Směrnice o soukromí a elektronických komunikacích ePrivacy upravuje pravidla pro ochranu soukromí a důvěrnosti v rámci elektronických komunikací, využití cookies a marketingu. Diskuse k aktuální revizi této směrnice z přelomu milénia jsou ale zdlouhavé a situace kolem předpisu není ani jednoduchá, ani přehledná. I z tohoto důvodu vydal vloni v říjnu Evropský sbor pro ochranu osobních údajů novou verzi Pokynů EDPB 2/2023 k technickému rozsahu článku 5 odst. 3 ePrivacy.
Aktuální směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích, ePrivacy) je součástí legislativního rámce Evropské unie zaměřeného na ochranu soukromí a důvěrnosti v oblasti elektronických komunikací. Byla přijata v roce 2002, od té doby se několikrát aktualizovala.
Směrnice je silně provázána[1] s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR), zaměřuje se ale na specifické aspekty. Zaprvé se jedná o ochranu soukromí při elektronické komunikaci – směrnice upravuje způsob, jakým mohou poskytovatelé služeb zpracovávat data, jako jsou e-maily, SMS nebo internetová aktivita. Dále se věnuje cookies a sledovacím technologiím – reguluje ukládání a přístup k informacím na koncových zařízeních uživatelů vyžadujících jejich souhlas dle požadavků GDPR. Kromě toho je věnována i využívání metadat spojených s komunikací, kdy se jedná například o informace o poloze nebo čase spojení. A obsahuje také regulaci nežádoucího marketingu.
Tuto směrnici z přelomu milénia je však třeba modernizovat k posílení ochrany soukromí v digitálním prostředí. Evropský legislativní proces revize probíhá již od roku 2017. Změnit by se měl jak obsah, tak i forma legislativního aktu na unifikující nařízení (tak jako u GDPR). Jednání jsou ale zdlouhavá a datum finální dohody aktualizované verze předpisu nedokážeme ani dnes předpovědět.
I proto byl mezitím aktivní Evropský sbor pro ochranu osobních údajů (EDPB), který v říjnu 2024 vydal novou verzi Pokynů EDPB 2/2023 k technickému rozsahu článku 5 odst. 3 ePrivacy[2].
Potřeba Pokynů EDPB 2/2023
Důvodem, proč EDPB věnoval celé Pokyny jednomu odstavci ePrivacy, je především vzrůstající relevance sledovacích technologií nad rámec cookies. Vznik nových metod sledování, které jednak nahrazují stávající nástroje sledování (například právě cookies), jednak vytvářejí nové obchodní modely, se stal kritickým problémem v oblasti ochrany údajů.
Pokyny se tak věnují právě technickým řešením. Rozšiřují uplatnění ePrivacy, aby reflektovaly současnou povahu digitálního a informačního ekosystému a rostoucí využívání sledovacích technologií mimo cookies.
Ve srovnání s předchozí verzí Pokynů došlo ke zdokonalení definic (například „informace“ či „koncové zařízení účastníka nebo uživatele“), rozšíření na nové technologie (např. sledování URL a pixelů, sledování pouze na základě IP nebo lokální zpracování dat) a přidání konkrétních příkladů či scénářů pro jednodušší implementaci. To má rozhodně význam i z hlediska vyšší právní jistoty při implementaci novějších technologií.
Pokyny je třeba číst mimo jiné i v souvislosti se starším Stanoviskem WP29 č. 9/2014 k uplatňování směrnice 2002/58/ES na otisky zařízení[3]. Toto Stanovisko objasnilo, že snímání otisků prstů spadá do technické oblasti působnosti článku 5 odstavce 3 ePrivacy.
Článek 5 odst. 3 ePrivacy
Článek 5 směrnice ePrivacy upravuje důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Členské státy mají povinnost zakázat příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny.
To doplňuje bod 24 preambule ePrivacy, který uvádí že tento zákaz platí taktéž na špionážní software (spyware), webové štěnice (web bugs), skryté identifikátory a jiné podobné nástroje, které mohou pronikat do koncového zařízení uživatele bez jeho vědomí s cílem získat přístup k informacím, uchovávat skryté informace nebo sledovat činnost uživatele a vážně narušit soukromí těchto uživatelů.
Cílem ustanovení je chránit koncová zařízení uživatelů, protože ta jsou součástí jejich soukromé sféry. To ostatně navazuje i na judikaturu Soudního dvora[4], Evropskou úmluvu o ochraně lidských práv a základních svobod a Listinu základních práv EU.
Pro celkovou představu je dobré zmínit, že tato ochrana dopadá i na právnické osoby.
Konkrétně odstavec 3 upravuje požadavek na členské státy, aby zajistily povolení užívat sítě elektronických komunikací k uchovávání informací nebo získávání přístupu k informacím uchovávaným v koncovém zařízení účastníka nebo uživatele pouze za podmínky, že byl dotčený účastník či uživatel jasně a úplně informován v souladu s GDPR mimo jiné o účelech zpracování a že je mu správcem údajů nabídnuto právo odmítnout takové zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení nebo usnadnění přenosu sdělení prostřednictvím sítí elektronických komunikací nebo, je-li to nezbytně nutné, pro poskytování služeb informační společnosti, které si účastník nebo uživatel výslovně vyžádal.
Odstavec je aplikován, jsou-li kumulativně naplněny 3 podmínky:
- Operace se týká informací. Pokyny objasňují, že tento pojem není omezen pouze na osobní údaje.
- Operace zahrnující „koncové zařízení“ účastníka nebo uživatele, což zahrnuje i posouzení pojmu „veřejná komunikační síť“. Pokyny uvádějí, že koncovým zařízením může být jakékoli zařízení s rozhraním pro připojení k síti, například připojená auta nebo televize, bez ohledu na to, zda je aktuálně připojeno.
- Operace spočívající v „přístupu“ k informacím nebo jejich „ukládání“.
Odstavec je tedy použitelný i na další podobné technologie. Pokyny uvádějí: sledování URL a pixelů, místní zpracování, sledování pouze na základě IP, přerušované a zprostředkované vykazování internetu věcí (IoT) a používání jedinečných identifikátorů. Nejedná se však o výčet taxativní, lze předpokládat, že do budoucna se tento seznam bude rozšiřovat.
Aktuální terminologie
Pokyny interpretují i pojem „koncové zařízení“ jako zařízení přímo nebo nepřímo připojené, popř. připojitelné k rozhraní veřejné telekomunikační sítě[5] za účelem odesílání, zpracovávání nebo přijímání informací; v obou případech (přímém nebo nepřímém) může být spojení provedeno drátem, optickým vláknem nebo elektromagneticky; spojení je nepřímé, pokud je zařízení umístěno mezi koncovým zařízením a rozhraním sítě.[6]
Je vidět, že EDPB se snažil obsáhnout problematiku co nejpraktičtěji. Pokyny také uvádějí, že uživatel nebo účastník může koncové zařízení vlastnit, pronajmout si ho nebo mu může být poskytnuto jiným způsobem. Stejné koncové zařízení může sdílet více uživatelů nebo účastníků. Ochrana se týká koncového zařízení přidruženého k uživateli nebo účastníkovi a nezávisí na tom, zda uživatel nastavil prostředky přístupu (například pokud inicioval elektronickou komunikaci), nebo dokonce na tom, zda si je uživatel vědom uvedených prostředků přístupu.
Koncové zařízení se může skládat z libovolného počtu jednotlivých hardwarových prvků. To může, ale nemusí mít podobu fyzicky uzavřeného zařízení, v němž je umístěn veškerý zobrazovací, výpočetní, úložný a periferní hardware (například chytré telefony, notebooky, síťová úložná zařízení, připojená auta nebo připojené televizory, chytré brýle).
Je zde znatelný zájem na ochraně soukromí uživatelů nejen v souvislosti s důvěrností jejich informací, ale také s ochranou integrity koncového zařízení uživatele.
Ukládání informací ve smyslu článku 5 odstavce 3 směrnice ePrivacy se týká umístění informací na fyzickém elektronickém paměťovém médiu, které je součástí koncového zařízení uživatele nebo účastníka. Informace se obvykle do koncového zařízení uživatele nebo účastníka neukládají přímým přístupem jiné strany do paměti zařízení, ale spíše pokynem softwaru koncového zařízení k vytvoření konkrétní informace. Ukládání probíhající prostřednictvím takových pokynů se považuje za iniciované přímo druhou stranou. To zahrnuje využití zavedených protokolů, jako je ukládání souborů cookies v prohlížeči, i přizpůsobeného softwaru bez ohledu na to, kdo tyto protokoly nebo software na koncovém zařízení vytvořil nebo nainstaloval.
Kromě toho ePrivacy nestanovuje žádný horní ani dolní limit pro dobu, po kterou musí informace přetrvávat na paměťovém médiu, aby byla považována za uloženou, ani omezení pro množství informací, které mají být uloženy.
Stejně tak pojem ukládání nezávisí na typu média, na němž je informace uložena.
„Uloženými informacemi“ se rozumí informace, které již existují v koncovém zařízení, bez ohledu na zdroj nebo povahu těchto informací. To zahrnuje jakýkoli výsledek uložení informací ve smyslu analyzovaného článku ePrivacy.
Praktické příklady použití
EDPB ve svých Pokynech neopomíná ani několik praktických příkladů, díky kterým je možné si lépe představit, jak a kdy relevantní článek ePrivacy aplikovat.
Například se zde uvádí, že síťová komunikace se obvykle opírá o vrstevnatý model, který vyžaduje použití identifikátorů umožňujících správné navázání a provádění komunikace. Komunikace těchto identifikátorů se vzdálenými účastníky je řízena prostřednictvím softwaru podle dohodnutých komunikačních protokolů. Přijímající subjekt nemusí být subjektem, který dává pokyn k odeslání informací. To se může týkat směrovacích identifikátorů, jako je MAC nebo IP adresa koncového zařízení, ale také identifikátorů relace (SSRC, identifikátor webového socketu) nebo autentizačních tokenů.
Stejně tak může aplikační protokol obsahovat několik mechanismů pro poskytování kontextových údajů (například hlavičku HTTP včetně pole „accept“ nebo agenta uživatele), mechanismus ukládání do mezipaměti (například ETag25) nebo jiné funkce (jednou z nich jsou cookies nebo HSTS). Opět platí, že využívání těchto mechanismů při shromažďování informací (například v souvislosti s otisky prstů nebo sledováním identifikátorů zdrojů) může vést k použití článku 5 odstavce 3 ePrivacy.
Na druhou stranu existují souvislosti, kdy místní aplikace nainstalované v koncovém zařízení používají některé informace výhradně uvnitř terminálu, jako je tomu v případě systémových rozhraní API chytrého telefonu (přístup k fotoaparátu, mikrofonu, snímači GPS, přístup k místním souborům, seznamu kontaktů, přístup k identifikátorům atd.). Může to být také případ webových prohlížečů, které zpracovávají informace uložené nebo generované uvnitř zařízení (například cookies, místní úložiště, WebSQL, nebo dokonce informace poskytnuté samotnými uživateli). Použití takových informací aplikací by nepředstavovalo „získání přístupu k již uloženým informacím“ ve smyslu článku 5 odstavce 3 ePrivacy, pokud tyto informace neopustí zařízení, ale v případě přístupu k těmto informacím nebo jakémukoli jejich odvození by se dotčené ustanovení uplatnilo.
K sledování URL a pixelů Pokyny uvádějí, že sledovací pixel je hypertextový odkaz na zdroj, obvykle soubor s obrázkem vložený do obsahu, jako je webová stránka nebo e-mail. Tento pixel obvykle neplní žádný účel související se samotným požadovaným obsahem; jeho jediným účelem je automatické navázání komunikace klienta s hostitelem pixelu, ke které by jinak nedošlo. Tento postup však není systematický a sledovací pixely lze vytvořit také přidáním dodatečných informací k obrázkům načítajícím hypertextové odkazy, jež jsou relevantní pro obsah zobrazený uživateli. Navázání komunikace předává hostiteli pixelu různé informace v závislosti na konkrétním případu použití.
V případě e-mailu může odesílatel zahrnout sledovací pixel, aby zjistil, kdy příjemce e-mail přečte. Sledovací pixely na webových stránkách mohou odkazovat na subjekt, který shromažďuje mnoho takových požadavků, a může tak sledovat chování uživatelů. Takové sledovací pixely mohou také obsahovat další identifikátory, metadata nebo obsah jako součást odkazu. Tyto datové body může přidávat vlastník webových stránek, případně se mohou týkat činnosti uživatele na těchto webových stránkách, aby bylo možné vytvářet analytické zprávy o používání. Mohou být také dynamicky generovány prostřednictvím aplikační logiky na straně klienta, kterou dodává subjekt.
Sledovací odkazy mohou fungovat stejným způsobem, ale identifikátor je připojen k adrese webové stránky. Když uživatel navštíví adresu URL (Uniform Resource Locator), cílová webová stránka načte požadovaný zdroj, ale zároveň shromáždí identifikátor, jenž není relevantní z hlediska identifikace zdroje. Velmi často je používají webové stránky elektronických obchodů k identifikaci původu příchozího zdroje provozu. Tyto webové stránky mohou například poskytovat sledované odkazy partnerům, kteří je použijí na své doméně, aby webové stránky elektronického obchodu věděly, který z jejich partnerů je zodpovědný za prodej, a vyplatily provizi, což je praxe známá jako affiliate marketing.
Jak sledovací odkazy, tak sledovací pixely lze distribuovat prostřednictvím nejrůznějších kanálů, například e-mailů, webových stránek, v případě sledovacích odkazů dokonce prostřednictvím jakýchkoli systémů textových zpráv. Tato distribuce do koncového zařízení uživatele představuje ukládání. V tomto případě se použije článek 5 odstavec 3 ePrivacy, i když toto uložení není trvalé.
Některé technologie se spoléhají na místní zpracování, kterému dává pokyn software distribuovaný na koncových zařízeních uživatelů, přičemž informace získané místním zpracováním jsou následně zpřístupněny vybraným subjektům prostřednictvím rozhraní API na straně klienta. Může se jednat například o API poskytované webovým prohlížečem, kde lze k lokálně vygenerovaným výsledkům přistupovat na dálku.
Pokud jsou v jakémkoli okamžiku a například v kódu na straně klienta zpracované informace zpřístupněny třetí straně, například odeslány zpět po síti na server, představuje taková operace (nařízená subjektem vytvářejícím kód na straně klienta distribuovaný na koncové zařízení uživatele) „získání přístupu k již uloženým informacím“. Skutečnost, že jsou tyto informace vytvářeny lokálně, nebrání použití rozebíraného článku ePrivacy.
Jiní poskytovatelé vyvíjejí řešení, která se při sledování navigace uživatele spoléhají pouze na shromažďování jedné složky, a to IP adresy, v některých případech ve více doménách. V této souvislosti by se mohl použít článek 5 odstavec 3 ePrivacy, i když pokyn ke zpřístupnění IP vydal jiný než přijímající subjekt.
Získání přístupu k IP adresám by však vyvolalo použití daného ustanovení pouze v případech, kdy tyto informace pocházejí z koncového zařízení účastníka nebo uživatele. I když se tak neděje systematicky (například při aktivaci CGNAT29), statické odchozí IPv4 pocházející ze směrovače uživatele by do tohoto případu spadaly, stejně jako IPV6 adresy, protože jsou částečně definovány hostitelem. Pokud subjekt nemůže zajistit, aby IP adresa nepocházela z koncového zařízení uživatele nebo účastníka, musí podniknout všechny kroky podle článku 5 odstavce 3 směrnice ePrivacy.
Zařízení internetu věcí (IoT) průběžně vytvářejí informace, například prostřednictvím senzorů zabudovaných v zařízení, které mohou, ale nemusí být lokálně předzpracovány. V mnoha případech jsou informace zpřístupňovány vzdálenému serveru, ale způsoby tohoto sběru se mohou lišit.
Některá zařízení IoT mají přímé připojení k veřejné komunikační síti pomocí mobilní SIM karty. Jiná mohou mít nepřímé připojení k veřejné komunikační síti, například prostřednictvím WIFI nebo předávání informací jinému zařízení prostřednictvím spojení bod-bod (například prostřednictvím Bluetooth). Jiným zařízením může být například chytrý telefon nebo specializovaná brána, která může, ale nemusí informace před odesláním na server předem zpracovat.
Zařízení IoT mohou být výrobcem instruována, aby shromážděné informace vždy streamovala, ale přesto je nejprve lokálně ukládala do mezipaměti, například dokud nebude k dispozici připojení.
V každém případě by zařízení internetu věcí, pokud je připojeno (přímo nebo nepřímo) k veřejné komunikační síti, bylo samo považováno za koncové zařízení. Skutečnost, že informace jsou streamovány nebo ukládány do mezipaměti pro občasné hlášení, nemění povahu těchto informací. V obou situacích by se použil článek 5 odstavec 3 ePrivacy, protože prostřednictvím pokynu kódu v zařízení internetu věcí k odeslání dynamicky uložených údajů na vzdálený server dochází k „získání přístupu“.
Závěrem se Pokyny věnují „jedinečným“ nebo „trvalým identifikátorům“. Tyto mohou být odvozeny z trvalých osobních údajů (jméno a příjmení, e-mail, telefonní číslo atd.), které jsou v zařízení uživatele zaheslovány, shromážděny a sdíleny mezi několika správci za účelem jedinečné identifikace osoby v různých souborech údajů (údaje o používání shromážděné prostřednictvím webových stránek nebo aplikace, údaje o řízení vztahů se zákazníky [CRM] související s online nebo offline nákupem nebo předplatným atd.) Na webových stránkách se trvalé osobní údaje obvykle získávají v souvislosti s ověřováním nebo odběrem newsletterů.
Jak již bylo nastíněno, skutečnost, že informace zadává uživatel, by nevylučovala použití článku 5 odstavce 3 ePrivacy, pokud jde o uchovávání, protože tyto informace jsou před shromážděním dočasně uloženy v koncovém zařízení.
V souvislosti se shromažďováním „jedinečných identifikátorů“ na webových stránkách nebo v mobilních aplikacích subjekt, který shromažďuje informace, dává pokyn prohlížeči (prostřednictvím distribuce kódu na straně klienta), aby tyto informace odeslal. Dochází tedy k „získání přístupu“ a použije se dané ustanovení.
Závěr
ePrivacy je právní nástroj na ochranu soukromí, jehož cílem je chránit důvěrnost komunikace a integritu zařízení. I když revize ePrivacy nevzbuzuje u veřejnosti ani poskytovatelů služeb šílenství srovnatelné s GDPR, ovlivní tato staronová regulace širokou škálu subjektů napříč trhem. Pro futuro bude vůči GDPR nové nařízení ePrivacy patrně lex specialis – zvláštním přednostním předpisem detailně upravujícím konkrétní část obecné úpravy GDPR, a tedy data elektronické komunikace, která lze považovat za osobní údaje. Z důvodu silného propojení obou předpisů bylo nezbytné důkladné vymezení jejich obsahu tak, aby nebyly duplicitní, či dokonce kontradiktorní (např. u právních základů).
Diskuse k aktuální revizi jsou ale zdlouhavé. Fakt, že se jedná o rozvleklý projekt, lze dedukovat i z vyjádření Smejkala[7] v publikaci z roku 2018, který již v té době uvedl, že situace kolem předpisu není ani jednoduchá, ani přehledná. Debaty připomínají z celkového hlediska spíše točení v bludném kruhu a je složité odhadovat, zda, kdy a s jakým obsahem bude legislativní proces uzavřen. Lze jen doufat, že bude spíše objektivním mantinelem jako GDPR, nikoli legislativní brzdou faktického pokroku.
Navzdory tomu, že evropský legislativní proces k modernizované verzi předpisu ePrivacy zohledňující technologický vývoj stagnuje, poskytují Pokyny EDPB kvalitní, aktualizované vodítko.
Jana Lix Andraščiková
Autorka je právnička se specializací na evropskou legislativu
[1] Stanovisko EDPB č. 5/2019 ke vzájemnému působení mezi směrnicí o soukromí a elektronických komunikacích a obecným nařízením o ochraně osobních údajů (GDPR), zejména pokud jde o příslušnost, úkoly a pravomoci úřadů pro ochranu údajů. K dispozici zde: https://edpb.europa.eu/sites/default/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_cs.
pdf.
[2] Pokyny EDPB 2/2023 k technickému rozsahu čl. 5 odst. 3 k dispozici zde: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-22023-technical-scope-art-53-eprivacy-directive_en
[3] Stanovisko WP29 č. 9/2014 k uplatňování směrnice 2002/58/ES na otisky zařízení k dispozici zde: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_cs.pdf
[4] Rozsudek Soudního dvora ze dne 1. října 2019, Planet 49, věc C-673/17, ECLI:EU:C:2019:801, bod 70.
[5] Dle definice Evropského kodexu elektronických komunikací.
[6] Definice vychází ze Směrnice Komise 2008/63/ES ze dne 20. června 2008 o hospodářské soutěži na trzích s telekomunikačními koncovými zařízeními.
[7] SMEJKAL, Vladimír. Kybernetická kriminalita. Druhé, rozšířené a aktualizované vydání. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2018, s. 252. ISBN 978-80-7380-720-7.