Osobní údaje a soukromí v elektronických komunikacích Jakub Klodwig Osnova 1. Elektronické komunikace 2. Data retention 3. Cookies a podobné technologie 4. Výhled do budoucna 5. Praktický příklad Elektronické komunikace Elektronické komunikace 1. Listovní zprávy 2. Telegram -> Telegrafní předpisy (1837) • Zřizování, udržování, provozování telegrafů • Výhradní právo státu + koncese 3. Telefon –> Telekomunikační právo (1876) • 1949 - stát nabyl vlastnictví k telegrafním a telefonním zařízením • Nárůst počtu tel. Stanic z 386.666 v r. 1948 na 1.294.000 v r. 1963 • 2000 - zřízen Český telekomunikační úřad 4. Elektronická komunikace -> právo el. komunikací (2005) Legislativa • Směrnice Evropského parlamentu a Rady 2002/58/ES (Směrnice o soukromí a elektronických komunikacích) • Ve znění směrnice 2009/136/ES • Lex specialis ke směrnici 95/46/ES -> Obecné nařízení o ochraně osobních údajů • Zákon č. 127/2005 Sb., o elektronických komunikacích • Lex specialis k obecné úpravě ochrany soukromí a obecné úpravě osobních údajů • Zákon č. 480/2004 Sb. Zákon o některých službách informační společnosti a o změně některých zákonů • Zasílání obchodních sdělení Směrnice o soukromí a el. komunikacích • Tato směrnice se vztahuje na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích ve Společenství. • Čl. 4 – Bezpečnost • Čl. 5 – Důvěrný charakter sdělení • Čl. 6 – Provozní údaje • Čl. 9 – Lokalizační údaje • Čl. 12 – Účastnické seznamy • Čl. 13 – Nevyžádaná sdělení Zákon o elektronických komunikacích • Digitální ekonomika je založená na dostupnosti dat • Velmi široký, 48 novelizací • Zajištění komunikace, přenos a ukládání obsahu, internet věcí, platební služby, reklama, zpravodajství, … • V současnosti nezbytná podmínka pro téměř jakékoliv podnikání • Základ práva el. komunikací v ČR • Důvodem přijetí byla implementace pěti směrnic EU Zákon o elektronických komunikacích II. • Nevztahuje se na obsah služeb poskytovaných prostřednictvím sítí elektronických komunikací 1. Rámcová směrnice (2002/21/ES) • vytvoření harmonizovaného rámce regulace sítí a služeb elektronických komunikací, přiřazených zařízení a doplňkových služeb, • vymezovala definice pojmů, na které ostatní směrnice předpisového rámce odkazovaly, • stanovila základní úkoly národních regulačních orgánů. • seznam trhů, které EK doporučuje k začlenění Zákon o elektronických komunikacích III. 2. Autorizační směrnice (2002/20/ES) • Cílem je harmonizovat a pravidla a podmínky pro udělování oprávnění v členských státech a tím vytvořit vnitřní trh v této oblasti • Podmínky a práva na užívání rádiových frekvencí a čísel (příděl, poplatky) 3. Přístupová směrnice (2002/19/ES) • Základy regulace přístupu k sítím el. komunikací a jejich vzájemného propojení • Jejím cílem bylo dosažení trvalé hospodářské soutěže • Pravomoci a odpovědnosti národních regulačních úřadů • Práva a povinnosti podniků, zejména operátorů Zákon o elektronických komunikacích IV. 4. Směrnice o univerzální službě (2002/22/ES) • vymezila práva koncových uživatelů • Stanovila povinnosti podnikatelů • Minimální soubor služeb stanovené kvality, za dostupnou cenu, čímž založila povinnost tzv. univerzální služby. 5. Směrnice o soukromí a elektronických komunikacích (2002/58/ES) Zákon o některých službách informační spol. • Odpovědnost poskytovatele služby za obsah přenášených informací • přenos sám iniciuje, • zvolí uživatele přenášené informace, • zvolí nebo změní obsah přenášené informace. • Šíření obchodních sdělení • Pravidla označování • Zakázané praktiky • Lze pouze s předchozím souhlasem nebo u souvisejícího zboží a služeb Data retention Data retention • Plošné a preventivní uchovávání provozních a lokalizačních údajů • 6 měsíců v ČR • Následné využití OČTŘ a dalšími OVS • Provozní údaje • jakékoli údaje zpracovávané pro potřeby přenosu zprávy sítí elektronických komunikací nebo pro její účtování • Metadata o komunikaci • Lokalizační údaje • jakékoli údaje zpracovávané v síti elektronických komunikací nebo službou elektronických komunikací, které určují zeměpisnou polohu telekomunikačního koncového zařízení uživatele veřejně dostupné služby elektronických komunikací • Triangulace, GPS, Wi-Fi Data retention II. • Jaký je váš názor? • Proč ano? • Proč ne? Data retention - legislativa • Směrnice 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí • Zákon č. 127/2005 Sb., o elektronických komunikacích - § 97 odst. 3 a 4 • Zákon č. 141/1961 Sb., trestní řád § 88a Data retention – Ústavní soud ČR • (DR 1) Nejprve v roce 2011 zrušen pro rozpor s ústavou -> novelizace • Podobné s odposlechy • Nebyl jasný účel, kdy se aplikuje • Nedostatečné zabezpečení údajů • Absence informování uživatele • (DR 2) Následně zrušen § 88a TŘ • Rozsudek SDEU C-293/12 - Digital Rights Ireland – zrušení směrnice • Odpadla právní povinnost členských států • (DR 3) Nález US ze dne 14. 5. 2019, sp. zn. Pl.ÚS 45/17, č. 161/2019 Sb. • Česká úprava Data retention je ústavně konformní, návrh zamítl Cookies a jiné metody identifikace koncových zařízení Cookies • jsou soubory uložené do koncového zařízení uživatele, umožňující jeho identifikaci a ukládání dalších informací o jeho činnosti • WP 29: • „Krátký alfanumerický text, který poskytovatel sítě ukládá do koncového zařízení subjektu údajů a později jej odtud znovu získává.“ • Obdobné technologie: • Flash cookies • Fingerprinting • Pigel tag/web beacons • … Cookies II. - dělení • Původce • Prvních stran = pochází od správce navštívené webové stránky • Třetích stran = pochází od jiné webové stránky, než je ta na kterou uživatel aktuálně přistoupil • Délky trvání • Pro relaci =po zavření prohlížeče se hned smaže (10%) • Persistentní = jejich životnost je vázána na předdefinovaný časový úsek (90%) Účel cookies • Nezbytně nutné cookies • Nutné pro správné fungování některých funkcí webové stránky • Výkonnostní cookies • Anonymní informace o použití stránky • Funkční cookies • Přizpůsobené stránky uživateli • Cílené/reklamní cookies • Cílení reklamy Směrnice 2002/58/ES • „Členské státy zajistí, aby užívání sítí elektronických komunikací k uchovávání informací nebo získávání přístupu k informacím uchovávaným v koncovém zařízení účastníka nebo uživatele bylo povoleno pouze za podmínky, že dotčený účastník či uživatel byl jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o účelech zpracování, a že je mu správcem údajů nabídnuto právo odmítnout takové zpracování. …“ • Souhlas musí mít kvalitu dle GDPR Směrnice 2009/136/ES • „Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. …“ • Opt-in/out? § 89 odst. 3 ZEK • „Každý, kdo hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je povinen tyto účastníky nebo uživatele předem prokazatelně informovat o rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost takové zpracování odmítnout. …“ • Opt in/out? Cookies • Opt-out režim (byť v rozporu se směrnicí) • Souhlas musí mít kvalitu souhlasu dle GDPR • Výjimky • technické ukládání • přístup, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací • je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal Souhlas • Svobodný • Musí být přítomna reálná volba • Nesmí být riziko podvodu, nátlaku nebo podstatných negativní důsledků v případě neudělení • Čl. 7 odst. 4: Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. • Určitý • Musí být jasně vymezený rozsah a následky uděleného souhlasu • Není možné pro nepřiměřeně otevřené zpracování • Vědomý a informovaný • Rec. 42: Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. • Rec 58: Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. • Explicitní SDEU – cookies rozhodnutí • Rozsudek Soudního dvora Evropské unie ze dne 1. 10. 2019 ve věci C-673/17 – Planet49 • Potvrzen opt-in • Zákaz předzaškrtnutých políček • Rozšířena informační povinnost (kromě správce, účelu zpracování, kategorií OÚ) také o dobu uložení cookies a informaci zda k nim mají přístup třetí strany • Článek 2 písm. f) a čl. 5 odst. 3 směrnice 2002/58/ES …, musí být vykládány v tom smyslu, že souhlas uvedený v těchto ustanoveních není právoplatně udělen, pokud je ukládání informací nebo přístup k již uloženým informacím v koncovém zařízení uživatele internetových stránek prostřednictvím souborů cookies povoleno předem zaškrtnutým políčkem, jehož zaškrtnutí musí tento uživatel k odmítnutí svého souhlasu zrušit. Jsou cookies osobní údaje? • Širší záběr ustanovení směrnice o el. komunikacích • ne vždy musí jít o osobní údaje • Ochrana soukromí koncového zařízení • Souhlas se zásahem do soukromí, nebo zákonný důvod zpracování OÚ • „Cookies lze podřadit pod pojem osobní údaje” dle ÚOOÚ • „Kontrolující konstatovali, že kontrolovaná osoba získává osobní údaje v souladu s parametry, které jsou stanoveny § 89 odst. 3 zákona č. 127/2005 Sb.; poskytuje subjektům údajů informace v souladu s požadavky uvedeného ustanovení, neboť řádně plní informační povinnost ve smyslu čl. 12–14 nařízení (EU) 2016/679 a informuje subjekty údajů především o rozsahu a účelu zpracování osobních Cookie - shrnutí • Nesoulad směrnice o el. komunikacích a ZEK • U nás v praxi opt-out • Širší záběr ustanovení o ochraně soukromí – ne vždy musí jít o osobní údaje • „Cookies lze podřadit pod pojem osobní údaje” dle ÚOOÚ • Není přítomný jiný právní titul než souhlas (a uvedené výjimky) • Velice nepraktické • Problémy s nedodržováním v praxi (+ pokročilejší metody identifikace) Výhled do budoucna Evropská úroveň - Návrh ePrivacy nařízení • Návrh prvně představený v lednu 2017 první plánovaná účinnost shodně s GDPR • Nepanuje shoda mezi ČS, několik odložení a opětovných oživení • Reflektuje i pokročilejší metody identifikace (vč. fingerprintingu) • Poslední aktuální verze návrhu: 21. 2. 2020 • Výrazná novinka – zapojení oprávněného zájmu do rámce ePrivacy (pro cookies a využívání metadat) • Projednáváno již osmým předsednictvím Národní úroveň – legislativní změny • Implementace Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví evropský kodex pro elektronické komunikace • ÚOOÚ v rámci připomínek požaduje: • Zavedení opt-in režimu na cookies • Zrušení ustanovení § 97 odst. 3 a 4 (data retention) • Určení, že generování náhodných čísel je tvorbou účastnického seznamu • Odstranit duplicity s obecnou úpravou ochrany osobních údajů Děkuji za pozornost • Otázky?