Příprava na nařízení e-privacy

29.03.2018

Nařízení e-privacy přinese významné úpravy v oblasti ochrany práv fyzických a právnických osob využívajících služeb elektronických komunikací. Je tedy vhodné, aby poskytovatelé a uživatelé těchto služeb věnovali nařízení e-privacy pozornost.

S přibližujícím se nabytím účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation, zkráceně dále "GDPR"), které nastane dne 25. května 2018, vrcholí příprava správců a zpracovatelů osobních údajů fyzických osob na změny v jejich právech a povinnostech.

GDPR je předpisem sjednocujícím právní úpravy zpracování osobních údajů v Evropské unii a sledujícím primárně ochranu fyzických osob, jejichž osobní údaje jsou předmětem jakéhokoli zpracování. GDPR tak reaguje na problematické šíření osobních údajů, jejich zneužívání nebo obchodování s nimi, které může vést například k obtěžování nevyžádanými obchodními nabídkami. Nařízení GDPR bude okamžikem své účinnosti přímo aplikovatelné a k jeho účinnosti tedy není nutná implementace do českého právního řádu. V případě nesouladu s právním řádem ČR má pak GDPR aplikační přednost. V této souvislosti je vhodné zmínit, že povinnosti správců a zpracovatelů osobních údajů nebudou naprostými novinkami v českém právním řádu, jak je mnohdy na veřejnosti prezentováno. V současné době se správci a zpracovatelé osobních údajů řídí zákonem č. 101/2000 Sb., o ochraně osobních údajů, který již řadu povinností správců a zpracovatelů upravuje.

Význam nařízení e-privacy

V souvislosti s GDPR probíhá v současnosti legislativní proces ohledně Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích, někdy nazýváno zkráceně "e-privacy"). Tomuto nařízení, jež bude rovněž přímo aplikovatelné, však není věnováno zdaleka tolik mediální pozornosti jako uvedenému GDPR. E-privacy, které bude představovat "lex specialis" ve vztahu k GDPR, reaguje na významný vývoj v oblasti technologií elektronických komunikací v posledních letech.

Nařízení e-privacy se bude vztahovat na zpracování dat elektronických komunikací prováděné v souvislosti s poskytováním a využíváním služeb elektronických komunikací a na informace související s koncovými zařízeními koncových uživatelů. Daty elektronických komunikací se pak rozumí jednak jejich obsah, tedy např. obsah soukromých zpráv, ale také tzv. metadata, která zahrnují například volaná čísla, navštívené internetové stránky, zeměpisnou polohu, časové údaje volání a zpráv a tak dále.

Oblast elektronických komunikací, která je předmětem úpravy, zahrnuje telefonní služby, jejichž úprava již byla předmětem dřívějších předpisů, ale nově také služby volání přes internet, komunikační aplikace typu Skype, Whatsapp, Messenger, Viber a podobně (někdy nazývány jako "over-the-top služby"). Právní úprava bezpečnosti těchto způsobů komunikace byla dosud nedostatečná, případně zcela absentující. Poskytovatelé těchto služeb budou nově moci zpracovávat data elektronických komunikací pouze z taxativně vyjmenovaných důvodů, zejména pokud je to nezbytné pro účel plnění jimi poskytovaných služeb, udržení kvality služeb, plnění zákonných povinností, ochranu životně důležitých zájmů atd. Jinak bude poskytovatel služeb oprávněn zpracovávat data elektronických komunikací pouze se souhlasem koncového uživatele.

Současná právní úprava

Oblasti práv a povinností, které bude e-privacy upravovat, jsou v současnosti v českém právním řádu upravovány zejména zákonem č. 480/2004 Sb. o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti) a zákonem č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích). Tyto předpisy jsou s ohledem na rychlý technologický vývoj v mnoha ohledech zastaralé. Přijetí nové právní úpravy zajišťující bezpečnost elektronických komunikací je tedy v tomto smyslu pro Českou republiku žádoucí.

Účinnost nařízení e-privacy

Datum účinnosti nařízení e-privacy bylo původně plánováno na 25. května 2018, tedy ve stejném termínu jako GDPR. Dnes je jisté, že tento termín dodržen nebude, a lze očekávat, že e-privacy nenabude účinnosti dříve než v příštím kalendářním roce. Přestože účinnost e-privacy zatím není v dohlednu, je vhodné doporučit, aby se subjekty, jejichž práva a povinnosti budou nařízením e-privacy dotčeny, s jeho aktuálním návrhem seznámily a v rámci přípravy na účinnost GDPR upravily své postupy tak, aby byly na e-privacy včas připraveny.