Téma regulace cookies nás online marketéry trápí už dlouho, ale protože nemá údajně zásadní oporu v české legislativě, a nebyla nijak vyžadována a trestána, tak ji nikdo neřešil. o nás čeká? Co nám hrozí, když to nebudeme dodržovat? Co české a EU právo?
4. 1. Právní regulace cookies
2. Právní úprava v EU
3. Právní úprava v ČR
4. Cookies jako osobní údaj
5. Nařízení EU
CHSH 2015
5
5. Právní předpisy regulující cookies
a) Právní předpisy EU
• Směrnice č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví
elektronických komunikací ve znění směrnice č. 2006/24/ES a směrnice č.
2009/136/ES (tzv. „e-Privacy směrnice“) – nepřímá aplikovatelnost
• Směrnice č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů – nepřímá aplikovatelnost
• Návrh nařízení o ochraně osobních údajů – přímá aplikovatelnost
CHSH 2015
6
6. Právní předpisy regulující cookies
b) ČR
• Zákon o elektronických komunikacích (č. 127/2005 Sb.) – ochrana osobních údajů
v oblasti elektronických komunikací
• Zákon o ochraně osobních údajů (č. 101/2000 Sb.) – ochrana soukromí uživatelů
při zpracování osobních údajů
CHSH 2015
7
7. Právní úprava EU
• Směrnice č. 2002/58/ES (ve znění účinném do roku 2009)
• Článek 5 odst. 3: „Členské státy zajistí, aby užívání sítí elektronických
komunikací k uchovávání informací nebo získávání přístupu k
informacím uchovávaným v koncovém zařízení účastníka nebo uživatele
bylo povoleno pouze za podmínky, že dotčený účastník či uživatel byl
jasně a úplně informován v souladu se směrnicí 95/46/ES, mimo jiné o
účelech zpracování, a že je mu správcem údajů nabídnuto právo
odmítnout takové zpracování. To nebrání technickému ukládání nebo
takovému přístupu, jehož jediným účelem je provedení nebo usnadnění
přenosu sdělení prostřednictvím sítí elektronických komunikací nebo, je-
li to nezbytně nutné pro poskytování služeb informační společnosti, které
si účastník nebo uživatel výslovně vyžádal.“
CHSH 2015
8
8. Právní úprava EU
• Směrnice č. 2002/58/ES (ve znění směrnice 2009/136/ES)
• Článek 5 odst. 3: „Členské státy zajistí, aby uchovávání informací nebo
získávání přístupu k již uchovávaným informacím bylo v koncovém
zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že
dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly
poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES,
mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo
takovému přístupu, jehož jediným účelem je provedení přenosu sdělení
prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně
nutné k tomu, aby mohl poskytovatel služeb informační společnosti
poskytovat služby, které si účastník nebo uživatel výslovně vyžádal .“
CHSH 2015
9
9. Právní úprava v ČR
• Zákon č. 127/2005 Sb. o elektronických komunikacích (ve znění
účinném do 31. 12. 2011)
• § 89 odst. 3: „Každý, kdo hodlá používat nebo používá sítě
elektronických komunikací k ukládání údajů nebo k získávání přístupu k
údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je
povinen tyto účastníky nebo uživatele předem prokazatelně informovat
o rozsahu a účelu jejich zpracování a je povinen nabídnout jim
možnost takové zpracování odmítnout. Tato povinnost neplatí pro
technické ukládání nebo přístup výhradně pro potřeby provedení nebo
usnadnění přenosu zprávy prostřednictvím sítě elektronických
komunikací nebo je-li to nezbytné pro potřeby poskytování služby
informační společnosti, která je výslovně vyžádána účastníkem nebo
uživatelem.“CHSH 2015
10
10. Právní úprava v ČR
• Zákon č. 127/2005 Sb. o elektronických komunikacích (v aktuálním
znění, po transpozici směrnice 2009/136/ES)
• § 89 odst. 3: „Každý, kdo hodlá používat nebo používá sítě
elektronických komunikací k ukládání údajů nebo k získávání přístupu k
údajům uloženým v koncových zařízeních účastníků nebo uživatelů, je
povinen tyto účastníky nebo uživatele předem prokazatelně informovat o
rozsahu a účelu jejich zpracování a je povinen nabídnout jim možnost
takové zpracování odmítnout. Tato povinnost neplatí pro technické
ukládání nebo přístup výhradně pro potřeby provedení nebo usnadnění
přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-
li to nezbytné pro potřeby poskytování služby informační společnosti,
která je výslovně vyžádána účastníkem nebo uživatelem.“
CHSH 2015
11
11. Cookies jako osobní údaj
• Definice osobního údaje dle zákona o ochraně osobních údajů:
• § 4 písm. a): „Osobním údajem jakákoliv informace týkající se určeného
nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo
určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména
na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho
fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální
identitu.“
• Např. datum narození či rodné číslo, telefonní číslo, e-mailová adresa,
číslo bankovního účtu, fotografie, IP adresa atd. (pokud umožňují byť i
společně s jinými údaji identifikovat konkrétní fyzickou osobu)
CHSH 2015
12
12. Cookies jako osobní údaj
• Povinnosti správce údajů:
• získat předchozí souhlas subjektu údajů
• zpracovávat data v souladu se zákonem a se stanoveným účelem
• zpracovávat data jen po dobu nezbytně nutnou
• přijmout taková opatření, aby nedošlo k neoprávněnému nebo nahodilému
přístupu k osobním údajům (např. interní směrnice)
• informační povinnost vůči subjektu údajů
• oznamovací povinnost vůči Úřad pro ochranu osobních údajů (registrace
prostřednictvím on-line formuláře)
• Sankce:
• pokuta až do výše 10 mil. Kč
CHSH 2015
13
13. Nařízení EU
• Hlavní cíle:
• přizpůsobit právní úpravu technologickému rozvoji
• sjednotit právní úpravu jednotlivých států EU
• zajistit ochranu soukromí při zpracování osobních údajů
CHSH 2015
14
14. Nařízení EU
• Definice osobního údaje (článek 4):
• širší definice než ve směrnici
• zahrnuje mj. i elektronické identifikátory nebo lokalizační údaje
• ne všechny cookies však budou apriori považována za osobní údaje
(viz bod 24 odůvodnění nařízení)
CHSH 2015
15
15. Nařízení EU
• pojetí práva FO v souvislosti se zpracováním osobních údajů
jako základního práva člověka
• harmonizace pravidel napříč státy EU
• aplikace i na správce údajů v třetích zemích
• inspektor ochrany údajů
• evropský orgán dozoru
• povinnost správce údajů oznámit závažnější porušení
• sankce podle závažnosti až do výše 1 000 000 EUR nebo v
případě podniku 2 % celkového ročního světového obratu
CHSH 2015
16