toggle menu

Co přináší ePrivacy?  

Co přináší ePrivacy?  
9.5.2019 Technologie

Návrh nařízení ePrivacy je společně s nařízením GDPR součástí legislativního balíčku zaměřeného na ochranu a posílení jednotného digitálního trhu EU. Konkrétním cílem je harmonizovaná úprava ochrany osobních údajů a soukromí v oblasti elektronických komunikací přiměřená aktuálnímu vývoji v technologické a digitální oblasti. V článku, který vyšel v odborném časopise Pojistný obzor, se dozvíte více. 

Pojistný obzor je k přečtení ZDE

Problematiku vymezila Evropská komise jako prioritní ve svém programu prací pro rok 2019[1]. Tato úprava se tedy orientuje nejen na tradiční poskytovatele služeb, ale i na nově vzniklé poskytovatele tak, aby byl aplikovatelný unifikovaný soubor pravidel, která se neliší v závislosti na technologii použité k přenosu. I když návrh ePrivacy nevzbuzuje u spotřebitelů ani poskytovatelů služeb šílenství srovnatelné s GDPR, ovlivní tato staronová regulace širokou škálu subjektů napříč trhem. Vysoká úroveň ochrany údajů a jejich proporcionální zpracování jsou klíčovým faktorem i pro pojistný sektor z hlediska výkonu činností a důvěry spotřebitelů.

Návrh nařízení Evropského parlamentu a Rady EU o respektování soukromého života a o ochraně osobních údajů a elektronických komunikacích a zrušení směrnice 2002/58/ES (ePrivacy) navazuje na průzkum veřejného mínění[2], jejž Evropská komise realizovala na reprezentativním vzorku 26 526 respondentů z různých společenských a demografických skupin v roce 2016. Výsledky průzkumu potvrdily očekávanou potřebu novelizace směrnice Evropského parlamentu a Rady EU 2002/58/ES, o soukromí a elektronických komunikacích[3]. Ačkoliv byl tento předpis aktualizován již v roce 2009, vzhledem k rapidně rychlému vývoji v on-line oblasti a k stoupajícím nárokům subjektů na ochranu jejich soukromí byla vyžadována hlubší změna.

Mohlo by vás zajímat: Swiss Re přichází s parametrickým pojištěním úrovně vody

Následně byl v lednu 2017 publikován návrh nařízení ePrivacy, které kromě komplexnější úpravy problematiky elektronických komunikací, s důrazem na technologickou neutralitu legislativy, přináší i zrušení zmíněné zastaralé směrnice. Jak píšeme v úvodu, primárním smyslem ePrivacy je harmonizovaná úprava ochrany údajů a soukromí podle čl. 7 a 8 Listiny základních práv EU. Nejenom z výsledků průzkumu je patrné, že charakter komunikace a sdílení dat prochází intenzivními změnami, které je potřeba proporcionálně legislativně podchytit tak, aby úprava reagovala na samotný vývoj a zajišťovala ochranu soukromí.

V dnešní digitálně orientované společnosti totiž probíhá čím dál tím větší množství komunikace elektronickou formou. Komunikace obsahuje údaje osobní i neosobní povahy, jež se mohou vyskytovat v primární nebo strukturované podobě (metadata, odvozené údaje, např. čas, lokace, doba a délka volání, volaná čísla či navštívené weby) a být použita k vyhodnocování chování, zvyků, preferencí apod. uživatele. To skýtá nepřeberné možnosti jejich využití ve prospěch samotného uživatele, ale i jejich zneužití. Přísnější úprava ePrivacy proto pokrývá všechny typy elektronické komunikace, bez ohledu na použité technické zařízení, a zavádí ochranu koncových zařízení technologicky neutrální formou.

Mohlo by vás zajímat: Kamera, klapka, pojištění! Každý druhý hollywoodský trhák míří do Allianz

Spojitost s GDPR

EPrivacy svým obsahem a terminologií navazuje kromě GDPR[4] také na Evropský kodex pro elektronické komunikace[5] (dále jen „kodex“), který se promítne do národní úpravy – zákona o elektronických komunikacích[6] a zákona o některých službách informační společnosti[7]. Vůči GDPR je ePrivacy lex specialis; je zvláštním, přednostním předpisem detailně upravujícím konkrétní část obecné úpravy GDPR, a tedy data elektronické komunikace, která lze považovat za osobní údaje. Z důvodu silného propojení obou předpisů bylo nezbytné důkladně vymezit jejich obsah tak, aby nebyly duplicitní, či dokonce vzájemně kontradiktorní. Zároveň bylo třeba zohlednit přiměřenost mezi ochranou osobních údajů a vývojem nových digitálních business modelů. Nařízení se věnuje ochraně koncových zařízení, a to zaručením integrity informací uložených v koncovém zařízení a ochranou informací vysílaných z koncového zařízení, jelikož by mohly umožnit identifikaci koncového uživatele.

EPrivacy jako primární zákonný důvod striktně vymezuje souhlas koncových uživatelů, přičemž přebírá požadavky GDPR k svobodnému souhlasu jakožto konkrétnímu, informovanému a jednoznačnému projevu vůle, odlišitelné od jiných ustanovení a naplňující podmínky srozumitelnosti a snadné přístupnosti za použití jasných a jednoduchých jazykových prostředků. V neposlední řadě je pochopitelně důležitým aspektem i odvolatelnost souhlasu totožně jednoduchou cestou, jakou byl udělen. Úprava ePrivacy je rozšířena o pravidelně se opakující nabídku této možnosti v rozpětí šesti měsíců. Velkým posunem je dále to, že v kontextu ePrivacy nemůže být udělením souhlasu podmíněn přístup ke službám či funkcím.

Mohlo by vás zajímat: AXA ČR a SR 2018: Zisk skupiny vzrostl o 29 % na 725 milionů korun

Následkem toho je zrušení cookie walls a prohloubení současně aplikovaného principu opt-in ve vztahu ke cookies, podle kterého je udělení souhlasu nutné před započetím dotyčného úkonu. Je důležité zmínit výslovný zákaz zpracování údajů na základě oprávněného zájmu nebo plnění smlouvy, jejž Evropský sbor pro ochranu osobních údajů (EDPB) explicitně vyjádřil ve svém stanovisku k ePrivacy[8]. V pokynech k souhlasům WP29[9], předchůdce EDPB, je mj. uvedeno, že z čl. 7 odst. 4 GDPR vyplývá, že situace „svazování“ souhlasu s přijetím podmínek nebo „vázání“ poskytnutí smlouvy nebo služby na žádost o souhlas se zpracováním osobních údajů, jež nejsou nezbytné pro plnění smlouvy nebo poskytnutí služby, je považována za vysoce nežádoucí. Je-li souhlas poskytnut za takové situace, podle bodu 43 odůvodnění se nepovažuje za svobodný.

Ustanovení čl. 7 odst. 4 se snaží zajistit, aby účel zpracování osobních údajů nebyl skrytý ani svázaný s poskytnutím smlouvy nebo služby, pro kterou nejsou tyto osobní údaje nezbytné. GDPR tím zabezpečuje, aby se zpracování osobních údajů, pro které se žádá o souhlas, nemohlo přímo ani nepřímo stát protiplněním smlouvy. Oba tyto právní základy pro právní zpracování osobních údajů, tj. souhlas a smlouva, nemohou být sloučeny a jejich hranice rozostřeny. Na rozdíl od GDPR se nařízení ePrivacy vztahuje také na ochranu právnických osob jako koncových uživatelů, přičemž jsou aplikovány výše popsané podmínky souhlasu podle GDPR. K monitorování dodržování pravidel, která vymezuje ePrivacy, bude na evropské úrovni, totožně jako u GDPR, kompetentní EDPB. Na národní úrovni se bude jednat opětovně o ÚOOÚ v oblasti ochrany osobních údajů, ve spolupráci s příslušným regulačním orgánem zřízeným kodexem – ČTÚ. Úprava sankcí se též shoduje s GDPR.

Čtěte také: Portál Právo pro všechny: Odpovědnost zaměstnance a dohoda o odpovědnosti

Posílení regulace 

U ePrivacy byla, obdobně jako u GDPR, zvolena forma nařízení, jedná se tedy o předpis přímo aplikovatelný v členských státech EU. Tato forma byla zvolena z důvodu překonání fragmentace národních úprav členských států a sjednocení postavení uživatelů, což povede k jejich komfortnějšímu využívání služeb. Obsahem ePrivacy jsou změny v oblasti elektronických komunikací, které dopadnou na výkon pojišťovací činnosti formou zvýšené ochrany subjektu údajů. Konkrétně se jedná o výše popsanou pokrokovou úpravu cookies, obecně i sledovacích cookies (online tracking), u kterých je vyžadováno celkové nastavení v rámci prohlížeče ze strany uživatele viditelnou a jednoduchou cestou. Tím dochází nejenom k prohloubení opt-in principu a cookie walls, ale také k odstranění potřeby souhlasu v případech, kdy se nejedná o cookies zasahující do soukromí uživatele (cookies určené legitimním účelům, např. sledování návštěvnosti webu).

EPrivacy ovšem ovlivní i oblast marketingu. Zavádí posílenou ochranu u marketingových hovorů, kdy je nezbytný předchozí souhlas uživatele u automatizovaných telefonických hovorů, SMS nebo e-mailů, a povinnost zobrazení telefonního čísla nebo speciální předvolby u hovorů marketingové povahy. Ve věci přímého marketingu rovněž dochází ke zpřísnění podmínek. Bude nutno udělit výslovný, jednoduše odvolatelný souhlas s přijímáním nabídek této povahy. Dále dochází ke zpřísnění podmínek pro evidenci kontaktů ve veřejně dostupných seznamech. U softwaru umožňujícího elektronickou komunikaci (weby, aplikace) zavádí ePrivacy možnost kontroly ve věci uchovávání informací v koncovém zařízení koncového uživatele nebo ve zpracovávání informací, které jsou v tomto zařízení již uchovávány od třetích stran.

Mohlo by vás zajímat: Pojištění a fotbal patří k sobě! Zvláště v Bavorsku

Významnou novinkou je zakotvení standardů ochrany soukromí pro dosud neupravené služby (Skype, WhatsApp, Gmail, Viber, Netflix apod.) týkající se nejenom samotného obsahu komunikace, ale i metadat. Cílem je nastavit rovné postavení poskytovatelů totožných služeb, neboť nevhodné použití či nedostatečná úprava podmínek použití metadat mohou mít znatelný dopad na soukromí uživatele[10]; ePrivacy upravuje podmínky udělení souhlasu s jejich použitím (nejedná se ale o situace nezbytné např. pro samotný provoz či vyúčtování služeb). Pro případy neudělení souhlasu je zakotvena povinnost anonymizace nebo výmazu metadat.

EDPB ve svém prohlášení k ePrivacy[11] doporučuje právě využití možnosti anonymizace pro souběžný vývoj inovativních služeb za zachování standardu ochrany soukromí. EPrivacy klade důraz na prevenci spywaru, web bugs, skrytých identifikátorů, zmíněných sledovacích cookies, device fingerprintingu bez vědomí uživatele apod. Konkretizuje i podmínky pro M2M komunikaci, umělou inteligenci a IoT. Podchycení těchto fenoménů na legislativní úrovni indikuje budoucí nárůst frekvence využívání těchto mechanismů.

Možný kámen úrazu

Pro pojistný trh je ale dokument relevantní kromě zajištění požadované úrovně ochrany osobních údajů a soukromí i z pohledu marketingu, především v rozvoji inovativních produktů a služeb. Návrh zavádí úpravu telematiky a koncových zařízení (např. blackboxu). U koncových zařízení je rozhodující podmínka aplikace ePrivacy vymezená čl. 8, který zavádí předpoklad připojení zařízení na veřejnou komunikační síť. U uzavřených, neveřejných (např. firemních) sítí není tedy ePrivacy aplikováno. V kontextu pojistného businessu se jedná o nutnou podmínku určující, zda zpracovávané údaje z blackboxů, popř. obdobných zařízení, spadají pod dikci čl. 8 odst. 2 ePrivacy. Řádné nastavení aplikace předpisu je podstatné pro samotné poskytování služeb tohoto charakteru, avšak v neposlední řadě je důležité uvést i návaznost ustanovení čl. 8 na čl. 23 odst. 2 písm. a) ePrivacy, zakotvující sankce.

Obsahem daného ustanovení je ochrana informací uchovávaných v koncových zařízeních koncových uživatelů a souvisejících s těmito zařízeními. Tento článek upravuje využití funkcí koncového zařízení pro zpracování, uchovávání a shromažďování informací vysílaných koncovým zařízením za účelem umožnění připojení tohoto zařízení. Článek je v parlamentní verzi návrhu koncipován velice široce a je tak složité vymezit, které zpracování se neopírá o využití funkcí koncového zařízení pro zpracování a uchovávání. Subjektům pojistného trhu proto není evidentní právní základ ke zpracování údajů z koncových zařízení. To má dopad především na inovativní pojistné produkty typu telematika v oblasti pojištění vozidel, které vycházejí ze zpracování údajů z koncových zařízení, mobilní aplikace či IoT zařízení.

Mohlo by vás zajímat: Tři oblasti, kde americké pojišťovny selhávají při vyřizování majetkových škod

Jako příklad lze uvést situaci, kdy v rámci pojištění zákonné odpovědnosti z provozu motorových vozidel může být pojistníkovi poskytnuta sleva z pojistného na základě vyhodnocení údajů z blackboxu (rychlost, akcelerace apod.) dokazujících, že se nejedná o rizikového řidiče. Čl. 8 odst. 1 však zakazuje využití funkcí koncového zařízení pro zpracování a uchovávání údajů, není-li splněna některá z podmínek (nezbytnost za účelem uskutečnění přenosu elektronické komunikace, souhlas uživatele, nezbytnost pro poskytování služby informační společnosti požadované koncovým uživatelem nebo nezbytnost pro měření návštěvnosti internetových stránek, za předpokladu, že toto měření je prováděno poskytovatelem služby informační společnosti požadované koncovým uživatelem).

Žádná z těchto výjimek není vhodná k provádění výše popsaných činností. Výjimka nezbytnosti pro poskytování služby informační společnosti požadované koncovým uživatelem není prozatím aplikovatelná, neboť z definice není jasné, zda lze poskytování služeb založených na telematice zařadit zrovna pod služby informační společnosti. Dostáváme se tedy k nouzové výjimce založené na základě souhlasu, kde vznikají obdobné praktické problémy jako u implementace GDPR – jak postupovat v případě neudělení nebo odvolání souhlasu. Výsledkem je tak opětovně nezáviděníhodná situace, která může výrazně zkomplikovat poskytování inovativních služeb s výhodným dopadem na spotřebitele.

Jelikož jsou přednosti využívání telematiky v pojišťovnictví evidentní, je nezbytná úprava tohoto ustanovení tak, aby bylo prakticky využitelné. Toto ustanovení parlamentní podoby návrhu je z hlediska pojistného trhu hodnoceno jako nejvíce problematické, jelikož v současné verzi vede k právní nejistotě pro výkon činnosti pojišťoven. Podle této podoby návrhu nejsou jasné podmínky, které je nutno splnit pro zajištění souladu s nařízením. Navzdory tomu, že rozvoj inovativních produktů se na českém trhu nachází na počátku cesty, je vhodné předcházet možné budoucí překážce. Podle dostupných informací jsou obdobné produkty na českém trhu nabízeny (na základě mobilní aplikace nebo blackboxu) prozatím v omezené míře a fungují právě skrze připojení na veřejnou komunikační síť.

Mohlo by vás zajímat: Německo: Pojištění pro případ péče s vysokým deficitem

Legislativní vývoj návrhu

Insurance Europe důrazně komunikovala složitost této problematické formulace s Radou EU, což přineslo pozitivní výsledek. V průběhu února 2019 byl publikován Radou EU revidovaný text návrhu nařízení. Navržené změny jsou povětšinou zanedbatelné povahy, ale u čl. 8 a navazujícího bodu 21 odůvodnění zohlednila Rada EU uvedené nedostatky původní formulace. Došlo k nahrazení pojmu „služba informační společnosti“ termínem „služba“ a tím k rozšíření dopadu této výjimky. Rada EU uznala, že ne všechny typy služeb, na které by dané ustanovení mělo dopad, lze bez pochybností podřadit kategorii služba informační společnosti.

Poněvadž se z hlediska pojistného trhu jednalo o nejvíce spornou část návrhu nařízení, jde o významný krok pozitivním směrem – nová formulace tak umožní pojistitelům zpracovávat údaje z koncového zařízení bez potřeby souhlasu ze strany uživatele. Další navržené změny textací se týkaly např. bezplatné možnosti omezení přijímání nežádoucích volání, kde byla doplněna podmínka technické proveditelnosti nebo došlo ke specifikaci pravomocí šetření a nápravy u dohledových orgánů. Z hlediska časového vývoje návrhu nařízení – navzdory tomu, že ePrivacy patří mezi priority rumunského předsednictví – existuje nízký předpoklad, že dojde k přijetí finální podoby ePrivacy před volbami do Evropského parlamentu v květnu 2019.

Jelikož je z pohledu pojistného trhu relevantní především zachování formulace Rady EU u čl. 8 ve finální podobě textu nařízení, klade se důraz především na kvalitní finální znění nařízení než na jeho urychlené přijetí v nedomyšlené podobě. Proces digitalizace je legislativně a často i fakticky málo probádanou půdou. Je proto nutné, aby byla přijímána vzájemně si neodporující a i v budoucnu platná legislativní řešení.

Pojistný obzor je k přečtení ZDE

Pro Pojistný obzor
Mgr. Jana Andraščiková, LL.M.
právník, evropská agenda
Česká asociace pojišťoven

[1] Https://ec.europa.eu/info/sites/info/files/cwp_2019_publication_en_0.pdf
[2] Http://ec.europa.eu/COMMFrontOffice/publicopinion/index.cfm/Survey/ getSurveyDetail/instruments/FLASH/surveyKy/2124
[3] Směrnice Evropského parlamentu a Rady EU 2002/58/ES ze dne 12. července 2002, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích).
[4] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[5] Směrnice Evropského parlamentu a Rady (EU) 2018/1972 ze dne 11. prosince 2018, kterou se stanoví Evropský kodex pro elektronické komunikace.
[6] Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).
[7] Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
[8] Https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_ en.pdf
[9] Https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31896
[10] Rozsudek SD EU ve věcech C-293/12 a C-594/12 Digital Rights Ireland a Seitlinger a další, C-203/15 a C-698/15 Tele2 Sverige AB a Secretary of State for the Home Department.
[11] Https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_ en.pdf

Sledujte nás

Facebook Twitter LinkedIn

Komentáře

Přidat komentář

Nejsou žádné komentáře.

RSS

Související články

Pojištění kybernetických rizik: Od rizik k příležitostem
Zpráva EIOPA o vývoji struktury trhu pojišťovacích zprostředkovatelů v EU
ZDPZ: Účinnější ochrana spotřebitele a cesta k vyšší kredibilitě sektoru
Kam kráčíš, compliance?
Jak vhodně řešit rizika leteckého průmyslu?  
Budoucnost začíná nyní: Mimosoudní způsoby řešení sporů  
Internet věcí mění svět pojišťoven i finančních institucí    
Dopady nařízení eIDAS a elektronizace transakcí v pojišťovnictví  
Nahoru