Jednotný digitální trh: přeshraniční obchodování na Internetu z pohledu ochrany osobních údajů Vít Zvánovec, vedoucí oddělení legislativního České Budějovice, 17. 3. 2016
Základní regulace 1/2 • mezinárodní právo soukromé • zákon č. 91/2012 Sb., o mezinárodním právu soukromém • cizí prvek („mezinárodní prvek“ podle § 1 ZMPS)
2
Základní regulace 2/2 • nařízení EU č. 593/2008 o právu rozhodném pro smluvní závazkové vztahy (Řím I) • nařízení EU č. 864/2007 o právu rozhodném pro mimosmluvní závazkové vztahy (Řím II) • nařízení EU č. 1215/2012 o příslušnosti a uznávání a výkonu soudních rozhodnutí v občanských a obchodních věcech (Brusel I)
3
Iniciativa Evropské unie • strategie pro jednotný digitální trh z 6. května 2015: úsilí o reformy elektronického obchodu: – smluvní právo – ochrana spotřebitele
4
Smluvní právo • předloha nařízení Evropského parlamentu a Rady o společné evropské právní úpravě prodeje (CESL), CELEX: 52011PC0635, uvízlo na mělčině • pokus o redukci na nákup on-line: také není příliš slibný (předloha směrnice Evropského parlamentu a Rady o některých aspektech smluv o prodeji zboží online a jinými prostředky na dálku, CELEX: 52015PC0635 5
Ochrana spotřebitele • předloha směrnice Evropského parlamentu a Rady o některých aspektech smluv o poskytování digitálního obsahu, CELEX: 52015PC0634 • předloha nařízení Evropského parlamentu a Rady o zajištění přeshraniční přenositelnosti on-line služeb poskytujících obsah v rámci vnitřního trhu, CELEX: 52015PC0627 – audiovise 6
Další EU regulace • směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích, CELEX 32002L0058) • směrnice Evropského parlamentu a Rady 2006/24/ES, o uchovávání údajů [angl. data retention] vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES (CELEX 32006L0024)
7
Rozhodnutí ESD • Digital Rights Ireland v. Irsko z 8. dubna 2014, sp. zn. C-293/12 • Google v. Costeja z 13. května 2014, sp. zn. C131/12 • Schrems v. irský DPA z 6. října 2015, sp. zn. C362/14
8
Česká právní úprava • zákon č. 101/2000 Sb., o ochraně osobních údajů • zákon č. 40/1995 Sb., o regulaci reklamy • zákon č. 480/2004 Sb., o některých službách informační společnosti: spam • zákon č. 127/2005 Sb., o elektronických komunikacích: oznamování porušení ochrany osobních údajů podle § 88 ZEK 9
Data zákazníků • zásady bezpečnosti – § 13 ZOOÚ • pokud možno nesdružovat – uchovávat odděleně: fysicky i softwarově • pro archivaci platí stejná pravidla jako pro jiné smlouvy: • ihned (ke dni skončení smlouvy) zlikvidovat vše, co není potřeba • ponechat si vše, co: – po dobu promlčení (v zásadě 3 nebo 4 roky) je nezbytné pro vymáhání nároků nebo pro úspěšné bránění práv – je uloženo zákonem (zde nic, pokud se nejedná o dobrovolný archiv)
• po dobu promlčení v registrech údaje zablokovat, nebo převést do jiné database 10
Profilování • zákaz rozhodnutí/opatření na základě automatisovaných zpracování osobních údajů, až na výjimky • § 11 odst. 6 ZOOÚ: „Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatisovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.“ 11 11
Přímý marketing • § 5 odst. 5 ZOOÚ: „Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.“ 12
GDPR • předloha nařízení Evropského parlamentu a Rady o ochraně fysických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) • CELEX: 52012PC0011 • 25. ledna 2012 – 173 bodů preambule – 99 článků 13
Novinky v GDPR • • • • • • • • • •
technologická neutralita × sociální sítě osobní a domácí potřeba × MSMEs zpracovatel: nepodařilo se ho zrušit citlivé údaje × přístup založený na risiku (RBA) přenositelnost: článek 18 GDPR – oprávnění na kopii dat „ve strukturovaném a běžně používaném formátu“ oprávnění být zapomenut pověřenec ochrany dat kodexy chování a dobrovolná pečeť kvality WP-29 přetvořena na EDPB cizí prvek: – hraniční určovatel: hlavní provozovna – jednotné kontaktní místo – mechanismus jednotnosti
14
Úspěchy ČR • na návrh ÚOOÚ prosazovala ČR změnu formy souhlasu se zpracováním osobních údajů (článek 4 odst. 8 GDPR). Předsednictví EU explicitnost zrušilo, s čímž se lze spokojit, • oprávnění na přístup (článek 15 odst. 1a GDPR) – informace o předávání údajů do třetích zemí, • prokazování plnění povinností (článek 22 odst. 2b GDPR) – ČR navrhla, aby k tomu nemohly sloužit auditorské zprávy. 15
ÚOOÚ nesouhlasí • jedná-li se o historické, statistické a přírodovědecké účely, není oprávnění na přístup (článek 15 odst. 5 GDPR) • oprávnění na námitku není v případě veřejnoprávních zpracování (článek 19 odst. 1 GDPR)
16
Konec
Děkuji za pozornost.
17
