Vážené dámy, vážení pánové,
dovoluji si Vás informovat, že dne 1.1. 2012 začal být účinný zákon č. 468/2011 Sb., kterým došlo mj. k novelizaci zákona o elektronických komunikacích, zákona o ochraně osobních údajů a zákona o službách informační společnosti. Jedná se o poměrně rozsáhlou novelu, ze které jsem vybral některé zajímavé změny, které se dotknou ochrany osobních údajů a zasílání obchodních sdělení.
1) Do zákona o elektronických komunikacích byly kromě dalších změn vloženy ustanovení § 88 odst. 4 až 7, které zavádějí pro podnikatele poskytující veřejně dostupnou službu elektronických komunikací tzv. oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) v případech porušení ochrany osobních údajů fyzických osob. Důsledek pro praxi je tedy takový, že pokud dojde k porušení ochrany osobních údajů (např. ztráta části databáze, proniknutí do databáze ze strany hackera, atd.), tak je poskytovatel povinen takové porušení neprodleně ÚOOÚ oznámit a zároveň v tomto oznámení uvést, jaké má toto porušení důsledky a jaká technická opatření poskytovatel přijal nebo navrhuje přijmout. Zároveň novela zákona řeší druhý stupeň takového porušení, tj. případ, kdy se jedná o porušení ochrany osobních údajů způsobilé ovlivnit zvlášť závažným způsobem soukromí fyzické osoby (tento pojem bude muset být v praxi postupně vyložen, ale lze předpokládat, že půjde např. o únik citlivých údajů, atp.) nebo poskytovatel nepřijal příslušná opatření, kterými lze stav napravit. V tomto případě musí být oznámení o porušení sděleno nejen ÚOOÚ, ale i dotčenému subjektu údajů, o jehož údaje se jedná. Stejně tak i ÚOOÚ může poskytovateli uložit povinnost, aby subjekt údajů o porušení také informoval. Každý poskytovatel veřejně dostupné služby elektronických komunikací povede zároveň evidenci takovýchto porušení, včetně dopadů a informací o přijatých opatřeních. ÚOOÚ je zákonem zmocněn vydat vyhlášku, která upraví přesné podmínky vedení takové evidence. ÚOOÚ zároveň deklaroval, že s ohledem na to, že se jedná o zcela nové regulační opatření, tak další kroky v této věci bude projednávat se sdružením podnikatelů v oblasti elektronických komunikací, s ČTÚ a Ministerstvem průmyslu a obchodu. Lze tedy předpokládat, že v nadcházejících měsících vydá ÚOOÚ k tomuto novému opatření další upřesňující výklad. Pro doplnění uvádím, že o tomto institutu tzv. automatického porušení ochrany osobních údajů se hovořilo již v materiálu Evropské komise nazvaného Komplexní přístup k ochraně osobních údajů v Evropské unii z konce roku 2010. Lze předpokládat, že dle tohoto materiálu se uvedená oznamovací povinnost časem, tj. až bude schválena revize stávající evropské směrnice upravující ochranu osobních údajů, která je z pohledu Evropské komise i dalších orgánů zcela nezbytná, rozšíří i na všechny ostatní správce osobních údajů.
2) V zákoně o ochraně osobních údajů došlo přijetím výše uvedeného zákona č. 468/2011 Sb., také k několika drobným změnám. Za hlavní právní úpravu lze považovat zrušení odst. 3 a 4 ustanovení § 21, které bude v praxi znamenat, že subjekty údajů by se měli, v případě, že mají zato, že došlo k chybě či jiným problémům při zpracování jejich osobních údajů, primárně obracet na správce. ÚOOÚ byl totiž dle dosavadní ne zcela jasné právní úpravy často zahlcován zbytečnými podněty a stížnostmi ze strany subjektů údajů, které mohly být vyřešeny operativně přímo mezi správcem osobních údajů a subjektem údajů. Samozřejmě zůstává nedotčena příslušnost ÚOOÚ v oblasti ochrany osobních údajů, tj. pokud skutečně dojde k neoprávněnému zpracování či neshodám mezi subjektem údajů a správcem, pak bude tyto stížnosti a podněty ÚOOÚ v rámci jeho zákonných pravomocí řešit. V praxi lze od uvedené úpravy očekávat zejména to, že by mělo jít ze strany subjektů údajů o tzv. dvoustupňovou fázi stížností. Pokud neuspěje subjekt údajů u správce nebo pokud došlo k jiným skutečnostem, které nelze řešit se správcem, tak v druhém stupni by se měl subjekt údajů obrátit na ÚOOÚ. Tuto zákonnou úpravu lze považovat za pozitivní, zejména z toho pohledu, že často se přes ÚOOÚ řešily nesmyslné stížnosti, kde šlo mnohdy spíše o určitou odvetu ze strany subjektu údajů a zbytečně byla zahajována i některá správní řízení!
3) Poslední části této aktuality je informace o novele zákona o službách informační společnosti, která řeší zasílání obchodních sdělení. Drobných změn doznaly definice dvou pojmů (změny jsou vyznačeny níže a jedná se o rozšíření definic): Pro účely tohoto zákona se rozumí c) elektronickými prostředky zejména síť elektronických komunikací, elektronická komunikační zařízení automatické volací a komunikační systémy, telekomunikační , koncová zařízení a elektronická pošta f) obchodním sdělením všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost Uvedená novela však zavedla dvě podstatné změny!!!: Tou první je rozšíření sankcí za posílání nevyžádaných obchodních sdělení i na odesílatele fyzické osoby – viz. zcela nové ustanovení § 10 a) níže: (1) Fyzická osoba se dopustí přestupku tím, že bez souhlasu adresáta hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení. (2) Za přestupek podle odstavce 1 lze uložit pokutu do 100 000 Kč. Za zcela revoluční lze však považovat druhou změnu, která se dotýká sankcí za nevyžádaná obchodní sdělení, po které v minulosti i samotný ÚOOÚ několikrát volal. Jde to, že dosud bylo možné postihovat i pouhé jedno zaslání nevyžádaného obchodního sdělení (např. se v databázi několika tisíc e-mailových adres vyskytla jedna chyba, tj. nebyla odstraněna jedna adresa osoby, která o to požádala a pokud si tato osoba stěžovala, ÚOOÚ i takovouto ojedinělou stížnost musel řešit). Nově jsou však sankce omezeny na takové rozesílání obchodních sdělení nesplňujících podmínky zákona, které je buď hromadné nebo opakované. Toto považuji za zcela zásadní změnu. Celé nově formulované ustanovení § 11 od 1.1. 2012 zní: (1) Právnické osobě, která hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení a) bez souhlasu adresáta, b) neoznačené jasně a zřetelně jako obchodní sdělení, c) skrývající nebo utajující totožnost odesílatele, jehož jménem se komunikace uskutečnila, d) neobsahující platnou adresu, na niž by adresát mohl odeslat žádost o ukončení takové komunikace, nebo e) bez toho, že by zákazníkovi poskytla možnost jasně, zřetelně, jednoduchým způsobem, zdarma nebo na svůj účet udělit či odmítnout souhlas s využitím jeho elektronického kontaktu při zaslání každé jednotlivé zprávy, se uloží pokuta do výše 10 000 000 Kč. Pojem hromadnost bude samozřejmě v praxi vyložit, ale v tomto případě půjde čerpat i z některých podobných právních úprav a praxe v rámci EU.
Případně Vám pro úplnost zašleme i vyjádření ÚOOÚ k celé provedené novelizaci.
S úctou
Petr Kůta