Autori: Štěpán Štarha, Róbert Gašparovič, Martina Rievajová
Poslanci Národnej rady SR prelomili veto prezidentky Slovenskej republiky, keď 24. novembra 2021 opätovne schválili nový zákon o elektronických komunikáciách. Slovenská verzia Kódexu elektronických komunikácií prináša okrem zmien v oblasti budovania elektronických sietí a regulácie hospodárskej súťaže, aj viaceré zmeny v oblasti osobných údajov. Vyššia administratíva záťaž v oblasti priameho marketingu, spracúvanie biometrických údajov či poskytovanie údajov Úradu verejného zdravotníctva (ÚVZ SR) sú témy, ktorým sa venujeme v aktuálnom vydaní Flash news.
Len 2. 12. 2021 vyšla pod číslom 452/2021 v Zbierke zákon SR nová právna úprava, zákon o elektronických komunikáciách („ZoEK“), ktorú niektoré slovenské IT združenia obviňujú z „goldplatingu“.[1] Do ZoEK je totiž transponovaná Smernica EÚ 2018/1972, známa ako európsky Kódex elektronických komunikácií. Cieľom Kódexu bolo uľahčiť rozvoj elektronických komunikácií, ako aj zabezpečiť celkovú ochranu koncových užívateľov, najmä spotrebiteľov. Transpozícia prináša do slovenského právneho poriadku, a najmä do oblasti elektronických komunikácií, komplexnejšie definície, viac solidarity, ale aj nové povinnosti pre telekomunikačné podniky a šíriteľov priameho marketingu. Uvedené zmeny mali byť pritom transponované už v lehote do decembra 2020, ktorú Slovensko s väčšinou európskych štátov nestihlo. Aj keď väčšina ustanovení ZoEK bude účinná od 1. februára 2022, niektoré časti regulácie ochrany osobných údajov nadobudnú účinnosť až neskôr, na čo vás v dnešnom článku osobitne upozorníme.
Využívanie hlasovej biometrie, teda hlasu zákazníka či užívateľa na účely overenia jeho totožnosti je už relatívne bežné v bankovom sektore. Podľa nového ZoEK si takýto spôsob overovania môžu pri uzatváraní zmlúv vyžiadavať aj telefonickí operátori a iní poskytovatelia komunikačných služieb. Ešte stále účinný ZoEK ustanovoval, že na účely overenia totožnosti zákazníka pri uzatváraní zmlúv o poskytovaní služieb alebo na aktualizáciu údajov si môže podnik, ako napr. operátor, od zákazníka vyžiadať identifikačné údaje, ako aj tvárovú biometriu. Nový ZoEK tento zoznam osobných údajov na overenie totožnosti rozširuje o hlasovú biometriu, ako aj o podpis zákazníka. Rozšírenie bolo pritom do návrhu zákona zaradené až na popud poslanca koaličnej strany počas druhého čítania v Národnej rade SR.
Vykonávanie priameho marketingu formou zasielania hromadných emailov či SMS správ bude od 1. februára 2022 o niečo zložitejšie. Dôvodom sú nové požiadavky na získanie súhlasu alebo podmienky vykonávania priameho marketingu, ktoré prináša ZoEK. V prvom rade, ZoEK prináša definíciu priameho marketingu, ktorým je akákoľvek forma prezentácie tovarov a služieb, a to v písomnej či ústnej forme, zaslaná alebo prezentovaná prostredníctvom verejne dostupnej služby (napr. e-mail, SMS, telefonický hovor) priamo jednej alebo viacerým osobám. Povinnosti osoby vykonávajúcej priamy marketing formou hromadného zasielania elektronickej pošty (napr. e-mail, SMS, MMS) (pre zjednodušenie ďalej „šíriteľ“), sa líšia podľa toho, ktorému z troch typov adresátov priamy marketing poskytuje.
V prvom rade pôjde o užívateľov, ktorí už sú zákazníkmi šíriteľa. V takom prípade je nevyhnutné, aby:
Po druhé ide o priamy marketing adresovaný na zverejnené kontaktné údaje fyzickej osoby podnikateľa (napr. živnostníka) alebo právnickej osoby.
V prvom a druhom prípade je šíriteľ oprávnený vykonávať priamy marketing formou hromadnej elektronickej pošty aj bez súhlasu takéhoto užívateľa.
Pri užívateľoch, ktorí nie sú zákazníkmi šíriteľa, resp. nie sú fyzické osoby podnikatelia alebo právnické osoby, je situácia opačná a na vykonávanie priameho marketingu bude potrebný súhlas. Súhlas musí byť pritom preukázateľne získaný už pred zaslaním e-mailu alebo uskutočnením hovoru, ktorého obsahom je priamy marketing. V prípade priameho marketingu formou automatizovaných volacích zariadení bez ľudského zásahu je novinkou, že takýto súhlas nemôže byť získaný konkludentne (napr. známe „pokračovaním v hovore súhlasíte s...“),teda bez aktívneho prejavu vôle súhlas udeliť. Volaní „s ľudským zásahom“ sa uvedené týkať nebude.
Súhlas na poskytovanie priameho marketingu musí navyše spĺňať tieto predpoklady:
V prípade odvolania súhlasu je šíriteľ povinný užívateľovi preukázateľne potvrdiť (odporúčame písomne), že bol súhlas odvolaný. Aj takéto potvrdenie je šíriteľ povinný uchovávať po dobu 4 rokov. Samozrejme, v prípadoch kedy je súhlas potrebný a užívateľ súhlas neudelí alebo ho odvolá, šíriteľ nesmie takéto údaje použiť na účely priameho marketingu.
Za ambivalentnú možno považovať novinku, ktorú prináša ZoEK ohľadom nového zoznamu telefónnych čísel, ktoré nemožno využiť na priamy marketing. Takýto zoznam zriadi Úrad pre reguláciu sieťových odvetví a poštových služieb („Úrad“) na svojej webovej stránke. Do zoznamu si bežní užívatelia budú môcť bezplatne uviesť svoje telefónne číslo, na ktorom si neprajú byť kontaktovaní akýmikoľvek šíriteľmi alebo len voči konkrétnemu šíriteľovi, voči ktorého volaniu vzniesli námietky.
Zoznam sa bude aktualizovať vždy k 1. a 16. dňu v mesiaci.
Šíriteľ by si teda mal od 1. novembra 2022, odkedy tieto ustanovenia ZoEK nadobúdajú účinnosť, pravidelne overovať uvedené čísla, za čo si je Úrad oprávnený účtovať poplatok. Aj keď pravidelné overovanie nie je povinné, v prípade, že šíriteľ realizuje priamy marketing na číslo osoby uvedené v zozname, hrozí mu pokuta od 200 EUR až do 5 % z obratu za predchádzajúce účtovné obdobie.
Zo zmien v oblasti osobných údajov, ktoré ZoEK prináša nemožno vynechať ani potvrdenie zmeny, ktorá sa de facto udiala už pred vyše rokom. Prvou vlnou pandémie ochorenia COVID-19 sa niesol ústavný spor či je potrebné, aby ÚVZ SR získaval od telekomunikačných podnikov informácie o ich zákazníkoch, a ak áno, v akom rozsahu. Spor sa ukončil osekaním rozsahu údajov, ktoré ÚVZ SR mohol spracúvať, ako aj doby ich spracúvania. Pritom do pandémie tohto ochorenia ÚVZ SR v pôvodnom zákone o elektronických komunikáciách ani nefiguroval[1]. Podľa nového ZoEK je ÚVZ SR oprávnený bez súhlasu danej osoby spracúvať údaje z koncových zariadení (napr. mobilných telefónov), pričom by malo ísť najmä o prevádzkové údaje, ak je to potrebné na účely plnenia úloh tohto úradu. Takéto spracúvanie môže pritom trvať po nevyhnutnú dobu, a to až do konca núdzového stavu alebo mimoriadnej situácie. Mimoriadna situácia pritom platí na území SR už od 12. 3. 2020.
Uvedené právomoci predstavujú len pozostatok pôvodnej verzie nového ZoEK. Podľa verzie schválenej Národnou radou SR z 2. novembra 2021 bol telekomunikačný podnik povinný do 24 hodín od výzvy ÚVZ SR poskytnúť tomuto úradu prevádzkové (kto sa kedy prihlásil do siete), ako aj lokalizačné informácie (odkiaľ došlo k prihláseniu) o vybranej osobe. Účelom takéhoto zásahu mala byť ochrana osôb pred šírením COVID-19. Prezidentka SR však uvedený rozsah posúdila, ako nedostatočný a hlavne nespĺňajúci požiadavky ochrany osobných údajov, a teda predmetný odsek 21 § 117 ZoEK vetovala. Finálne znenie ZoEK preto tento odsek neobsahuje.
Téma ochrany osobných údajov už dávno presahuje hranice GDPR, a to najmä, keď ide o spojenie osobných údajov a elektronických komunikácií. V HAVEL & PARTNERS aktívne sledujeme novinky aj v tejto oblasti a sme vám pripravení spolu s tímom skúsených právnikov poskytnúť naše služby.
[1] Dňa 28.11.2021 dostupné na: https://euractiv.sk/section/digitalizacia/news/slovensky-zakon-o-elektronickych-komunikaciach-je-tvrdsi-ako-ziada-unia-od-operatorov-chce-viac-dat-o-zakaznikoch/
[2] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov
[3] Do účinnosti novely zákona č. 62/2020 Z. z.
