Toto je oprava článku původně vydaného 23. února. Vycházel z nesprávných informací, omlouváme se. Úřad pro ochranu osobních údajů na svém webu upřesnil, jak je to s GDPR a volnými sítěmi Wi-Fi doopravdy:
Zásadní informací pro veřejnost je, že ani GDPR, ani unijní regulace soukromí a elektronických komunikací nevyžaduje wi-fi síť zabezpečit, tj. zaheslovat. Ochrana soukromí totiž vychází z oprávnění na informační sebeurčení subjektu údajů. Osobní údaje patří subjektu údajů a je primárně na jeho svobodném rozhodnutí, komu je poskytne; výjimky stanoví právní předpis. Je tedy na každém člověku, zda se rozhodne používat cizí nezaheslovanou síť, je to na jeho vůli.
Provozovatel wi-fi sítě přirozeně ví o každém jejím uživateli, protože zná MAC adresu zařízení k ní připojeného. Filtrace datových zpráv provozovatelem wi-fi sítě na poplašnou zprávu nebo nelegální obsah je naopak těžký delikt – porušení listovního tajemství.
Dalším nepravdivým tvrzením je konstrukce trestněprávního spolupachatelství. Na rozdíl od přestupkového práva je trestněprávní odpovědnost postavena vždy výlučně na zavinění. To zde ale pojmově nepřipadá v úvahu.
A konečně výše pokuty. Porušení povinností při provozu wi-fi sítě se řídí českými právními předpisy, do budoucna nařízením o soukromí a elektronických komunikacích. Ale ani u trestání podle GDPR v drtivé většině případů nehrozí pokuta „až dvacet milionů eur“. V právním státě musí být totiž výše pokuty přiměřená deliktu (článek 83 odst. 1 GDPR). A to u nezabezpečení hotelové wi-fi sítě, i kdyby to snad měl být delikt, ačkoliv není, není 20 000 000 €, nýbrž o pět řádů, tj. 100 000×, méně.
Nelze opomenout ani řadu dalších omylů textu. GDPR není zákon, ale nařízení EU. Platné je od 24. května 2016, jak se může každý snadno přesvědčit v jeho článku 99 odst. 1. Firma není právní subjekt, nýbrž pouhé jméno, kterým se podnikatel podepisuje (§ 423 nového občanského zákoníku).
Závěrem chce ÚOOÚ zdůraznit, že považuje za varovné, že jsou publikovány takové fake news, které rozdmýchávají neodůvodněnou hysterii k GDPR.
Původní článek
Provozovatelům volně dostupných Wi-Fi sítí, které poskytují svým návštěvníkům například v nákupních centrech, restauracích či hotelech, hrozí milionové pokuty.
Sítě totiž většinou nejsou správně zabezpečeny. Od května začne platit nová regulace Evropské unie GDPR, kvůli které hrozí firmám sankce ve výši 4 % z obratu nebo pokuty do 20 miliónů eur za nesprávné zacházení s osobními údaji.
„Poskytovatel internetu sleduje jen provoz ve své síti, nikoliv sítí v síti například hotelu. Jelikož se nejedná o podnikatelovu síť, nemůže ji bez speciální smlouvy nijak monitorovat. Pokud se po útoku pomocí free Wi-Fi domáhá poškozená firma nebo osoba nápravy či náhrady škody, pak požaduje náhradu právě po provozovateli dané nezabezpečené Wi-Fi, tedy po hotelu, firmě, domácnosti, nikoliv po poskytovateli internetu,“ říká Martin Medvěd, výkonný ředitel společnosti Miia.
Provozovatelé restaurací, barů, škol a firem by měli vědět o každém, kdo se připojí na jejich síť a kde všude je dostupné jejich heslo. To je však prakticky nemožné.
Podle zákona by přitom měli poznat, kdo prostřednictvím jejich Wi-Fi pošle třeba poplašnou zprávu nebo nelegální obsah. Bez zabezpečení hrozí civilní žaloby od poškozených a v krajním případě i trestní stíhání pro spolupachatelství.
Zabezpečená síť je přitom světovým standardem a podle GDPR dokonce nutností. Zákon nabude účinnosti 25. května 2018 a dotkne se zpracování jakýchkoli osobních údajů zaměstnanců, ubytovaných hostů v hotelech, zákazníků restaurací i například návštěvníků webových stránek.
Mezi chráněné údaje patří především jména, příjmení, data narození, ale i IP adresa či e-mail, ze kterých je možno někoho přímo či nepřímo identifikovat.
