktní údaje. První návrhy nařízení o soukromí a elektronických komunikacích naznačovaly, že podniky již nebudou moci spoléhat na oprávněné zájmy pro přímý marketing. To by znamenalo, že veškerý elektronický přímý marketing by vyžadoval souhlas. U posledních dvou návrhů tomu tak není,
dodal Bateman.
Jaké budou pokuty?
Hrozící pokuty při nedodržování nařízení ePrivacy jsou podobné těm u GDPR. Jak uvádějí na webu Gdpr.cz, pokuty jsou do výše 10 milionů euro nebo 2 % ročního celosvětového obratu skupiny v případě porušení pravidel pro zpracování dat elektronické komunikace nebo zasílání obchodních sdělení. A až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu skupiny v případě porušení pravidel pro cookies, ochranu důvěrnosti elektronických komunikací nebo nesplnění nápravného opatření uloženého dozorovým úřadem. Jak upřesňuje Robert Bateman, tyto pokuty budou ukládány úřady EU pro ochranu údajů (DPA) a k dispozici bude také řada nefinančních sankcí.
Jak je to s platností nařízení?
Už dříve jsme psali, že nařízení ePrivacy mělo původně nabýt účinnosti zároveň s GDPR, tedy od 25. května 2018, ale tak se nestalo a konečné datum se nestále odkládá. Návrh byl přitom předložen už 10. ledna 2017 a v říjnu téhož roku o něm Evropský parlament začal jednat. Také Rada EU na něm pracovala dohromady se společností Telecommunications and Information Society a v roce 2018 se konalo několik politických debat. Aby se návrh nařízení stal zákonem, musí jej schválit Komise, Parlament a Rada EU.
Jednání se protáhla, došlo také k přepracování nařízení a podle poslední tiskové zprávy se Evropský sbor pro ochranu osobních údajů (EDPB) naposledy zabýval článkem 5 a odstavcem 3 zaměřeným na techniky sledování. Nejedná se jen o cookies a alternativy, ale také například o sledovací odkazy a podobně. Veřejná diskuze trvala do 18. ledna 2024. Po finálním schválení nařízení by mělo platit dvouleté přechodné období.
