Právní ohledy využití dat o návštěvnících a zákaznících JUDr. Pavel Pešek Legal Department Director 11/06/2010
Obsah Základní pojmy zákon na ochranu osobních údajů Základní pojmy zákon o některých službách informační společnosti (zákon o spamu) Důvěrnost komunikací Souhlas a formy jeho získávání Praxe Úřadu na ochranu osobních údajů Praxe a její úskalí Diskuse a zkušenosti z praxe 2
Definice osobní údaje, citlivé údaje, zpracování, účel (zákon č. 101/2000 Sb.) Pojem Osobní údaj Citlivý údaj Definice, příklady, popis jakákoliv informace týkající se určeného nebo určitelného subjektu údajů; subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální (rodné číslo, mobilní telefonní číslo, IP adresa atd.) osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů (např. biometrický údaj, otisky prstů) Zpracování jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky (shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování) Správce Zpracovatel Souhlas každý subjekt, který určuje účel (co, jakým způsobem, pro co, jak dlouho) a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj (Vodafone, T-Mobile, TO2); každý subjekt, který na základě zákona nebo pověření správce zpracovává osobní údaje (call centrum, mediální agentura) svobodný a vědomý projev vůle subjektu údajů (fyzické osoby), jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů (kliknutí na políčko, aktivace služby) Rozhodující jsou účel zpracování údajů stanovený správcem a souhlas subjektu údajů 3
Definice obchodní sdělení, podmínky zasílání obchodních sdělení (zákon č. 480/2004 Sb.) Pojem Obchodní sdělení Elektronický prostředek Podmínky šíření obchodních sdělení Definice, příklady, popis všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností; za obchodní sdělení se považuje také reklama; za obchodní sdělení se nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo image fyzické či právnické osoby nebo podniku, získané uživatelem elektronickými prostředky zejména síť elektronických komunikací, elektronická komunikační zařízení, koncová telekomunikační zařízení a elektronická pošta; 1. v případě získání podrobnosti elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby, je možné podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl (zatím toto není často v praxi využíváno); 2. elektronický kontakt lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas; 3. zřetelné a jasné označení obchodního sdělení (OS); 4. totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo 5. Zaslání z platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány; 4 Obchodní sdělení lze šířit pouze se souhlasem, pokud se nejedná o vlastního zákazníka
Definice důvěrnost komunikací (zákon č. 127/2005 Sb.) Pojem Důvěrnost komunikací Definice, příklady, popis podnikatelé zajišťující veřejné komunikační sítě nebo poskytující veřejně dostupné služby elektronických komunikací jsou povinni zajistit technicky a organizačně důvěrnost zpráv a s nimi spojených provozních a lokalizačních údajů, které se přenášejí prostřednictvím jejich veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací; není přípustné ukládání zpráv nebo jiné druhy zachycení nebo sledování zpráv a s nimi spojených údajů osobami jinými, než jsou uživatelé, bez souhlasu dotčených uživatelů; to nebrání technickému ukládání údajů, které je nezbytné pro přenos zpráv, aniž by byla dotčena zásada důvěrnosti; Důvěrnost přenášených zpráv je zaručena nejen zákonem, ale i ústavou 5
Souhlasy a formy získávání Forma Umístění souhlasu a účelu Uzavřením smlouvy Vyplnění formuláře Účast v marketingové akci všeobecné podmínky; smlouva; formulář; mimo formulář; na www stránce; potvrzení účasti; souhlas s pravidly akce; Aktivací nebo užitím služby nebo aplikace samotné užití; aktivace služby nebo aplikace; Aktivní úkon www stránky; telefonát; atd. Souhlas je nutné uložit a zálohovat a kdykoliv prokázat subjektu údajů nebo Úřadu 6
Praxe Úřadu na ochranu osobních údajů Úřad vytváří nejednotným rozhodováním nebo absencí rozhodnutích v důležitých oblastech právní nejistotu na straně subjektu údajů a na straně správců Mobilní číslo je nebo není osobním údajem? IP adresa je nebo není osobním údajem? Právní nejistota může vést k dalšímu zpřísňování ochrany osobních údajů 7
Praxe a její úskalí Problém Získávání a odvolávání souhlasu Řešení technické a administrativní zajištění všech zákonných povinností evidence souhlasu, odvolání, účely, doba, marketing, aktualizace údajů, zpřístupnění subjektu údajů; Registrace u Úřadu vyplnění příslušných formulářů a oznámení na www.uoou.cz; Informační povinnost informační povinnost vůči subjektu údajů může být splněna již při udělení souhlasu nebo uvedením odkazu na www stránkách; Vnitřní předpisy a opatření zajištění ochrany práv subjektu údajů a povinnosti je informovat formou závazných pokynů nebo interních směrnic; Proškolení příslušných zaměstnanců nebo obchodních partnerů školení nebo e-learning; 8 Zpracování osobních údajů je spojeno s administrativním a technickým zajištěním zákonných povinností
Diskuse a zkušenosti z praxe 9