Článek proto představuje přístup k ochraně osobních údajů založený na kontrole ze strany osoby, které se údaje týkají, a přístup založený na ochraně důvěry vložené v ty, kteří osobní údaje zpracovávají. Následně je diskutována vhodnost obou přístupů pro zajištění ochrany osobních údajů v současné společnosti charakterizované velkým rozsahem zpracování osobních údajů. Autor dospívá k závěru, že přístup založený na kontrole by neměl být dominantním přístupem k ochraně osobních údajů, protože kontrola takového rozsahu zpracování ze strany dotčených osob není možná s ohledem na omezené časové zdroje a limity racionálního rozhodování. Proto navrhuje klást v ochraně osobních údajů důraz na přístup založený na důvěře.
Ten je již široce promítnut do obecné právní úpravy ochrany osobních údajů, nikoli však do oblasti ochrany soukromí a osobních údajů v elektronických komunikacích. Autor proto navrhuje opustit požadavek na souhlas s ukládáním a čtením údajů z koncových zařízení uživatelů služeb elektronických komunikací a nahradit jej vazbou na obecná pravidla ochrany osobních údajů, doplněná výkladem Evropského sboru pro ochranu osobních údajů rozpracovávajícím zásady přístupu založeného na důvěře.
Úvod
K datu 1. ledna 2022 vstoupila v účinnost novela zákona č. 127/2005 Sb. o elektronických komunikacích, ve znění pozdějších předpisů (dále jen "z. el. kom."), která mění znění
§ 89 odst. 3 z. el. kom.
[1] Do tohoto ustanovení byl nově vložen požadavek na získání souhlasu s ukládáním a čtením údajů z koncových zařízení služeb elektronických komunikací.
[2] Praktickým důsledkem této novely je řada nových dialogů žádajících o udělení souhlasu s ukládáním a čtením tzv. cookies,
[3] které zaplavují uživatele českého internetu při vstupu na různé webové stránky.
Obsah novely
§ 89 odst. 3 citovaného zákona přitom není v podstatném rozsahu vlastní tvorbou českého zákonodárce, ale pouze nápravou dřívější chybné transpozice směrnice Evropského parlamentu a Rady
2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) (dále jen "směrnice 2002/58/ES").
[4] Záplava žádostí o souhlas s ukládáním a čtením cookies tak není českým specifikem, ale pouze přiblížením se standardu západní Evropy.
Cílem směrnice 2002/58/ES je v kontextu elektronických komunikací zajistit ochranu základních práv, zejména práva na soukromí a ochranu osobních údajů.
[5] Ve vztahu k ukládání a čtení cookies jde přitom především o zajištění ochrany osobních údajů, protože teprve zpracováním osobních údajů získaných pomocí cookies typicky dochází k případnému zásahu do soukromí.
[6]
Požadavek na získání souhlasu s ukládáním a čtením cookies, vyjádřený v
čl. 5 odst. 3 směrnice 2002/58/ESa transponovaný do
§ 89 odst. 3 z. el. kom., je projevem přístupu k ochraně osobních údajů založeného na kontrole. Jeho podstatou je předpoklad, že ochrana osobních údajů bude nejlépe zajištěna, pokud jednotlivec bude mít možnost rozhodovat o nakládání s údaji, které se ho týkají.
Cílem tohoto článku je ukázat, že přístup založený na kontrole není jediným možným přístupem k ochraně osobních údajů a ačkoli v ní má své místo, neměl by být přístupem dominantním. Dále je cílem tohoto článku poukázat na alternativní přístup založený na ochraně důvěry dotčených jednotlivců v ty, kteří s chráněnými údaji nakládají, a na základě diskuse těchto dvou přístupů předložit návrhy de lege ferenda, jak lépe přistoupit k právní úpravě ukládání a čtení cookies. Tento článek je proto strukturován následovně. První část článku vymezuje pojem ochrany osobních údajů. Druhá část článku pak popisuje základní koncepce ochrany soukromí a diskutuje jejich relevanci v kontextu rozsahu zpracování osobních údajů v současné společnosti. Třetí část článku představuje návrhy de lege ferenda a čtvrtá část shrnuje jeho závěry.
Pojem ochrany osobních údajů
Jak je v právu obvyklé, odpověď na jednoduchou otázku, co to je ochrana osobních údajů, není zdaleka jednoduchá. Historickou perspektivu tohoto pojmu nabízí von Lewinski, který ochranu osobních údajů považuje za regulaci informační asymetrie - jejím cílem je zmírnit nerovnost subjektů práva v případech, kdy jeden z nich disponuje "datovou mocí" (Datenmacht), tedy se dostává do postavení silnější strany vztahu vlivem osobních údajů, kterými disponuje.
[7] Za právní předpis upravující ochranu osobních údajů tak považuje jakýkoli předpis, který omezuje možné dopady datové moci na jednotlivce, přičemž takové právní předpisy je dle von Lewinského možné vysledovat od doby vzniku moderního státu v 19. století.
[8] Obdobně podle Gellerta lze říct, že "předmětem ochrany osobních údajů je jednoduše veškerá společenská újma, která může vzniknout ze zpracování osobních údajů".
[9]
Toto vymezení je však příliš obecné pro diskusi právní úpravy, protože je obtížné pod něj podřazovat jednotlivé skutkové stavy. Praktičtější vymezení nabízí Kasl, dle kterého je ochrana osobních údajů "preventivním právním rámcem veřejnoprávní povahy"
[10], jehož účelem je "preventivní omezení rizika vzniku situací, při kterých dojde k vážnému zásahu do práv a svobod subjektu údajů, jelikož technologický pokrok činí tyto zásahy potencionálně příliš závažné a plošné na to, aby postačovaly nástroje ochrany osobnosti".
[11] Obdobně přistupuje k vymezení ochrany osobních údajů Míšek, dle kterého právo na ochranu osobních údajů "připomíná deštník, který překrývá další základní práva",
[12] protože působí jako prevence před zásahem do těchto dalších základních práv.
[13]
Odvozené právo na ochranu osobních údajů je proto právem "instrumentálním"
[14] - podobně jako právo na spravedlivý proces nevytváří samo o sobě chráněnou hodnotu, ale zajišťuje ochranu jiným právům, respektive hodnotám chráněným základními právy. Tuto ochranu zajišťuje stanovením záruk, které působí preventivně proti zásahům do základních práv, respektive jimi chráněných hodnot prostřednictvím zpracování osobních údajů.
Toto vymezení je však samo o sobě stále málo obsažné, dokud nejsou vymezeny pojmy osobní údaj a zpracování. Ty je v evropském kontextu možné vykládat ve světle platné právní úpravy v podobě nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen "GDPR"). Podle čl. 4 bod 1) GDPR jsou osobními údaji veškeré informace o fyzické osobě, kterou lze přímo či nepřímo identifikovat. Zpracováním je pak podle bodu 2) téhož článku jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů. V souladu s čl. 4 GDPR pak pro přehlednost v dalším výkladu označuji fyzickou osobu, které se osobní údaje týkají, jako subjekt údajů, a osobu, která údaje zpracovává, jako správce.
[15]
Ochranu osobních údajů tedy lze vnímat jako soubor opatření směřujících k prevenci zásahů do základních práv, respektive jimi chráněných hodnot prostřednictvím operací s údaji, které se týkají fyzických osob, jež lze přímo či nepřímo identifikovat. Právo na ochranu osobních údajů je pak na jednu stranu pozitivním právem subjektu údajů na zavedení a dodržování těchto opatření. Toto právo přitom působí jak vertikálně vůči státu, kterému zakládá povinnost přijmout konkrétní legislativu k zavedení těchto opatření, tak horizontálně vůči subjektům zpracovávajícím osobní údaje, kterým z něj plyne povinnost zákonem stanovená opatření dodržovat - tato povinnost pak samozřejmě stíhá i složky státu. Na druhou stranu jej lze vnímat jako právo negativní, jež může jednotlivec uplatňovat proti těm, kteří příslušná opatření nezavedou či porušují.
[16]
Článek byl publikován v časopise Právník č. 6/22. Pokračování je dostupné zde.
[1] Srov. zákon č. 374/2021 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony.
[2] Konkrétně novelizované znění § 89 odst. 3 citovaného zákona ukládá tomu, kdo "hodlá používat nebo používá sítě elektronických komunikací k ukládání údajů nebo k získávání přístupu k údajům uloženým v koncových zařízeních účastníků nebo uživatelů", povinnost získat "od těchto účastníků nebo uživatelů předem prokazatelný souhlas s rozsahem a účelem jejich zpracování" přičemž tato povinnost "neplatí pro technické ukládání nebo přístup výhradně pro potřeby přenosu zprávy prostřednictvím sítě elektronických komunikací nebo je-li to nezbytné pro potřeby poskytování služby informační společnosti, která je výslovně vyžádána účastníkem nebo uživatelem".
[3] Cookies jsou krátké textové soubory, které se ukládají do internetového prohlížeče a lze do nich mimo jiné zapsat údaje, kterým lze konkrétní internetový prohlížeč na konkrétním zařízení jednoznačně identifikovat při opakované návštěvě webové stránky. Při určitém způsobu implementace lze cookies využít ke sledování chování uživatelů internetu napříč webovými stránkami.
[4] K dřívější chybné transpozici srov. např. MÍŠEK, Jakub. Souhlas se zpracováním osobních údajů za časů Internetu. Revue pro právo a technologie. 2014, roč. 5, č. 9. TOMÍŠEK, Jan. Cookies a GDPR. Právní rozhledy. 2018, roč. 26, č. 20.
[5] Srov. bod 2 odůvodnění směrnice 2002/58/ES.
[6] Ochrana osobních údajů je zde primárním právním nástrojem k prevenci zásahů do hodnot, které sekundárně chrání právo na soukromí.
[7] Srov. VON LEWINSKI, K. Geschichte des Datenschutzrechts von 1600 bis 1977. In: Freiheit-Sicherheit-Öffentlichkeit. Nomos, 2009, s. 200.
[8] Srov. ibidem, s. 204.
[9] Srov. GELLERT, R. The Risk-Based Approach to Data Protection. Oxford: Oxford University Press, 2020, s. 18. Obdobně srov. MÍŠEK, Jakub. Moderní regulatorní metody ochrany osobních údajů. Brno: Masarykova univerzita, 2020, s. 48.
[10] Srov. KASL, F. Osobnost, soukromí a osobní údaje v moderní společnosti. In: POLČÁK, R. (ed.). Právo informačních technologií. Praha: Wolters Kluwer, 2018, s. 401.
[11] Srov. ibidem.
[12] Srov. MÍŠEK, J. Moderní regulatorní metody ochrany osobních údajů, s. 51.
[13] Srov. ibidem.
[14] Srov. GELLERT, R. The Risk-Based Approach to Data Protection, s. 18. s odkazem na BENNETT, C. J. Regulating privacy: Data protection and public policy in Europe and the United States. Ithaca: Cornell University Press, 1992, s. 33.
[15] Osobní údaje může samozřejmě zpracovávat i zpracovatel ve smyslu čl. 4 bod 8 GDRP. Pro účely tohoto článku je však toto zjednodušení možné bez újmy na obecnosti.
[16] Uplatnění připadá v úvahu přímo formou výkonu práv subjektu údajů podle čl. 15 až 22 GDPR, případně skrze stížnost k příslušnému dozorovému úřadu podle čl. 77 GDPR nebo soukromoprávní cestou na základě čl. 79 GDPR.
Diskuze k článku ()