Nepravdy o wi-fi v souvislosti s GDPR

Úřad pro ochranu osobních údajů je nucen podat dementi desinformací v článku na téma likvidačních sankcí za volně dostupnou wi-fi síť, který byl publikován deníkem E15 v pátek 23. února 2018.

 
Článek „Za volně dostupnou wi-fi síť hrozí restauracím či hotelům likvidační pokuty“ obsahuje řadu nepravdivých tvrzení (odkaz na článek zde).

Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodně používat cizí nezaheslovanou síť, je to na jeho vůli.

V této souvislosti je třeba zdůraznit, že přenos dat se řídí GDPR toliko podpůrně. Primární regulací je směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), která byla do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) a zákonem č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti). V současné době probíhá v EU jednání o nahrazení směrnice o soukromí a elektronických komunikacích novým nařízením, o kterém ÚOOÚ pravidelně informuje.

Provozovatel wi-fi sítě přirozeně ví o každém jejím uživateli, protože zná MAC adresu zařízení k ní připojeného. Filtrace datových zpráv provozovatelem wi-fi sítě na poplašnou zprávu nebo nelegální obsah je naopak těžký delikt – porušení listovního tajemství.

Dalším nepravdivým tvrzením je konstrukce trestněprávního spolupachatelství. Na rozdíl od přestupkového práva je trestněprávní odpovědnost postavena vždy výlučně na zavinění. To zde ale pojmově nepřipadá v úvahu.

A konečně výše pokuty. Jak je uvedeno výše, porušení povinností při provozu wi-fi sítě se řídí českými právními předpisy, do budoucna nařízením o soukromí a elektronických komunikacích. Ale ani u trestání podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. V právním státě musí být totiž výše pokuty přiměřená deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, ačkoliv není, není 20 000 000 €, nýbrž o pět řádů, tj. 100 000×, méně.

Nelze opomenout ani řadu dalších omylů textu. GDPR není zákon, ale nařízení EU. Platné je od 25. května 2016, jak se může každý snadno přesvědčit v jeho článku 99 odst. 1. Firma není právní subjekt, nýbrž pouhé jméno, kterým se podnikatel podepisuje (§ 423 NOZ).

Závěrem chce ÚOOÚ zdůraznit, že považuje za varovné, že jsou publikovány takové fake news, které rozdmýchávají neodůvodněnou hysterii k GDPR.