Česká republika: veřejné wifi sítě a GDPR

Čím více se přibližuje květnové datum účinnosti nového evropského nařízení týkajícího se ochrany osobních dat (GDPR), tím častěji se v různých médiích objevují více či méně zasvěcené komentáře o jeho problematičnosti. Jedna z celostátních televizních stanic například zavedla takřka pravidelnou zpravodajskou rubriku, kde informuje o tom, že po 25. Květnu 2018 se její žurnalistické možnosti značně omezí například ve vztahu k informacím o nebezpečných zločinech a jejich pachatelích. Tyto zprávy potvrzují různí „experti“, ač již z řad právnické obce či mimo ní. Většina těchto zpráv je samozřejmě, jemně řečeno, nepřesná. Toto téma si oblíbila i řada politiků, kteří bez zjevné znalosti textu GDPR neváhají vydávat obšírné kritické komentáře. Je jistě legitimním politickým postojem bránit se proti přebujelé regulaci, nicméně je vhodné zvážit, zda tak není dobré činit s alespoň elementární znalostí kritizované matérie.

V nedávné době se v jednom celostátním internetovém deníku[1] objevily tzv. „doom saying“ informace, že GDPR znemožní provozovatelům veřejných wifi sítí (tzv. free access pointů), jako jsou hotely, restaurace či nemocnice, provozovat nezaheslované sítě pro své návštěvníky. Autor článku to zdůvodňuje tak, že provozování takové sítě je samo o sobě v rozporu s novým nařízením. Ze článku s názvem Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty, lze citovat: “provozovatelé restaurací, barů, škol a firem by měli vědět o každém, kdo se připojí na jejich síť a kde všude je dostupné jejich heslo”, či „podle zákona by přitom měli poznat, kdo prostřednictvím jejich wi-fi pošle třeba poplašnou zprávu nebo nelegální obsah. Bez zabezpečení hrozí civilní žaloby od poškozených a v krajním případě i trestní stíhání pro spolupachatelství. Za porušení hrozí pokuta až dvacet milionů eur” či „zabezpečená síť je přitom světovým standardem a podle GDPR dokonce nutností”. Ačkoliv je jasné, že GDPR přináší některé novinky a povinnosti pro správce i zpracovatele osobních údajů a nařízení je poměrně rozsáhlé a detailní, jedním dechem je nutno dodat, že mnoho povinností vyplývajících z GDPR již téměř 20 let existuje (a je mnoha subjekty zcela ignorováno) a GDPR je v zásadě v nezměněné podobě přebírá. Hned dalším dechem je možno podotknout, že tyto výklady se příliš nesetkávají s realitou.

Koncem února dokonce i Úřad pro ochranu osobních údajů vydal dementi k výše uvedenému článku. Regulátor v něm ostře polemizuje s některými informacemi v článku obsaženými. Jedním z nich je to, že GDPR vyžaduje wi-fi síť zabezpečit, tj. zaheslovat. To zcela zřejmě není pravda. Úřad správně argumentuje, že ochrana soukromí vychází z oprávnění na tzv. informační sebeurčení subjektu údajů, přičemž tyto údaje nezadatelně patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť. Dále Úřad správně uvádí, že GDPR se vztahuje na zpracování dat v sítích elektronických komunikací pouze podpůrně. Hlavním evropským předpisem upravující tuto oblast je totiž směrnice o soukromí a elektronických komunikacích č. 2002/58/ES. Tato směrnice již v České republice několik let platí, resp. je implementována v zákoně 127/2005 Sb., o elektronických komunikacích a zákoně 480/2004 Sb., o některých službách informační společnosti. Úřad také informuje, že v současné době probíhá v EU jednání o nahrazení směrnice o soukromí a elektronických komunikacích novým nařízením (odlišným od GDPR). Úřad dále k obsahu článku uvádí, že provozovatel wi-fi sítě přirozeně ví (resp. může vědět, pokud monitoruje provoz) o každém připojeném uživateli. Nicméně filtrace nebo monitoring zpráv provozovatelem wi-fi sítě (aby odhalil například zprávu poplašnou nebo jinak nelegální) naopak povinností provozovatele není. Pokud by provozovatel sledoval obsah přenosů, mohl by se naopak dopustit trestné činnosti v podobě porušení listovního tajemství.

S některými dílčími a marginálními závěry Úřadu by bylo naopak možné jemně polemizovat, a to například s kategorickým vyjádřením ohledně zásadního rozdílu v druhu odpovědnosti za trestněprávní a přestupkové delikty. To nicméně není ve světle výše uvedeného relevantní.

Nakonec se Úřad vyjadřuje ohledně informací obsažených v článku týkajících se výše pokuty. Toto vyjádření je třeba vnímat v širším kontextu. Na jeho základě lze zřejmě do jisté míry předjímat, jak se může český regulátor k problematice sankcí podle GDPR do budoucna stavět. Porušení povinností při provozu wi-fi sítě se dle Úřadu primárně řídí českými právními předpisy a do budoucna se bude řídit nařízením o soukromí a elektronických komunikacích. Informace v článku jsou tak zavádějící. Ale podle regulátora ani při sankcionování podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. Výše pokuty totiž musí být přiměřená závažnosti deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, není 20 000 000 €, nýbrž deset tisíckrát méně (tedy pokuta v řádech desítek tisíc korun).

JUDr. Ing. Jaroslav Tajbr,
Senior Associate

Noerr s.r.o.

Na Poříčí 1079/3a
110 00 Praha 1

Tel.: +420 233 112 111
Fax: +420 233 112 112

_________________________________________________
[1] Dostupné na www, k dispozici >>> zde.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

JUDr. Ing. Jaroslav Tajbr (Noerr)

16. 3. 2018