Dějou se věci. Na 16. schůzi Poslanecké sněmovny proběhlo konečně první čtení novely zákona č. 480/2004 Sb., o některých službách informační společnosti. Bohužel v minulém volebním období to zřejmě nebyla priorita vlády, takže na novelu se zapomnělo a nedostala se ve sněmovně ani do prvního čtení. Díky tomu patří Česká republika do klubu pěti států, které ještě nemají hotovou transpozici nařízení Evropského parlamentu a Rady Evropské unie 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele on-line zprostředkovatelských služeb a hrozí jim proto infrigement (transpoziční lhůta skončila v červenci 2020).
Pro připomenutí, účelem nařízení je přispět k řádnému fungování vnitřního trhu stanovením pravidel k zajištění toho, aby podnikatelským uživatelům on-line zprostředkovatelských služeb a uživatelům firemních internetových stránek byla ve vztahu k internetovým vyhledávačům poskytnuta náležitá transparentnost, spravedlnost a možnosti účinné nápravy. Vztahuje se na on-line zprostředkovatelské služby a internetové vyhledávače. Orgánem dozoru byl v Česku určen Český telekomunikační úřad.
Hrozba infrigementu byl také důvod, proč vláda prostřednictvím ministra Jozefa Síkely navrhla sněmovně schválení již prvním čtení, tedy bez možnosti předkládat pozměňovací návrhy. Do toho hodily vedle ale opoziční poslanecké kluby ANO a SPD a uplatnily proti zrychlenému projednávání veto. Proč? Jedním z důvodu asi bude „opoziční šprajc“, další důvod se ve svém vystoupení snažil naznačit pan poslanec Martin Kolovratník a míří mimo okruh transpozice evropského nařízení. Problémem podle pana poslance je výkladová nejasnost aplikace GDPR a odpovědnost za rozesílání nevyžádaného obchodního sdělení a také stav, kdy Úřad pro ochranu osobních údajů jako dozorový orgán ukládá pokuty za rozesílání spamu vyšší než za porušování GDPR.
„Ale co je ten problém, o kterém chci mluvit, je to dostupné z veřejných zdrojů. Problém je, že s tímto zákonem pracuje nebo je zmocněn s ním pracovat Úřad pro ochranu osobních údajů, který řeší mimo jiné také jinou problematiku, a to porušení GDPR. A v reálné praxi, v té výkladové praxi, která se opravdu děje, tak se děje to, že za ten spam, za rozesílání spamu zatím padají vyšší pokuty než třeba právě za to GDPR.
Jak jsem řekl, Úřad pro ochranu osobních údajů mimo jiné, mimo veškerých hlavních agend, které asi všichni více nebo méně známe, se zabývá právě i dozorem nad tak zvaným rozesíláním obchodních sdělení. A právě pravidla tady těch obchodních sdělení jsou regulována tímto dnes projednávaným zákonem 480 z roku 2004. A tu bližší pozornost naši, předkladatelů a vás poslanců si zaslouží dva body. Za prvé, meze odpovědnosti objednatele rozesílání obchodních sdělení, kterou si dnes Úřad pro ochranu osobních údajů vykládá poměrně široce – a není to kritika, je to konstatování stavu. A za druhé otázka, jak je při výkonu dozoru posuzována současná aplikace zákona 480, tohoto zákona, zároveň ve vztahu k GDPR, když ty materie jsou si často velmi blízké, jsou si velmi podobné.“
K odůvodnění veta se přidal i pan poslanec Marek Novák, který u tohoto sněmovního tisku plní roli zpravodaje. I pro něj je jedním z důvodu řádného klasického projednání (které umožňuje podávat pozměňovací návrhy), výše a struktura sankcí za nesplnění povinností.
„Jak upozorňují některé významné organizace, které se této oblasti věnují, navrhovaná výše pokut tu poslední podmínku přiměřenosti skutečně nesplňuje. Pro ilustraci za přestupek dle § 11 odst. 3 bodu q) podnikateli hrozí pokuta 10 milionů, pokud nezpřístupní podnikatelskému uživateli informace o fungování a efektivnosti mediace týkající se jeho činnosti. Absurdita navrhované výše pokuty pak vynikne například ve srovnání se shodnou horní hranicí pokuty pro provozovatele jaderné elektrárny, který při provozu jaderného reaktoru nesplní všechny zákonné povinnosti při výměně jaderného paliva, či v případě porušení povinností v oblasti podnikání na kapitálových trzích o dohledu v oblasti kapitálového trhu. Skutečně ta pokuta je stejná – 10 milionů korun.“
I když se pan ministr pokusil zabojovat argumenty, že v ostatních členských státech jsou pokuty mnohem přísnější („A jenom pro srovnání s ostatními členskými státy Evropské unie: ve Francii je denní pokuta až 0,1 procenta ročního celosvětového obratu, v Nizozemsku a Rumunsku je to 1 % ročního obratu, Itálie – pokuta ve výši 2 až 5 procent ročního obratu, v Řecku jsou to 2 miliony euro a v Lucembursku je to 1 milion euro.“), od veta poslanců na zrychlené projednávání návrh zákona neuchránil. Gesčním výborem zůstal Hospodářský výbor. Uvidíme, zda pozměňovací návrhy připlují jenom z avizovaných oblastí, nebo zda třeba někdo bude mít ambici upravovat odpovědnost za obsah, což je jedním z důvodů, proč Ministerstvo průmyslu a obchodu v minulosti nerado otevíralo tento zákon.
Český NÚKIB pomalu začíná připravovat věcný záměr zákona, který uvede do života mechanismu pro posuzování a omezování rizik spojených s dodavateli do 5G sítí, a španělská vláda už je o krok dál, byť se k problematice postavila trochu jinak.
Španělská vláda přijala 29. března 2022 zákonné nařízení, kterým se stanoví bezpečnostní požadavky na instalaci, zavádění a využívání 5G sítí. Text byl zveřejněn v úředním věstníku a ještě jej bude schvalovat španělský parlament. Do šesti měsíců (tedy do konce září 2022) musí operátoři 5G sítí předložit španělskému ministerstvu hospodářství a digitální transformace:
- posouzení rizik svých stávajících 5G sítí a služeb (nebo těch sítí a služeb, které plánují zavést v následujících dvou letech);
- zprávu s technickými a organizačními opatřeními, která mají být použita k řízení a zmírnění zjištěných rizik;
- strategii pro více dodavatelů, tedy alespoň 2 (tato povinnost se vztahuje na ty provozovatele 5G, kteří vlastní nebo spravují kritické prvky veřejné 5G sítě).
Rizikový profil dodavatelů 5G bude posuzovat vláda. Do tří měsíců od vstupu normy v platnost (tedy do konce června 2022) může vláda označit některé dodavatele 5G za vysoce rizikové dodavatele.
Posouzení rizikového profilu se bude týkat technických záruk a zabezpečení proti útokům a dále vystavení se zranitelnosti třetím stranám.
Při posuzování zranitelnosti vůči třetím subjektům, bude vláda zejména posuzovat:
- propojení vendora s vládami jiných států;
- vlastnickou strukturu vendora;
- schopnost země vendora vyvíjet na něj nátlak;
- politiku kybernetické obrany země, odkud vendor pochází a hlavní prvky jejích právních předpisů;
- smlouvy, které Španělsko s danou zemí podepsalo;
- porovnání ochrany osobních údajů s GDPR.
Vláda může také rozhodnutím určit, do kdy mají 5G operátoři nahradit vysoce rizikového dodavatele a jeho zařízení a služby ve své sítí. Nejkratší lhůta může být alespoň jeden rok.
Španělé již nyní deklarují, že se tato pravidla budou vztahovat i na další generace elektronických komunikací.
A pozor. Do 14. dubna 2022 můžete posílat své návrhy na přednášky na CSNOG 2022, akci poskytovatelů přístupu k internetu, provozovatelů telekomunikačních sítí, registrátorů domén a provozovatelů počítačových sítí a technických nadšenců. Akce se koná po nevyžádané kovidové pauze 20. – 21. června 2022 v Brně. Posílejte, přijďte, jste zvaní, organizátoři CZ.NIC, NIX.CZ a CESNET se na vás těší (aby taky ne, po těch kovidových on-line akcích).