Po GDPR přichází ePrivacy nařízení. Utáhne uzdu elektronické komunikaci?
- Datum: 10.03.2021
- Autor: František Nonnemann
Vyšši pokuty. Lepší ochrana elektronické komunikace a uživatelů skrz cookies. Restrikce v zasílání marketingu. To vše ePrivacy výrazně zreguluje. Je na co se připravit? A jak?
Právní základ ePrivacy
Návrh EU nařízení se věnuje ochraně soukromého života a osobních údajů v elektronických komunikacích (ePrivacy nařízení). Aktuálně se dokončuje legislativní proces. Schválení lze očekávat v červnu/červenci 2021, ePrivacy by pak bylo účinné v červenci/srpnu 2021. Současný text není definitivní, zásadní koncepční změny už ale spíše nebudou, jen upřesňování jednotlivých povinností.
Obsah Nařízení ePrivacy v kostce
Nařízení ePrivacy upravuje tři hlavní oblasti, viz níže. Uspíšení implementace do procesů má akcelerovat výrazné zvýšení pokut.
- Zasílání elektronického marketingu
- Ochranu důvěrnosti elektronických komunikací
- Ochranu koncových zařízení uživatelů při používání cookies a podobných technologií
ePrivacy upravuje samostatné právní důvody pro zpracování dat a metadat o elektronické komunikaci a pro přístup k jejímu obsahu (souhlas, nezbytné k zajištění služby, právní povinnost atd.).
ePrivacy upravuje pravidla pro anonymizaci či výmaz dat o elektronické komunikaci, pravidla pro další využití metadat (informování uživatelů, DPIA), zavedení technických a organizačních opatření k ochraně dat (např. pseudonymizace nebo šifrování), posuzování slučitelnosti, pokud mají být metadata použita pro jiný účel (hodnocení původního účelu, okolností shromáždění dat, dopad na uživatele atd.).
Přístup k informacím uložených v zařízení koncových uživatelů, ukládání dat do nich, získávání detailních informací o zařízeních (hardware, software) jen ve vyjmenovaných případech, jako je souhlas, nezbytné zpracování k poskytnutí služby, měření návštěvnosti, bezpečnostní důvody atd.
ePrivacy upravuje detailní pravidla pro posuzování slučitelnosti účelů, pokud provozovatel hodlá data z cookies použít k něčemu dalšímu (pseudonymizace, zákaz profilování atd.)
Zasílání obchodních sdělení (jakýchkoliv zpráv propagujících produkt nebo značku elektronicky, tzn. mail, SMS, Viber atd.) buď:
- Se souhlasem (náležitosti souhlasu dle GDPR)
- Vlastním zákazníků, pokud je jim nabízen obdobný produkt nebo služba, jestliže mají při shromažďování kontaktů možnost odmítnout marketing. Členské státy mohou stanovit lhůtu, pro kterou tak lze dělat
Obchodní sdělení musí obsahovat identifikaci odesílatele, musí být označeno jako obchodní sdělení, adresát musí mít možnost snadno a zdarma odvolat souhlas.
Vyšší pokuty pro hříšníky
A to až do výše 10 milionů euro nebo 2 % ročního celosvětového obratu skupiny v případě porušení pravidel pro zpracování dat elektronické komunikace nebo zasílání obchodních sdělení.
Pokuty až do výše 20 milionů euro nebo 4 % ročního celosvětového obratu skupiny v případě porušení pravidel pro cookies, ochranu důvěrnosti elektronických komunikací, nesplnění nápravného opatření uloženého dozorovým úřadem
František Nonnemann (dlouholetý pracovní ÚOOÚ) situaci komentuje:
Dnes lze za porušení důvěrnosti elektronických komunikací dát pokutu až 50 milionů CZK nebo 10 % z čistého obratu podnikatele (řeší ČTÚ). Za protiprávní zasílání obchodních sdělení je dnes maximální pokuta 10 milionů CZK (řeší ÚOOÚ).
Pokuta za cookies v současném zákoně o elektronických komunikacích není, aplikovalo by se GDPR. Nařízení ePrivacy stanoví stejnou výši pokuty jako GDPR. Ochrana důvěrnosti dat o elektronické komunikaci nyní až 50 milionů CZK nebo 10 % z čistého obratu podnikatele.
Jak pomáháme klientům být ePrivacy "ready"...?
Cookies vs. ePrivacy
Nová pravidla pro cookies a výrazně vyšší pokuty dopadnou na každého, kdo má web. V tuto chvíli lze dle českého zákona zpracovávat na základě opt-in, to ePrivacy změní.
Pokuty za cookies od ÚOOÚ prakticky nikdo nedostal. Pro dosažení souladu bude nutné zmapovat cookies, přejít na opt-in nebo najít jiný právní důvodů, nastavit kolem toho proces, plnit informační povinnost atd.
- ePrivacy školení
- Assessment současného stavu
- Odborná pomoc při implementaci
- ISO 27001 ePrivacy audit a výsledná certifikace jako konkurenčí výhoda
Proč ISO 27701 certifikace:
Certifikát deklaruje, že společnost prošla procesem, který ji pomohl zjistit skutečný stav. Řada společností ani nezná, jaké cookies na webu má, jak dlouho se uchovávají v prohlížeči atd. Tuto práci výrazně usnadní online nástroje třetích stran. Soulad s ePrivacy znamená, že organizace
- Má zavedená a řízení interní governace (předpis, kontroly..)
- Provedla technickou i procesní úpravu pro získávání a evidence souhlasů
- Nastavila legislativně i procesně správně nastavenou informační povinnost
Obchodní sdělení vs. ePrivacy
Pravidla zůstávají stejná, výklad ÚOOÚ je ustálená, jen budou výrazně vyšší pokuty. Největší význam pro organizace má především ePrivacy Assessment a certifikace deklarovaná nezávislým certifikačním orgánem. Pro dotčené společnosti je to logický krok, pokud chtějí mít jistotu, že nedostanou vysokou pokutu.
Ochrana dat o elektronické komunikaci
Poskytovatelů služeb elektronických komunikací je relativně málo. Většina z nich pravidla znají a umí je aplikovat. Stejně jako v předchozím bodu, i zde má význam ePrivacy Assessment a certifikace.