Pro tento první právní oběžník roku 2022 jsme zvolili odlišný formát než obvykle a přinášíme rychlý přehled novinek v jednotlivých oblastech.
Legislativní proces v České republice v oblastech důležitých pro internetové obchodníky po řadu měsíců prakticky stojí. To se bohužel týká i těch otázek, které již měly být zapracovány do českého práva (v souladu s požadavky evropských směrnic). Vzhledem k ustanovení nové poslanecké sněmovny byly veškeré návrhy zákonů z předchozího volebního období v souladu s legislativními pravidly vráceny příslušným odborům, což přinese další zdržení.
Řada novelizací, o kterých jsme členy dříve obšírně informovali, tak zatím nenabyla účinnosti, přičemž není ani zcela jasné, kdy k tomu přesně dojde. To se týká jak předpokládané rozsáhlé změny občanského zákoníku , tak i novelizace zákona o ochraně spotřebitele. Jedná se kupříkladu o požadavky tzv. Omnibus směrnice , jež přináší mimo jiné novou regulaci v oblasti prezentování slev, informačních povinností provozovatelů marketplaces vůči spotřebitelům či novou úpravu v oblasti správního trestání. Dále pak jde o požadavky dvou směrnic souvisejících s digitálním obsahem , které mají přinést například novou úpravu odpovědnosti prodávajícího za digitální prvky zboží a novou regulaci v oblasti distribuce digitální obsahu vůbec. Společně s touto novelizací má dojít i k opravě řady legislativních nedostatků občanského zákoníku (oproti znění směrnice o právech spotřebitelů).
Důsledkům včasného neprovedení požadavků Evropských směrnic Českou republikou pro praxi internetových obchodníků se bude APEK věnovat ve zvláštních dokumentech.
Dne 20. ledna 2022 odhlasovala většina poslanců Evropského parlamentu schválení návrhu nařízení DSA (Digital Services Act), o kterém jsme již dříve informovali. Toto nařízení má regulovat poměrně široký okruh poskytovatelů služeb v informační společnosti (poskytovatele hostingového prostoru v řadě podob), včetně tzv. platforem.
Zpočátku února 2022 unikl na veřejnost návrh nařízení označovaného jako „Data Act“. Cílem nové regulace je podpořit sdílení údajů mezi podniky (B2B) a zajistit přístupnost a využívání těchto dat na evropském trhu. Situaci ohledně tohoto legislativního počinu budeme dále sledovat.
V lednu 2022 vydal rakouský úřad pro ochranu osobních údajů rozhodnutí, kterým označil ukládání cookies při využívání služby Google Analytics za rozporné s GDPR, konkrétně v důsledku nezákonného předávání osobních údajů do Spojených států. K tomuto došlo i v návaznosti na předchozí rozhodnutí SDEU Schrems II, o kterém jsme členy již dříve informovali. Ke stejnému závěru pak došel přibližně o měsíc později i dozorový orgán ve Francii, přičemž dozorové orgány v Dánsku a Nizozemí se touto situací také zabývají. Lze tedy předpokládat, že pokud by se tato otázka dostala do zkoumání Úřadu pro ochranu osobních údajů, nelze očekávat jiné rozhodnutí. To by měli obchodníci při využívání služby Google Analytics či jiných služeb poskytovaných americkými společnostmi na podobném principu mít na vědomí.
Belgický dozorový úřad udělil nedávno pokutu ve výši 250.000 EUR za porušení GDPR organizaci IAB Europe, která provozuje velmi populární „systém“ na sbírání a správu souhlasů uživatelů webových stránek. Z pohledu obchodníků je toto rozhodnutí zajímavé z toho pohledu, že využívání obdobných systémů, které nabízejí „řešení“ regulatorních otázek v oblasti ukládání cookies a zpracování osobních údajů, nemusí vždy přinést tížený výsledek.
Evropský sbor pro ochranu osobních údajů vydal nové Guidelines 01/2021 . Cílem těchto Guidelines je pomoct správcům osobních údajů při rozhodování o tom, jak postupovat při narušení bezpečnosti údajů. GDPR obsahuje v určitých případech povinnost oznámit porušení zabezpečení osobních údajů příslušnému vnitrostátnímu dozorovému úřadu a informovat o něm fyzické osoby, jejichž osobních údajů se porušení týká (čl. 33 a čl. 34 GDPR).
Sbor taktéž vydal Guidelines 01/2022 (momentálně určené k veřejné konzultaci), které se týkají práv subjektů údajů, konkrétně jejich práva na přístup k osobním údajům. Cílem práva na přístup (čl. 15 GDPR) je poskytnout fyzickým osobám dostatečné a snadno dostupné informace o zpracování jejich osobních údajů, aby si mohly ověřit zákonnost zpracování údajů.
Jiří Moravec
Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 01/2022 určený členům tohoto spolku.