EPRÁVO – informace nejen pro podnikatele.
Doručování do datové schránky podnikající fyzické osoby aneb Ďábel se skrývá v detailu.
Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?
Možnosti nahrazení úředního ověření podpisu elektronickým podpisem v korporátním právu.
Nelegální stahování autorských děl z pohledu trestního práva.
Doručování do datové schránky podnikající fyzické osoby aneb Ďábel se skrývá v detailu.
Jste advokátem s povinně zřízenou datovou schránkou a současně s datovou schránkou fyzické osoby zřízenou na vaši žádost – a domnívali jste se tak, že vám budou orgány veřejné moci doručovat písemnosti jejich prostřednictvím namísto v listinné podobě? Že již nemusíte, například v době dovolené, kontrolovat poštovní schránku? Mohli byste být nepříjemně překvapeni!
Povaha datové schránky a komu je zřizována
Dne 01.07.2009 byl spuštěn Informační systém datových schránek (ISDS), a to na základě zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů (dále jen „zákon o elektronických úkonech a autorizované konverzi dokumentů“ či „ZEÚ“), který je informačním systémem veřejné správy ve smyslu zákona č. 365/2000 Sb., o informačních systémech veřejné správy, v platném znění. Datová schránka poté představuje elektronické úložiště sloužící k odesílání a doručování dokumentů, při němž je zásadní ověření totožnosti vlastníka schránky.
Do 01.01.2023 byly datové schránky zřizovány povinně pouze pro právnické osoby zřízené zákonem, právnické osoby zapsané v obchodním rejstříku (firmy) a organizační složky podniku zahraniční právnické osoby zapsané v obchodním rejstříku[1], a dále pak pro advokáty, statutární auditory, daňové poradce, insolvenční správce, znalce, soudní tlumočníky a soudní překladatele[2].
Subjekty, jimž nebyla datová schránka zřízena povinně, si datovou schránku měly možnost zpřístupnit dobrovolně (na žádost) – a často tak také činily – z důvodu jednodušší komunikace s orgány veřejné moci a taktéž proto, aby měly jistotu, že jim zásilku bude možné spolehlivě doručit například i po změně adresy bydliště či sídla.
Novelou č. 261/2021 Sb., kterou se mění některé zákony v souvislosti s další elektronizací postupů orgánů veřejné moci (dále jen „Novela“), došlo k úpravě ustanovení §4 odst. 1 ZEÚ, kdy datová schránka je povinně s účinností od 01.01.2023 zřizována podnikající fyzické osobě, advokátu, statutárnímu auditorovi, daňovému poradci, insolvenčnímu správci, znalci, soudnímu tlumočníku a soudnímu překladateli. Vedle toho byly datové schránky touto Novelou zřízeny všem právnickým osobám, které jsou zapsané v zákonem stanovené evidenci nebo rejstříku a dosud datovou schránku nemají, tedy například společenstvím vlastníků bytových jednotek, spolkům či nadacím[3].
V ZEÚ je rovněž v této souvislosti stanoveno, že podnikající fyzická osoba, advokát, statutární auditor, daňový poradce, insolvenční správce, znalec, soudní tlumočník a soudní překladatel mají nárok na zřízení jedné datové schránky podnikající fyzické osoby, advokáta, statutárního auditora, daňového poradce, insolvenčního správce, znalce, soudního tlumočníka a soudního překladatele[4].
Povinnost doručování do datové schránky, typy (a podtypy) datových schránek
Po zpřístupnění datové schránky fyzické osoby, podnikající fyzické osoby nebo právnické osoby mají přitom orgány veřejné moci doručovat písemnosti těmto osobám primárně prostřednictvím datové schránky[5].
ZEÚ rozlišuje čtyři typy datových schránek, a to datovou schránku orgánu veřejné moci, datovou schránku fyzické osoby, datovou schránku podnikající fyzické osoby a datovou schránku právnické osoby. Datová schránka advokáta přitom spadá do kategorie datových schránek podnikajících fyzických osob[6].
Podtypy datových schránek následně určil správce datových schránek v tzv. Detailní klasifikaci všech subjektů a přiřazení v Informačním systému datových schránek (dále jen „Detailní klasifikace“)[7]. Datová schránka advokáta, statutárního auditora, daňového poradce, insolvenčního správce, znalce, soudního tlumočníka a soudního překladatele je tzv. datovou schránkou profesní, v případě advokáta jde o datovou schránku typu PFO_ADVOK (31). Podnikajícím fyzickým osobám, které si v minulosti mohly datovou schránku zřídit nepovinně, je po účinnosti Novely povinně zřízena datová schránka typu PFO (30).
K tomu je třeba uvést, že advokátům, jejichž činnost není živností[8], datová schránka podnikající fyzické osoby typu PFO (30) zřízena není. Pokud je pod jejich IČ vedena pouze agenda advokáta, nelze jim datovou schránku typu PFO (30), datovou schránku typu PFO_REQ (50), zřizovanou na žádost pouze zahraničním subjektům, které nemají v ČR přidělené IČ, ani žádnou jinou datovou schránku podnikající fyzické osoby zřídit, a to ani na žádost.
Přestože tak sám ZEÚ schránku povinně zřízenou advokátovi dle již uvedeného označuje jako datovou schránku podnikající fyzické osoby, nejde o ni v pravém slova smyslu, jak rozvedeme dále.
Praktické důsledky rozlišování mezi podtypy datových schránek
Finanční úřad s advokátem ve věcech jeho podnikatelské činnosti může komunikovat písemně, přestože tento advokát má zřízenou schránku podnikající fyzické osoby. Proč tomu tak je? Odpověď nalezneme právě v již výše uvedené Detailní klasifikaci ve spojení s metodickým pokynem Generálního finančního ředitelství č.j.: 35136/11-2110-011826 (dále jen „Metodický pokyn“)[9].
Podle něj je totiž podnikající fyzické osobě se zpřístupněnou (pouze) profesní datovou schránkou podnikající fyzické osoby možno písemnosti týkající se její podnikatelské činnosti doručovat jen obecnými způsoby doručování[10]. Doručování takových písemností do datové schránky fyzické osoby nebo do profesní datové schránky podnikající fyzické osoby elektronicky je v souladu s Metodickým pokynem vyloučeno. Takové písemnosti by bylo možno subjektu doručit pouze do datové schránky podnikající fyzické osoby typu PFO (30). Do profesní datové schránky je možno doručovat pouze písemnosti vztahující se k činnosti advokáta (tedy zástupce subjektu v daňovém řízení).
Advokát s povinně zřízenou datovou schránkou advokáta a na žádost zřízenou datovou schránkou fyzické osoby, komunikující s finančním úřadem již několik let výhradně elektronicky, tak může obdržet do poštovní schránky rozhodnutí finančního úřadu k jeho žádosti ve věci registrace k DPH podané prostřednictvím jeho profesní datové schránky podnikající fyzické osoby. Vzhledem k tomu, že účinky rozhodnutí nastávají doručením rozhodnutí adresátovi, který jej očekává ve schránce datové, mohou být následky případné fikce doručení fatální.
Pro případ, že by finanční úřad doručoval písemnost ve věci podnikatelské činnosti advokáta do profesní datové schránky, či do datové schránky fyzické osoby, jednalo by se o nesprávný postup. Pokud by však adresát písemnost převzal, materiální funkce doručení – tedy seznámení se s obsahem písemnosti – by byla splněna a uvedené pochybení by nemělo vliv na platnost doručení[11]. V případě, že by si adresát písemnost v datové schránce nevyzvedl, nebylo by možno uplatnit fikci doručení[12].
Pro úplnost dodejme, že vyhnout se doručování písemností týkajících se podnikatelské činnosti advokáta ze strany správce daně v listinné podobě prostřednictvím poštovního doručovatele je v současnosti možno pouze tak, že daňový subjekt před správcem daně seznatelným způsobem vyjeví, že písemnosti, které by mu byly doručovány v listinné podobě, mu mají být doručovány do datové schránky. Poté mu již bude správce daně doručovat elektronicky do takto označené datové schránky[13].
Závěrem
Prověření metodických pokynů dalších orgánů veřejné správy a jejich postup při doručování písemností do datových schránek podnikajících fyzických osob, případně v listinné podobě, přesahuje možnosti tohoto příspěvku.
Autorka tímto příspěvkem pouze popisuje praxi jednoho z orgánů veřejné moci, která dle jejího názoru k deklarovanému cíli datových schránek, tj. efektivnější – tedy rychlejší, levnější a spolehlivější veřejné správě, což pozitivně pocítí každý občan a podnikatel, prozatím příliš nepřispívá.
Mgr. Hana Trusíková
advokát
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17
110 00 Praha
Koliště 1912/13
602 00 Brno
tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[1] Srov. ustanovení § 5 odst. 1 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění účinném do 31.12.2022.
[2] Srov. ustanovení §4 odst. 1 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění účinném do 31.12.2022.
[3] Srov. ustanovení § 5 odst. 1 zákona č. 300/2008 Sb., zákona o elektronických úkonech a autorizované konverzi dokumentů, ve znění účinném od 1. ledna 2023
[4] Srov. ustanovení §4 odst. 2 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších změn.
[5] Srov. ustanovení §17 odst. 1 zákona č. 300/2008 Sb., o elektronických úkonech a elektronické konverzi dokumentů, ve znění pozdějších změn.
[6] Srov. ustanovení §1 odst. 1 písm. a) a písm. b) a §3 – §6 zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších změn.
[7] Srov. Provozní řád ISDS, příloha č. 2, dokument WS_vyhledavani_datovych_schranek.pdf, dostupné >>> zde.
[8] Srov. ustanovení §3 odst. 2 písm. c) zákona č. 455/1991 Sb., živnostenský zákon, ve znění pozdějších změn.
[9] Srov. Pokyn GFŘ – D – 7 k postupu správců daně při doručování prostřednictvím datových schránek, dostupné >>> zde.
[10] Srov. ustanovení §39 odst. 1 a odst. 2 zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších změn.
[11] Rozsudek Nejvyššího správního soudu ze dne 16. 12. 2010 č. j. 1 As 90/2010-95.
[12] Závěr č. 86 ze zasedání poradního sboru ministra vnitra ke správnímu řádu ze dne 14.12.2009, dostupné >>> zde.
[13] Srov. ustanovení §44 odst. 3 zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších změn.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Mgr. Hana Trusíková (Doležal & Partners )
23.05.2023
Mezinárodní předávání osobních údajů, aneb ví se už, zda lze předávat osobní údaje z EU do USA?
Aby mohly osobní údaje opustit EU, vyžaduje Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“) dodržování stanovených podmínek, díky kterým je takové mezinárodní předávání osobních údajů legálně možné. Po několika koncepčních změnách však není v současnosti jasné, zda lze bez rizika předávání osobních údajů z EU do USA realizovat. Z hlediska právní regulace je nyní předávání osobních údajů do USA předmětem četných jednání příslušných orgánů EU.
Podle GDPR mohou být předávány osobní údaje z EU do zemí mimo EU pouze v souladu se zvláštními mechanismy předávání osobních údajů. Slovy Evropské komise: „Při předávání osobních údajů mimo Evropský hospodářský prostor se předpokládají zvláštní ochranná opatření, aby se zajistilo, že s údaji cestuje i ochrana. “[1] Jeden z možných mechanismů, který umožňuje předávání osobních údajů mezi EU a třetími zeměmi, je rozhodnutí Evropské komise, že třetí země poskytuje údajům EU odpovídající úroveň ochrany, tj. rozhodnutí Evropské komise o odpovídající ochraně ve smyslu článku 45 GDPR.
K předávání osobních údajů z EU do USA ve smyslu článku 45 GDPR docházelo dříve zejména na základě rozhodnutí Evropské komise 2016/1250 ze dne 12. července 2016, které reflektovalo právní rámec mezi EU a USA označovaný jako tzv. Privacy Shield. Díky tomu mohly americké společnosti relativně pohodlným způsobem přenášet osobní údaje z EU do USA, pokud byly certifikovány v rámci systému Privacy Shield.[2] Zjednodušeně řečeno, během fungování Privacy Shield stačilo, aby příslušná společnost byla uvedena na seznamu zřízeném Ministerstvem obchodu USA, a v důsledku toho bylo předávání osobních údajů vnímáno jako předávání osobních údajů učiněné v souladu s právem EU. Avšak dne 16. července 2020 byl Privacy Shield na základě rozhodnutí Soudního dvora EU (dále jen „SDEU“) ve věci C-311/18 (dále jen „Schrems II“) zrušen. Obecně v tomto rozhodnutí SDEU prohlásil, že Privacy Shield dává možnost vládním orgánům USA získávat v širokém rozsahu data od soukromých amerických společností a že subjekty EU v souvislosti s předáváním osobních údajů nemají vůči orgánům USA k dispozici dostatečně účinnou právní ochranu, čímž USA nezajistily rovnocennou úroveň ochrany údajů a soukromí ve světle Listiny základních práv EU. Aby společnosti mohly i nadále oprávněně předávat osobní údaje do USA, byly nuceny se uchýlit k alternativním mechanismům předávání údajů.
EU-US Data Privacy Framework
Vzhledem k tomu, že USA a EU jsou velmi důležitými obchodními partnery, mělo a stále má narušení oboustranných datových toků zásadní dopad na digitální obchod, jelikož alternativní mechanismy předávání osobních údajů nejsou již tak snadno proveditelné jako předávání osobních údajů na základě rozhodnutí Evropské komise o odpovídající ochraně údajů.
Proto Evropská komise zahájila jednání s příslušnými orgány USA o dalších krocích k aktualizaci či vytvoření obdoby Privacy Shield v souladu s požadavky obsaženými v rozhodnutí Schrems II. V říjnu 2022 bylo v USA vydáno nařízení k zavedení nového rámce na ochranu osobních údajů sdílených mezi USA a EU, který má představovat náhradu výše zmiňovaného Privacy Shield a který odstraňuje nedostatky Privacy Shield zjištěné v rozhodnutí Schrems II.[3] Vydání nařízení odstartovalo na poli Evropské komise proces, jehož cílem je posoudit nový režim představený nařízením a v souvislosti s tím připravit příslušné rozhodnutí, které potvrzuje odpovídající úroveň ochrany osobních údajů v USA. Cílem celého procesu je vnést jistotu a přehlednost do transatlantických toků osobních údajů.
Na konci roku 2022 evropský komisař Didier Reynders zaslal předsedkyni Evropského sboru pro ochranu osobních údajů (dále jen „Sbor“) Andree Jelinek dlouho očekávaný návrh rozhodnutí Evropské komise o odpovídající úrovni ochrany osobních údajů zajištěné společnou dohodou EU-US Data Privacy Framework.[4] Sbor následně dne 28. února 2023 vydal stanovisko, ve kterém vyjádřil potěšení nad skutečností, že mnohé prvky EU-US Data Privacy Framework představují podstatné zlepšení oproti Privacy Shield (například zřízení soudu pro přezkum ochrany údajů, který bude vyšetřovat a řešit stížnosti týkající se přístupu amerických národních bezpečnostních orgánů k osobním údajům, či umožnění přístupu americkým zpravodajským službám k osobním údajům pouze v nezbytných situacích, zejména v případě ohrožení národní bezpečnosti). Avšak i přes tato pozitiva Sbor ve svém stanovisku konstatuje určité obavy a žádá Evropskou komisi o objasnění některých aspektů EU-US Data Privacy Framework.[5]
Než však Evropská komise bude moci přijmout příslušné rozhodnutí o odpovídající ochraně, které umožní volný a bezpečný tok osobních údajů mezi EU a USA, budou se k otázce EU-US Data Privacy Framework ještě vyjadřovat členské státy EU i Evropský parlament.
Jak tedy předávat osobní údaje mezi EU a USA, než bude přijato rozhodnutí Evropské komise o odpovídající ochraně?
Dokud nebude výše zmíněné rozhodnutí o odpovídající ochraně Evropskou komisí přijato, je potřeba za účelem předávání osobních údajů mezi EU a USA využít jiných prostředků. Mezi tyto prostředky se řadí tzv. vhodné záruky podle článku 46 GDPR a tzv. výjimky podle článku 49 GDPR.
V souvislosti s předáváním osobních údajů na základě výjimek podle článku 49 GDPR přijal Sbor Pokyny k derogacím článku 49 GDPR.[6] V těchto pokynech je především zdůrazněno, že výjimky musí být vykládány restriktivně a střídmě, aby se nestaly pravidlem. Navíc ohledně uplatnění výjimky platí, že výjimku je možné aplikovat jen při dodržení v GDPR stanovených pravidel, mezi která patří i podmínka příležitostných neopakujících se převodů a nemožnost založení některého předání na některém z ustanovení článku 45 nebo 46 GDPR.
Vhodné záruky ve smyslu článku 46 GDPR zahrnují různé alternativní nástroje předávání osobních údajů, mezi které spadají i tzv. standardní smluvní doložky o ochraně osobních údajů přijatých Evropskou komisí. Jedná se o vzorové modulární texty smluv, které díky své poměrné jednoduchosti představují velmi využívaný prostředek pro zajištění záruk ochrany osobních údajů při přípravě příslušných smluv v oblasti ochrany osobních údajů. V současnosti se uplatňují standardní smluvní doložky ve verzi z roku 2021, které nahradily původní standardní smluvní doložky, jež byly přijaty ještě před účinností GDPR a nereagovaly adekvátně na technologický a společenský pokrok v oblasti ochrany osobních údajů. Nové standardní smluvní doložky lépe odpovídají různorodým obchodním vztahům mezi správci osobních údajů a jejich dodavateli, protože jsou do jisté míry variabilní.
Ačkoliv standardní smluvní doložky představují relativně jednoduché řešení pro zajištění záruk ochrany osobních údajů, není možné je na konec příslušné smluvní dokumentace pouze zkopírovat, aniž by prošly úpravou ze strany smluvních stran. Vzhledem k tomu, že nelze obecně vymezit veškeré možné předvídatelné situace, pro které smluvní strany standardní smluvní doložky uzavírají, vyžadují tyto, aby do jejich některých částí smluvní strany zasáhly. Je nutné například konkretizovat kategorie předávaných osobních údajů, četnost předávání (např. zda jsou údaje předávány jednorázově či průběžně), dobu, po kterou budou osobní údaje uchovávány, nebo, není-li ji možné určit, kritéria použitá pro stanovení této doby.
Vzhledem k tomu, že SDEU ve výše zmiňovaném rozhodnutí Schrems II v několika bodech odůvodňujících rozhodnutí zdůraznil, že vzhledem k tomu, že samotné uzavření standardních smluvních doložek nemusí stačit k legálnímu předávání osobních údajů, je nezbytné, aby smluvní strany samy posoudily, zda samotné uzavření standardních smluvních doložek představuje v daném případě dostatečný prostředek k zajištění skutečné ochrany předávaných osobních údajů a zda jsou smluvní strany schopné jimi ujednaná práva a povinnosti fakticky realizovat.[7] Osoba vyvážející data si musí zejména ověřit, zda současná právní úprava země, kam jsou osobní údaje odesílány, umožňuje naplnění jednotlivých ustanovení standardních smluvních doložek. Zároveň je nezbytné sledovat vývoj úpravy v dané zemi, protože by mohla nastat situace, kdy by například osoba dovážející údaje nebyla v důsledku nové právní úpravy schopna standardní smluvní doložky řádně realizovat, a v takovém případě by muselo dojít k (po)zastavení přenosu osobních údajů.
V souvislosti se vším výše uvedeným by smluvní strany měly také zajistit nejen vhodná technická opatření (např. náležité šifrování dat při přenosu, ukládání údajů i příslušných metadat v rámci datových center v členském státě EU, pseudonymizaci atd.), ale i opatření organizační (periodické školení pracovníků, stanovení interních pravidel týkajících se přístupu k osobním údajům atd.) a všechna tato opatření by měla být řádně ve smluvní dokumentaci upravena.[8] Avšak některé části standardních smluvních doložek by měly zůstat zcela nedotčené, jelikož v opačném případě hrozí, že by standardní smluvní doložky ztratily svůj smysl, spočívající v zajištění záruk ochrany údajů. V tomto je vzor standardních smluvních doložek relativně návodný.
Závěr
Ačkoliv se pracuje na tom, aby EU-US Data Privacy Framework mohl začít fungovat co nejdříve, je z aktuální situace zřejmé, že řadu jeho aspektů bude potřeba ještě vyjasnit a detailněji rozpracovat. I přesto, že z právního hlediska daná problematika zatím zcela uspokojivě vyřešena není, dle naší zkušenosti přenosy do USA nadále fungují, a to převážně v režimu standardních smluvních doložek o ochraně osobních údajů přijatých Evropskou komisí. S ohledem na poměrně obecné stanovisko Úřadu pro ochranu osobních údajů[9] neočekáváme, že by se v rámci České republiky rozmohla široká sankční praxe. Ostatně to ani nepovažujeme za vhodné s ohledem na stav právní regulace a částečné míry nejistoty. Na druhou stranu doporučení ohledně smluvních podkladů i technického a organizačního zabezpečení dat jsou známá, a dle našeho názoru je tudíž zásadní, aby byla implementována do praxe každého přenosu osobních údajů.
Mgr. Adam Šimice,
advokátní koncipient
Mgr. Igor Pieš,
partner
Kastner & Pieš, advokátní kancelář s.r.o.
International Business Center (IBC)
Pobřežní 620/3
18600 Praha 8
Tel.. +420 737 965 626
e-mail: info@kastnerpies.cz
[1] International transfers of personal data [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[2] WIGAND Christian et al. European Commission launches EU-U.S. Privacy Shield: stronger protection for transatlantic data flows. 2016-07-12 [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[3] Cooper Dan et al. President Biden Signs Executive Order to Implement EU-U.S. Data Privacy Framework. 2022-10-14 [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[4] EU – US Data Privacy Framework a návrh Evropské komise. 2022-12-20 [online]. [cit. 2023-03-29]. Dostupn >>> zde.
[5] Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework. 2023-02-28 [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[6] Pokyny 2/2018 k výjimkám podle článku 49 nařízení (EU)
2016/679. 2018-05-25 [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[7] Zejména se jedná o body č. 126, 128, 130 až 134.
[8] Vyjádření ÚOOÚ k využívání cloudových služeb z pohledu ochrany osobních údajů a povinnostem správce a zpracovatele podle obecného nařízení. [online]. [cit. 2023-03-29]. Dostupné >>> zde.
[9] Vyjádření ÚOOÚ k předávání osobních údajů do třetích zemí v rámci sekce Často kladené otázky [online]. [cit. 2023-03-29]. K dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Mgr. Adam Šimice, Mgr. Igor Pieš (Kastner & Pieš)
10.05.2023
Možnosti nahrazení úředního ověření podpisu elektronickým podpisem v korporátním právu.
Současný trend digitalizace podpisu je bezesporu správným krokem do 21. století – přináší totiž významnou úsporu času a nákladů, odpadá i nutnost osobního jednání, a to jak vůči státní správě, tak v rámci soukromoprávních vztahů. Obsahem a účelem tohoto článku je bližší analýza možnosti nahrazení úředně ověřeného podpisu jeho elektronickým protějškem.
Zákonná úprava využívání elektronických podpisů vychází z Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES („nařízení eIDAS“) a je poměrně jednoduchá, přehledná.
Současná platná úprava počítá s celkem čtyřmi kategoriemi elektronických podpisů, které jsou seřazené podle jejich důvěryhodnosti, tedy (i) kvalifikovaný elektronický podpis (založený na kvalifikovaném certifikátu), (ii) zaručený elektronický podpis založený na kvalifikovaném certifikátu, (iii) zaručený elektronický podpis (který není založený na kvalifikovaném certifikátu) a (iv) prostý elektronický podpis.
Pro účely možného nahrazení úředně ověřeného podpisu elektronickým podpisem lze využít pouze první dva druhy podpisů, a to (i) kvalifikovaný elektronický podpis (založený na kvalifikovaném certifikátu) a (ii) zaručený elektronický podpis založený na kvalifikovaném certifikátu (pro tyto dvě kategorie zákonodárce zavedl legislativní zkratku „uznávaný elektronický podpis“, jak je popsána níže).
Kvalifikovaný elektronický podpis, ve smyslu článku 25 nařízení eIDAS, přestavuje podpis, který má být postaven na roveň vlastnoručnímu podpisu. Technicky jde o zaručený elektronický podpis, který je vytvořen kvalifikovaným prostředkem a současně je založený na kvalifikovaném certifikátu. Specifikem kvalifikovaného elektronického podpisu je, že osoba, která takový dokument podepsala, je s nejvyšší mírou jistoty držitelem kvalifikovaného certifikátu vydaného příslušným poskytovatelem služeb vytvářejících důvěru (certifikační autoritou[1]), a to s ohledem na nutnost využití schváleného hardwarového prvku (jako jsou certifikované čipové karty, USB tokeny, nově vydané občanské průkazy).
Zaručený elektronický podpis (který je založen na kvalifikovaném certifikátu) je takový druh elektronického podpisu, který (i) je jednoznačně spojen s podepisující osobou, (ii) umožňuje identifikaci podepisující osoby, (iii) je vytvořen pomocí dat pro vytváření elektronických podpisů, která podepisující osoba může s vysokou úrovní důvěry použít pod svou výhradní kontrolu a (iv) který se k podepsaným datům připojuje takovým způsobem, jenž umožňuje zjistit jakoukoliv následnou změnu dat.
Na tomto místě je vhodné se zabývat ještě jedním pojmem souvisejícím s probíraným tématem, a tím je uznávaný elektronický podpis. Nejedná se o vlastní kategorii, ale o legislativní zkratku ve smyslu zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce („ZSVD“). Uznávaným elektronickým podpisem se ve smyslu § 6 odst. 2 ZSVD rozumí (i) zaručený elektronický podpis založený na kvalifikovaném certifikátu pro elektronický podpis a (ii) kvalifikovaný elektronický podpis. Pouze uznávaným elektronickým podpisem, kterým je možno s největší mírou jistoty identifikovat podepisující osobu, je možno nahradit úředně ověřený podpis, jak bude rozebráno níže.
Nahrazení úředně ověřeného podpisu elektronickým podpisem
Obecná možnost nahrazení úředně ověřeného podpisu uznávaným elektronickým podpisem existuje až od 1. 2. 2022, kdy nabyl účinnosti § 6 zákona č. 12/2020 Sb., o právu na digitální služby a o změně některých zákonů („DigiSl“).
Právě § 6 odst. 2 DigiSl stanoví, že pokud právní předpis požaduje pro určitou formu jednání úředně ověřený podpis, je možno použít právě uznávaný elektronický podpis, pokud lze s využitím údajů základního registru obyvatel nebo portálu veřejné správy ověřit, že kvalifikovaný certifikát, na jehož základě podepisující osoba vytvořila uznávaný elektronický podpis, patří skutečně podepisujícímu.
Jak již bylo uvedeno výše, elektronické podpisy, které disponují kvalifikovaným certifikátem pro ověření jsou pouze (i) kvalifikovaný elektronický podpis (založený na kvalifikovaném certifikátu), (ii) zaručený elektronický podpis založený na kvalifikovaném certifikátu.
Na toto ustanovení přímo navazuje úprava § 6g zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů („InSVS“), přičemž § 6g odst. 5 InSVS přizná každé fyzické osobě možnost zápisu sériového čísla, vydavatele a platnosti kvalifikovaného certifikátu pro elektronický podpis do portálu veřejné správy.
Samotný zápis sériového čísla, vydavatele a platnosti kvalifikovaného certifikátu pro elektronický podpis do portálu veřejné správy ve smyslu § 6g odst. 5 InSVS je zdarma, proces je relativně snadný, nicméně jedná se o další nutný administrativní úkon, který je navíc pro nahrazení úředně ověřeného podpisu podpisem elektronickým zcela klíčový, i přesto je jednoduché jej opomenout nebo přehlédnout.
Praktická využitelnost při korporátní správě
Co se týče vlastní využitelnosti elektronického podpisu, jako náhrady úředně ověřeného podpisu, zákon zakotvuje pouze jedno výslovné omezení týkající se plné moci. Dle § 6 odst. 3 DigiSl, ve spojení s § 441 odst. 2 věty poslední zákona č. 89/2012 Sb., občanského zákoníku, ve znění pozdějších předpisů, není možné využít elektronický podpis na plné moci, která zmocňuje pro jakýkoliv úkon, pro který je předepsána forma veřejné listiny. Zákonodárce se pro tento krok rozhodl zejména v návaznosti na úvahu, že při úředním ověření podpisu ověřuje nezávislá osoba totožnost a vůli jednající osoby. V případě nahrazení úředně ověřeného podpisu ve smyslu § 6 odst. 2 DigiSl je však takový princip překonán ve prospěch toho, že ověřující „entitou“ je neživý informační systém veřejné správy. Záměrem zákonodárce při zavedení takového omezení bylo především zajistit větší míru bezpečnosti.
Mimo výše uvedené výjimky je tak elektronický podpis možné využít pro podpis všech ostatních korporátních dokumentů, jenž vyžadují úřední ověření podpisu, jako je např. čestné prohlášení a souhlas se zápisem do obchodního rejstříku u členů volených orgánů, případně smlouva o převodu podílu ve společnosti s ručením omezeným.
Jako o zásadním nedostatku lze ale hovořit o velké složitosti – systém elektronických podpisů a správná orientace v něm může být pro běžného uživatele obtížná a jistě brání výraznějšímu rozšíření elektronických podpisů, a to nejen v korporátní sféře.
Jako další nevýhodu lze spatřovat i to, že nahrazení úředního ověření podpisu je možné pouze pro české občany – s ohledem na nutnost zápisu elektronického podpisu a kvalifikovaného certifikátu do registru obyvatel.
Konečně lze zmínit i prozatím ne zcela velkou zkušenost s danou problematikou ze strany orgánů státní správy a rejstříkových soudů. Ne vždy jsou elektronické podpisy jako náhrada za úřední ověření akceptovány zcela bez problémů.
Závěrem
Lze tedy shrnout, že existenci možnosti nahrazení úředního ověření podpisu elektronickým podpisem je jistě kýženým krokem v rámci digitalizace, který i v současné podobě nalezne své platné využití. Smysl dává zejména v případě jeho častého využití, případně pro české občany, kteří pobývají dlouhodobě v zahraničí. Pro své uživatele elektronický podpis přináší celou řadu výhod, kdy po splnění určitých dodatečných podmínek je možné elektronickým podpisem nahradit i úřední ověření podpisu. Současně s tím však nelze přehlížet i současných limitů nahrazení úředně ověřeného podpisu elektronickým, a to zejména při udělování plných mocí, případně při akceptaci elektronicky podepsaných dokumentů ze strany státní správy a soudů.
Mgr. Petr Kučera
Advokát / Associate
Miloslav Pospíšil
Paralegal
ROWAN LEGAL, advokátní kancelář s.r.o.
GEMINI Center
Na Pankráci 1683/127
140 00 Praha 4
Tel.: +420 224 216 212
Fax: +420 224 215 823
e-mail: praha@rowan.legal
[1] Kvalifikované certifikáty. Česká pošta [online]. 2022 [cit. 2023-04-20]. Dostupné >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Mgr. Petr Kučera, Miloslav Pospíšil (ROWAN LEGAL)
10.05.2023
Nelegální stahování autorských děl z pohledu trestního práva.
Snad každý uživatel internetu si někdy stáhl pro svou osobní potřebu film, píseň či fotografii, ti zdatnější pak třeba i počítačový program (např. počítačovou hru). Existují samozřejmě soubory, na které se autorská práva nevztahují, většinou však narazíme na problém, že daný soubor je dílem ve smyslu § 2 zákona č. 121/2000 Sb., autorský zákon (dále jen „autorský zákon“). Dopouští se uživatel, který si autorské dílo stáhne z nelegálního zdroje, protizákonného jednání a pokud ano, může být nelegální stahování postihnutelné předpisy trestního práva?
V dnešní době existuje mnoho placených legálních online platforem s přístupem k autorským dílům (zejména filmům a seriálům) jako je Netflix, HBO GO, Disney+ atd. Další možností, jak získat počítačové soubory, je přístup přes datová úložiště typu Ulož.to. Zde jsou dostupná díla, která mají často nejasný původ a zřejmě chybějící licenční oprávnění k jejich stažení, zato jsou dostupná zdarma. A konečně, existují také weby, kde nahraný autorský obsah je zcela zjevně nelegální, jsou to zejména domény umožňující stažení tzv. torrentů a fungující na principu peer-to-peer (tedy že data proudí přímo od jednotlivých uživatelů k dalším uživatelům). Policie se snaží tyto platformy aktivně potírat, práci jim však komplikuje fakt, že tyto weby jsou často nadnárodní a jejich původce není vůbec snadné vypátrat.
Otázkou, zda je stahování autorského obsahu pro osobní potřebu přípustné, se v minulosti zabýval i Nejvyšší soud, který se vyjádřil v tom smyslu, že v případě zhotovení rozmnoženiny autorského díla toliko pro osobní potřebu ve smyslu § 30 odst. 1, 2 autorského zákona se nejedná o neoprávněný zásah do autorských a souvisejících práv. Zároveň se Nejvyšší soud vyslovil, že autorský zákon nevylučuje legální pořízení většího počtu kopií pro svou osobní potřebu, a to za předpokladu, že to není v rozporu s běžným způsobem užití díla a nejsou tím dotčeny oprávněné zájmy autora. Dle názoru Nejvyššího soudu je pak irelevantní, z jakého zdroje je tato kopie pro osobní potřebu pořízena, tedy může být opatřena i nelegálně (např. stažením autorského díla z internetu). Nesmí se však jednat o kopii počítačového programu, jelikož zhotovení kopie tohoto autorského díla vylučuje samotný autorský zákon v § 66.[1]
Není pak divu, že se široká veřejnost dodnes domnívá, že je stahování z internetu pro svou osobní potřebu v pořádku, když stejný názor zastával i Nejvyšší soud. Výše zmíněný judikát je však dnes již překonaný judikaturou Soudního dvora Evropské unie (dále jen „Soudní dvůr“). Ten vyjádřil názor, že nelegální pořízení kopií, ať už pouze pro svou osobní potřebu, není možno podřadit pod výjimku, jež by toto umožňovala. Svůj závěr odůvodnil tím, že při vytváření výjimek z autorského práva je nutno užít restriktivního výkladu, jelikož autorské právo, do kterého se zasahuje tímto mimořádně zákonem povoleným způsobem, je právem absolutní povahy. Soudní dvůr dále upozornil, že v případě nelegálního stažení autorského díla se autor nedovolá adekvátní náhradní odměny, proto je stahování z nelegálních zdrojů, byť pro vlastní potřebu, nutno potírat.[2]
Soudní dvůr upozornil na nutnost užití tzv. Bernského třístupňového testu, jenž lze považovat za materiální podmínku bezesmluvního užití díla, která musí být naplněna vedle jednotlivých zákonných licencí stanovených v zákoně (formální podmínka). Tři podmínky, jež musí být splněny pro přípustnost výjimky z autorského práva ve prospěch pořízení kopií autorského díla pro svou osobní potřebu, jsou tyto:
- 1) Jedná se o zvláštní případ stanovený v zákoně.
- 2) Užití díla nesmí být v rozporu s běžným způsobem užití díla.
- 3) Oprávněné zájmy autora nesmí být nepřiměřeně dotčeny.
Soudní dvůr dospěl k názoru, že i kdyby byly první dvě podmínky testu splněny, stahování rozmnoženin z nelegálních zdrojů nemůže nikdy splňovat třetí podmínku tohoto testu, jelikož autoři nezískají při stahování děl z nelegálních zdrojů náhradní odměnu, a to se nepřiměřeně dotkne oprávněných zájmů autora bez dalšího. S ohledem na výše uvedené lze uzavřít, že stahování autorského obsahu z nelegálních zdrojů je protizákonné.
Je však takové jednání možno postihnout v trestněprávní rovině?
V judikatuře je věnována pozornost výhradně sdělování díla veřejnosti (nahrávání děl na internet bez svolení autora) a nikoli stahování. To pramení především z nižší společenské škodlivosti stahování, kdy je k němu ze strany orgánů činných v trestním řízení přistupováno v souladu se zásadou subsidiarity trestní represe benevolentněji, jelikož skutek nedosahuje takové společenské škodlivosti, že by se nedalo vyřešit v mantinelech občanskoprávních, příp. správněprávních nástrojů nápravy.
Nelegální stahování by však přece jen mohlo naplňovat skutkovou podstatu § 270 zákona č. 40/2009 Sb., trestní zákoník (dále jen „trestní zákoník“). Toto ustanovení zní „Kdo neoprávněně zasáhne nikoli nepatrně do zákonem chráněných práv k autorskému dílu, uměleckému výkonu, zvukovému či zvukově obrazovému záznamu, rozhlasovému nebo televiznímu vysílání nebo databázi, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.”[3] Pro zjednodušení pracuji v tomto článku pouze s termínem autorské dílo, mé závěry jsou však plně aplikovatelné i pro další práva související s právem autorským ve smyslu §270 trestního zákoníku.
Jak jsem uvedl výše, podmínka zásahu do chráněných práv k autorskému dílu bude v případě stahování splněna, klíčová bude tedy interpretace slovního obratu „nikoli nepatrně“. Aby byla naplněna skutková podstata tohoto trestného činu, musí být zásah nikoli nepatrný. Komentářová literatura k tomuto uvádí, že je nutno posuzovat každý případ individuálně, zejména se musí zohlednit, jakou intenzitou bylo zasaženo do zákonem chráněných práv, jakým způsobem byl čin proveden, následky, jež čin vyvolal ve sféře osobních a majetkových práv autorů, dále zda se jednalo o ojedinělý zásah nebo mají zásahy dlouhotrvající či opakující se charakter. V neposlední řadě bude nutno posoudit i osobu pachatele, způsob a míru jeho zavinění, pohnutku a zda v minulosti již spáchal obdobný čin.[4]
Nutno podotknout, že podmínka nikoli nepatrného zásahu nebude v případě stažení díla koncovým uživatelem zpravidla splněna, jelikož škoda způsobena stažením např. jednoho filmu se pohybuje pouze v řádech korun. Nejvyšší soud totiž dovodil, že při výpočtu škody je nutno vycházet z toho, jakou částku by nositelé autorských práv získali, kdyby sami legálně zpřístupnili stažený obsah srovnatelným způsobem (v případě filmů a seriálů např. prostřednictvím online videopůjčoven) a že výši ušlého zisku není možno počítat z obvyklé ceny hmotného nosiče (např. DVD).[5]
Současně je pro nositele autorských práv výhodnější se hojit na provozovatelích webových platforem, příp. na osobách, které dílo na internet nahrály než na uživatelích, kteří dílo stáhli. Jednotliví uživatelé totiž způsobí stažením díla pouze nepatrnou škodu a bylo by ekonomicky nevýhodné a technicky prakticky nemožné se po každém z nich domáhat náhrady škody. Dne 7. 6. 2021 navíc vstoupila v účinnost směrnice Evropského parlamentu a Rady Evropské unie 2019/790,[6] která mj. poskytovatelům služeb pro sdílení obsahu online stanovuje nové povinnosti. Směrnice stanovuje povinnost poskytovatelům služeb vynaložit „nejlepší úsilí“ směřující k zamezení šíření obsahu porušující autorská práva, jen tak mohou vyloučit svou odpovědnost.
Jak jsem však již nastínil výše, pro běžné uživatele může být problematická situace, kdy uživatel stáhne soubor typu torrent. V okamžiku stažení totiž uživatel zároveň data odesílá dalším uživatelům, čímž dílo rozmnožuje dále.[7] Jakýkoliv uživatel je pak potenciálním spolupachatelem trestného činu, a to ne primárně z důvodu samotného stažení díla, nýbrž z důvodu jeho dalšího sdílení, kdy společné jednání více uživatelů již může splnit podmínku „nikoli nepatrného“ zásahu do autorského práva.[8]
Jaký postih reálně hrozí za samotné nelegální stahování autorského obsahu na internetu?
Lze uzavřít, že stahováním autorských děl vznikne pouze nepatrný zásah do autorských práv, tedy v případě, že uživatel nestahuje torrent soubory a dále je nesdílí, nemusí se obávat trestněprávního postihu. Jednání však může být kvalifikováno jako přestupek ve smyslu autorského zákona. Na stahování autorského díla dopadá § 105a odst. 1 písm. a) autorského zákona a dle tohoto ustanovení lze za neoprávněné užití autorského díla uložit pokutu do výše 150.000 Kč. Zde teoreticky dopadají veškeré zásahy do autorského díla, které nedosahují intenzity „nikoli nepatrného“ zásahu. Tedy v rovině čistě formální se uživatel každým stažením autorského obsahu z nelegálního zdroje dopouští přestupku. V praktické rovině se však stahování obsahu z internetu nevěnuje ze strany příslušných orgánů pozornost a není mi znám jediný případ, kdy by uživatel byl pokutován, či dokonce stíhán pro stahování autorského obsahu pro vlastní potřebu.
Mgr. Bc. Václav Pindur
Advokátní kancelář Brož & Sokol & Novák s.r.o.
Sokolská třída 60
120 00 Praha 2
Tel.: +420 224 941 946
e-mail: advokati@akbsn.eu
________________________________________
[1] Usnesení Nejvyššího soudu ze dne 25. 3. 2009, sp. zn. 5 Tdo 234/2009
[2] Rozsudek Soudního dvora (čtvrtého senátu) ze dne 10. 4. 2014, ACI Adam BV a další v. Stichting de Thuiskopie a Stichting Onderhandelingen Thuiskopie vergoeding, sp. zn. C-435/12
[3] Ustanovení § 270 odst. 1 zákona č. 40/2009 Sb., trestní zákon, ve znění pozdějších předpisů
[4] ŠČERBA, Filip. § 270 [Porušení autorského práva, práv souvisejících s právem autorským a práv k databázi]. In: ŠČERBA, Filip a kol. Trestní zákoník. Komentář. Praha: C. H. Beck, 2020, s. 2152
[5] Usnesení Nejvyššího soudu ze dne 8. 10. 2014, sp. zn.: 5 Tdo 171/2014
[6] Směrnice Evropského parlamentu a Rady Evropské unie 2019/790 ze dne 17. dubna 2019 o autorském právu a právech s ním souvisejících na jednotném digitálním trhu a o změně směrnic 96/9/ES a 2001/29/ES
[7] Ustanovení § 13 zákona č. 121/2000 Sb., autorský zákon, ve znění pozdějších předpisů
[8] SKUPIN, Zdeněk Jiří. Zamyšlení nad okolnostmi vylučujícími protiprávnost při trestněprávním zásahu do autorských práv za použití P2P a zejména klient-server sítí s důrazem na nutnou obranu a krajní nouzi. Trestněprávní revue, 2019, č. 2, s. 27-35
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Mgr. Bc. Václav Pindur (Brož & Sokol & Novák)
12.08.2022
Úřad pro ochranu osobních údajů shrnul pravidla pro udělování souhlasu s použitím cookies prostřednictvím cookies lišty.
Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil shrnutí pravidel pro udělování souhlasu s použitím souborů cookies prostřednictvím tzv. cookies lišty.[1] Ačkoliv se nejedná o vyčerpávající rozbor této problematiky, lze jistě ocenit, že Úřad pro ochranu osobních údajů v poměrně přístupné formě (FAQ) představuje základní pravidla a odpovídá na v praxi často řešené otázky při používání cookies lišty. Přehled toho nejzásadnějšího přibližujeme v tomto příspěvku.
Proč se vlastně souhlas s použitím cookies řeší?
Úplným úvodem je nutné zmínit, že používání souborů cookies je obecně možné – s určitými výjimkami, které budou rozebírány dále – pouze se souhlasem návštěvníka webové stránky, a to s ohledem na pravidla zákona o elektronických komunikacích.[2] Jak přitom uvádí Úřad pro ochranu osobních údajů ve svém shrnutí, používání souborů cookies navíc zpravidla současně představuje zpracování osobních údajů.[3] Souhlas se zpracováním osobních údajů je přitom jedním z právních titulů, na základě kterého mohou být osobní údaje (tedy fakticky cookies) z pohledu pravidel pro nakládání s osobními údaji zpracovávány.[4]
Je tedy zřejmé, že pokud provozovatel webové stránky hodlá na této stránce používat cookies, musí se vypořádat se skutečností, že dle pravidel právních předpisů je možné cookies používat (s určitými výjimkami – viz dále) pouze tehdy, pokud s tím návštěvník webové stránky souhlasí.[5]
Technické vs „netechnické“ cookies
Jedním se základních kritérií pro udělování souhlasu s použitím cookies a fungování tzv. cookies lišty je vymezení účelu, pro který jsou cookies na dané webové stránce používány.
Na základě vymezení účelu používání cookies v zásadě můžeme rozlišit dvě kategorie cookies, a to tzv. technické cookies, které jsou nezbytné pro samotné základní fungování webové stránky a veškeré další cookies – souhrnně označované jako „netechnické“ – sloužící k nejrůznějším účelům jako sledování návštěvnosti, analýze chování návštěvníka na webové stránce, marketing apod.
Jak totiž zdůrazňuje Úřad pro ochranu osobních údajů, pokud webová stránka používá pouze technické cookies, není třeba na webovou stránku cookies lištu vůbec zavádět a souhlas s použitím technických cookies po návštěvníkovi vyžadovat, protože technické cookies mohou být používány i bez souhlasu návštěvníka webové stránky.
Avšak ani používání pouze technických cookies nezbavuje provozovatele webové stránky povinnosti návštěvníka informovat o tom, jakým způsobem jsou v této souvislosti zpracovávány jeho osobní údaje (pokud použitím cookies dochází ke zpracování osobních údajů, což zpravidla dochází). Návštěvník webové stránky tak musí být informován o osobě správce, účelu, právním titulu a době zpracování osobních údajů, svých právech atd. dle požadavků příslušných právních předpisů (zejm. obecného nařízení o ochraně osobních údajů).
Používání cookies lišty
Cookies lišta je poté ve své podstatě jednoduchá aplikace (resp. funkcionalita) webové stránky, která určitým způsobem umožňuje nastavení používání cookies ze strany návštěvníka webové stránky a současně obsahuje příslušné informace o používání cookies (či odkazy na jiná místa webové stránky, kde jsou dané informace k dispozici). Základní funkcí tzv. cookies lišty je však možnost udělení souhlasu či nesouhlasu s použitím cookies ze strany návštěvníka webové stránky.
Vzhledem k tomu, že v praxi bývá použití cookies lišty nastaveno nesprávně, resp. neodpovídá režimu právních předpisů, uvedl Úřad pro ochranu osobních údajů ve svém shrnutí základní pravidla pro to, jak má být fungování cookies lišty nastaveno:
- Tlačítko pro vyjádření nesouhlasu s použitím cookies by mělo mít stejnou „důležitost“ jako tlačítko pro vyjádření souhlasu – jinými slovy, mělo by být stejně jednoduché souhlas s použitím cookies udělit i neudělit.
Toto pravidlo reflektuje praxi některých webových stránek, na kterých tlačítko pro odmítnutí použití cookies (tzn. vyjádření nesouhlasu) úplně chybí či je zobrazeno jako daleko menší, na nepřehledném místě, v jiné barvě apod.
V rámci tohoto pravidla je nutné rovněž doplnit, že jakmile je souhlas udělen, je nutné návštěvníkovi webové stránky umožnit souhlas odvolat stejně jednoduše, jako byl souhlas udělen – tzn. kliknutím na příslušné tlačítko (odkaz); není např. možné pro odvolání souhlasu vyžadovat telefonát či zaslání e-mailu.
- Cookies lišta nesmí bránit interakci se samotnou webovou stránkou ani v případě, kdy návštěvník webové stránky ještě nezvolil žádnou z možností ohledně (ne)souhlasu s použitím cookies.
V praxi se lze setkat s webovými stránkami, které vlastně vůbec není možné navštívit ani na nich nic zobrazit, pokud návštěvník nesouhlasí s použitím cookies. Porušením uvedeného pravidla by však bylo i to, pokud by použití cookies sice bylo možné odmítnout (dle požadavků písm. a) výše), avšak webovou stránku by bylo možné fakticky zobrazit až po odmítnutí.
Tento fenomén bývá v praxi označován jako tzv. cookies wall, když návštěvník nemá vůbec možnost zobrazit webovou stránku, pokud se nevypořádá s nastavením použití cookies. Takové fungování webové stránky je však v rozporu s pravidly příslušných právních předpisů.
- Netechnické cookies se mohou aktivovat až po udělení souhlasu návštěvníka webové stránky.
Toto pravidlo bývá některými provozovateli webových stránek ignorováno, avšak jeho smysl spočívá v tom, že jestliže je použití netechnických cookies vázáno na předchozí souhlas návštěvníka webové stránky, není možné, aby došlo k použití netechnických cookies před tím, než je souhlas udělen. Jestliže navíc souhlas udělen nebude (návštěvník souhlas odmítne udělit či se nevyjádří = nezvolí žádnou možnost na cookies liště), není možné netechnické cookies vůbec použít.
Dané pravidlo neplatí pro technické cookies, které mohou být použity i bez souhlasu návštěvníka webové stránky, avšak pouze pro účely nezbytné pro vlastní provoz webové stránky.
- Návštěvník webové stránky by měl mít možnost vyjádřit nesouhlas s použitím každé jednotlivé cookies, ale i všech cookies najednou.
Provozovatelé webových stránek toto pravidlo vesměs dodržují, avšak stále je možné narazit na webové stránky, na kterých je nutné odmítat použití i několika desítek různých cookies jednotlivě bez možnosti odmítnout použití všech cookies najednou, což samozřejmě odporuje uvedenému pravidlu.
- Souhlas s použitím cookies musí být aktivním úkonem návštěvníka webové stránky
Není možné udělit souhlas s použitím cookies pouze v rámci nastavení prohlížeče, stejně jako není možné udělení souhlasu na cookies liště „předvyplnit“ (např. zaškrtnutím jednotlivých políček) – je vyžadován aktivní úkon návštěvníka webové stránky, kterým souhlas s použitím cookies udělí.
Za udělení souhlasu tudíž nelze považovat ani úkon návštěvníka webové stránky, který cookies lištu „zavře“, aniž by aktivně zaškrtnul políčko (zmáčknul tlačítko) pro souhlas s použitím cookies a tedy ani situaci, kdy si návštěvník prohlíží webovou stránku, aniž by měl jakoukoliv interakci s cookies lištou (tzn. cookies lištu ignoruje).
- V případě, že návštěvník webové stránky použití cookies odmítl, nemělo by být udělení souhlasu s použitím cookies znovu vyžadováno obecně dříve než za 6 měsíců od posledního zobrazení cookies lišty.
Cookies lištu lze tak návštěvníkovi webové stránky znovu zobrazit až po uplynutí uvedené doby s tím, že tato doba může být i kratší pokud se se významně změnila jedna nebo více okolností použití cookies (např. zcela nové nastavení cookies lišty a/nebo účelů zpracování osobních údajů, výrazné omezení počtu dalších zpracovatelů, změna režimu předávání osobních údajů mimo EU apod.) nebo pokud provozovatel webové stránky není schopen sledovat předchozí souhlas/nesouhlas s použitím cookies (např. návštěvník smazal cookies uložené ve svém zařízení).
Úřad pro ochranu osobních údajů současně za přiměřenou dobu, na kterou byl souhlas s použitím cookies udělen, považuje 12 měsíců. Po uplynutí této doby tak již není možné považovat souhlas s použitím cookies za platně udělený a návštěvníkovi webové stránky je nutné cookies lištu zobrazit znovu, aby mohl být souhlas s použitím cookies ze strany návštěvníka webové stránky znovu udělen.
Závěrem
Z výše uvedeného je zřejmé, že ačkoliv se jednotlivá pravidla mohou jevit jako poměrně jasná a jednoznačná, v praxi je více než doporučeno uvažovat nad nastavením fungování cookies lišty poměrně podrobně, aby udělování souhlasu s použitím cookies jejím prostřednictvím bylo v souladu s právními předpisy.
Mgr. Martin Winter advokát
Mgr. Martin Winter,
advokát
Doležal & Partners s.r.o., advokátní kancelář
Růžová 1416/17
110 00 Praha
Koliště 1912/13
602 00 Brno
tel.: +420 222 544 201
e-mail: office@dolezalpartners.com
[2] Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů
[3] Ve smyslu čl. 4 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[4] Cookies jako osobní údaje však mohou být zpracovávány i na základě jiných právních titulů – typicky např. oprávněného zájmu.
[5] Jedná se o tzv. opt-in princip, který byl do českého právního řádu zaveden novelou zákona o elektronických komunikacích s účinností od 01.01.2022. Dříve uplatňovaný opt-out princip (tedy možnost používat cookies, pokud jejich použití návštěvník webové stránky výslovně neodmítl) byl tak v souladu s požadavky na harmonizaci daných pravidel v rámci Evropské unie nahrazen právě opt-in principem.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Mgr. Martin Winter (Doležal & Partners)
17.04.2023