Současná a připravovaná regulace online služeb

Transkript

1 Současná a připravovaná regulace online služeb Zbyněk Loebl Praha P R A H A B R A T S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m Obsah výkladu GDPR PSD 2 EDAS Kybernetická bezpečnost stávající Nařízení E-Privacy Online platformy Copyright Kybernetická bezpečnost připravovaná 2 GDPR Workshop TÜV SÜD 1

2 GDPR Obecné nařízení o ochraně osobních údajů Účinnost od Podrobná harmonizovaná úprava ochrany osobních údajů v EU Zákon o zpracování osobních údajů před schválením mplementace GDPR stále dobíhá ÚOOÚ zahájil první kontroly a udělil první pokuty Hlavní pozornost ÚOOÚ zaměřena na plnění informačních povinností, hladký výkon práv subjektů údajů, opatření k zajištění bezpečnosti zpracování osobních údajů a smlouvy se zpracovateli osobních údajů. 3 PSD 2 Směrnice Evropského parlamentu a Rady o platebních službách na vnitřním trhu mplementace v zákoně č. 370/2017 Sb., o platebním styku (účinnost od ) ČNB seznam regulovaných a registrovaných subjektů finančního trhu EBA Obecné pokyny k bezpečnostním opatřením, Obecné pokyny k pojištění odpovědnosti za škodu a Obecné pokyny ke stížnostem pro údajné porušení Směrnice Návrh Nařízení, kterým se mění nařízení o zřízení Evropského orgánu dohledu pro bankovnictví Posílení pozice Evropského orgánu pro bankovnictví 4 GDPR Workshop TÜV SÜD 2

3 PSD 2 Dopadá na širší okruh služeb a osob (např. platební iniciace) Širší teritoriální působnost (i na platby z a do třetích zemí) Upřesnění a zúžení výjimek z regulace platebních služeb (např. finanční strop pro platby prostřednictvím mobilního telefonu účtované operátorem) Otevření přístupu k bankovním informacím třetím stranám (Third Party Providers) Tato třetí strana musí být klientem autorizovaná Posílení možnosti využívat bankovní služby napříč EU Zvýšení bezpečnosti elektronických plateb silné ověření klienta Snižování rizika podvodných transakcí zejména u online plateb Ochrana citlivých údajů klientů 5 EDAS Nařízení Evropského parlamentu a Rady o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu Účinné od Doplněno zákonem o službách vytvářejících důvěru pro elektronické transakce (297/2016 Sb.) a změnovým zákonem č. 298/2016 Sb. Zákon č. 250/2017, o elektronické identifikaci Účinný od Využití elektronické identifikace Působnost MV a Správy základních registrů Přestupky 6 GDPR Workshop TÜV SÜD 3

4 EDAS Elektronický podpis Nejvyšší forma = kvalifikovaný elektronický podpis Vyžaduje použití kvalifikovaného prostředku (např. čipové karty) Nemá povahu úředně ověřeného podpisu (pouze podpisu vlastnoručního) Uznávaný elektronický podpis Založený na kvalifikovaném certifikátu vydaném tzv. kvalifikovaným poskytovatelem služeb vytvářejících důvěru Jiný typ elektronického podpisu Prostředky používané v soukromoprávních vztazích Kvalifikovaná elektronická pečeť Domněnka integrity dat a správnosti původu Lze jí označit pouze dokument, jehož je dané osoba původcem Elektronické časové razítko Domněnka správnosti udávaného data, času a integrity dat Povinné pro orgány veřejné správy 7 Kybernetická bezpečnost stávající Zákon o kybernetické bezpečnosti č. 181/2014 Sb. Ve znění pozdějších právních předpisů Vyhláška o kybernetické bezpečnosti č. 82/2018 Sb. (implementace Směrnice EU č. 2016/1148) Vyhláška č. 437/2017 Sb. o kritériích pro určení provozovatelů základní služby Vyhláška č. 317/2014 Sb. Novelizovaná vyhl. č. 205/2016 Sb. O významných informačních systémech Dokumenty vydané NBÚ Vytvoření rámce pro celounijní systém kybernetické bezpečnosti 8 GDPR Workshop TÜV SÜD 4

5 Nařízení E-Privacy Nařízení Evropského parlamentu a Rady o soukromí a elektronických komunikacích Pravděpodobný termín účinnosti druhá polovina roku 2019 Lex specialis k GDPR Obě nařízení součástí stejného unijního balíčku předpisů v rámci jednotného digitálního trhu Obecná úprava obsažena v GDPR Úprava důvěrnosti elektronických komunikací jak fyzických osob, tak právnických osob Vytvoření ekvivalentu listovního tajemství i pro oblast moderních způsobů komunikace 9 Nařízení E-Privacy Okruh povinných subjektů rozšíření oproti stávající úpravě volání přes internet aplikace přenášející audiovizuální obsah pomocí internetu OTT služby (např. WhatsApp, Viber, Skype, facebook Massenger) poskytovatelé veřejných a polosoukromých sítí Wi-Fi (např. kavárny, hotely, knihovny, vlaky a autobusy atd.) přístroje komunikující v rámci tzv. internetu věcí (inteligentní domácnosti apod.) 10 GDPR Workshop TÜV SÜD 5

6 Nařízení E-Privacy Důvěrnost obsahu komunikace listovní tajemství Důvěrnost metadat Volaná čísla Navštívené internetové stránky Poloha, čas a datum komunikace Doba volání atd. Nová úprava cookies Povinnost poskytovatelů vyhledávačů umožnit komplexní nastavení v rámci vyhledávače Pro cookies třetích stran vyžadován aktivní souhlas ( opt-in ) s možností souhlas kdykoli odvolat Pro cookies poskytovatele (nezbytné cookies) nebude souhlas potřeba 11 Online platformy Návrh Nařízení Evropského parlamentu a Rady o podpoře spravedlnosti a transparentnosti pro podnikové uživatele internetových zprostředkovatelských služeb Předloženo Evropskou komisí zástupci ČR už návrh schválili Nová pravidla pro vztahy mezi obchodními uživateli a poskytovateli zprostředkovatelských online služeb 3 základní cíle: Spravedlivé a transparentní podnikatelské prostředí pro menší podnikatelské subjekty Účinnější možnosti nápravy Vytvoření předvídatelného a inovativního prostředí v rámci EU pro regulaci zprostředkovatelů online služeb 12 GDPR Workshop TÜV SÜD 6

7 Online platformy Transparentnost Nutnost upravit obchodní podmínky Stanovení důvodů a způsobu informování o vyloučení/přerušení poskytování online služby Oznamování změny v poskytování služeb v přiměřené lhůtě předem (min. 15 dní) Dostupné a srozumitelné zveřejnění obecných zásad a informací o generovaných datech a možnost přístupu k nim (např. o indexaci a kritériích, které ji určují) Řešení sporů Zřízení interního řešení stížností na straně zprostředkovatelů online služeb Středisko EU pro sledování dopadu nově přijímaných pravidel a nových problémů do 3 let posoudí, zda jsou potřeba další opatření Mediace 13 Copyright Návrh Směrnice Evropského parlamentu a Rady o autorském právu na jednotném digitálním trhu Návrh zamítnut a vrácen k projednání orgánům Evropského parlamentu a Rady Hlavní důvod čl. 11 a čl. 13 Další hlasování plánováno na Obecně snaha o snadnější a širší přístup k autorskoprávně chráněným dílům na internetu, a to především za účelem vědy, vzdělání a výzkumu Otázka online platforem umožňujících sdílení a ukládání autorskoprávně chráněných děl uživateli těchto platforem Snaha posílit postavení vydavatelů online zpravodajství a publikací vůči platformám, které tato data vytěžují 14 GDPR Workshop TÜV SÜD 7

8 Copyright Čl. 11 Daň z odkazů Zavádí nová práva vydavatelů online tisku majetková autorská práva Online platformy, jako Google nebo Facebook by musely platit tvůrcům novinových článků, předtím než by mohly na jejich zprávy odkázat, nebo zveřejnit z těchto zpráv výňatky a shrnutí Ochrana práv a příjmů vydavatelů tisku x negativní zkušenost s podobnou úpravou v Německu a ve Španělsku Čl. 13 Kontrola obsahu ukládaného uživateli Poskytovatelé služeb informační společnosti, kteří umožňují ukládání velkého množství autorských děl apod. (např. Youtube a Uložto) povinnost zavést opatření k rozeznávání autorsky chráněného obsahu Povinnost uzavřít smlouvu s autory nebo zamezit přístupu k nelegálně zveřejněnému obsahu Ochrana autorských práv x narušení důvěrnosti ukládaného obsahu a velká finanční zátěž pro poskytovatele těchto platforem 15 Kybernetická bezpečnost připravovaná Návrh Nařízení o Evropské agentuře pro bezpečnost sítí a informací Návrh přijala Evropské komise a jednají o něm vnitřní orgány Evropského parlamentu a Rady Posílení pozice agentury Zlepšení spolupráce a koordinace členských států při řešení kyberkriminality Snaha o zlepšení informovanosti občanů a podniků Vytvoření rámce pro dobrovolný celounijní systém certifikace v oblasti kybernetické bezpečnosti Zvyšování důvěry v produkty a služby a jejich bezpečnost Snížení roztříštěnosti systému certifikace a souvisejících bezpečnostních požadavků a hodnotících kritérií 16 GDPR Workshop TÜV SÜD 8

9 Kybernetická bezpečnost připravovaná Návrh Směrnice o potírání podvodů v oblasti bezhotovostních prostředků platby a jejich padělání Cílem je technologická neutralita tj. aby úprava dopadala nejen na tradiční bezhotovostní platební prostředky ale také na el. peněženky, mobilní platby atd. Rozšíření skutkových podstat trestných činů Harmonizace definic některých online trestných činů Minimální dolní sazby pro nejvyšší tresty ukládané fyzickým osobám Vyjasnění soudní příslušnosti lepší řešení přeshraničních podvodů Zlepšení spolupráce v oblasti trestního soudnictví Zvyšování informovanosti veřejnosti prevence 17 Kybernetická bezpečnost připravovaná Sdělení Komise Maximální využití směrnice o bezpečnosti sítí a informací pomoc při implementaci směrnice (účinná od srpna 2016) Zlepšení vnitrostátních schopností v oblasti kybernetické bezpečnosti Rozvíjení spolupráce na úrovni EU Řízení rizik a hlášení bezpečnostních incidentů Doporučení Komise o koordinované reakci na rozsáhlé kybernetické bezpečnostní incidenty a krize Vytvoření rámce EU pro reakci na kybernetické bezpečnostní krize Důraz na rychlou výměnu informací, zkušeností a na vzájemnou spolupráci Zajištění vnitrostátních mechanismů při řešení kybernetických bezpečnostních incidentů Pravidelná cvičení zaměřená na reakci na rozsáhlé kybernetické bezpečnostní incidenty na vnitrostátní i evropské úrovni 18 GDPR Workshop TÜV SÜD 9

10 Q & A 19 Děkujeme za Vaši pozornost Zbyněk Loebl Zbynek.Loebl@prkpartners.com P R A H A B R A T S L A V A O S T R A V A w w w. p r k p a r t n e r s. c o m GDPR Workshop TÜV SÜD 10

11 Kontakty PRK Partners Česká republika - Praha Jáchymova 26/2, Praha1 tel: prague@prkpartners.com Česká republika - Ostrava 28. října 3346/91, Ostrava 1 tel: ostrava@prkpartners.com Slovensko Hurbanovo námestie 3, Bratislava tel: bratislava@prkpartners.com GDPR Workshop TÜV SÜD 11