Rozporządzenie e-privacy uzupełni RODO w zakresie przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. Komisja Europejska chce zaostrzyć przepisy dotyczące gromadzenia i przetwarzania danych osobowych użytkowników Sieci. 10 stycznia 2017 r. opublikowała projekt rozporządzenia e-privacy. Jego przepisy mają skuteczniej zapewniać prywatność w łączności elektronicznej.
Przyjęte przez Parlament Europejski i Radę rozporządzenie z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych 2016/679 (RODO), które wejdzie w życie 25 maja 2018 r., wprowadza znaczne zmiany w zakresie oraz sposobie ochrony danych osobowych. Postanowiono w związku z tym (w motywie 173, a także artykule 98 rozporządzenia), że należy dokonać przeglądu oraz zmiany inny aktów prawnych Unii dotyczących danych, w tym dyrektywę 2002/58/WE z dnia 12 lipca 2002 r. Dotyczy ona przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (tzw. e-privacy).
Wspomniany projekt rozporządzenia e-privacy (EPR), ma zastąpić dotychczas obowiązującą dyrektywę w tym zakresie. Ten unijny akt prawny ma wejść w życie 25 maja 2018 r. - w tym samym czasie, co RODO.
Wspomniany projekt rozporządzenia e-privacy (EPR), ma zastąpić dotychczas obowiązującą dyrektywę w tym zakresie. Ten unijny akt prawny ma wejść w życie 25 maja 2018 r. - w tym samym czasie, co RODO.
Przestarzałe regulacje
Dotychczasowa ochrona zapewniania prywatności w łączności elektronicznej na podstawie dyrektywy jest, w opinii organów unijnych, niewystarczająca, przestarzała i nie nadąża za zachodzącymi zmianami technologicznymi. Zaznacza się bowiem, że zarówno konsumenci, jak i przedsiębiorcy w coraz większym stopniu przenoszą swoją działalność do Internetu, który zastępuje dotychczasowe, tradycyjne środki komunikacji. W ostatnich latach tymczasem powstają nowe rodzaje usług, m.in. tak zwane Over-the-Top communcation services (OTT), które polegają na świadczeniu usług komunikacji elektronicznej poprzez działające w Internecie aplikacje zapewniane przez usługodawców, np. komunikatory WhatsApp czy Messenger. Tego typu usługi nie są jednak objęte regulacjami dyrektywy e-privacy, co stanowi lukę w ochronie użytkowników.
Ponadto, zapewnienie ochrony użytkowników na poziomie dyrektywy, jest w ocenie Komisji i Parlamentu UE, niewystarczające. Prowadzi to bowiem do fragmentaryzacji prawa, a także do nierównego poziomu ochrony w poszczególnych krajach UE. Wobec powyższego, uznano że najbardziej odpowiednim środkiem prawnym będzie rozporządzenie, które na nowo, w przystający do rzeczywistości sposób oraz w zgodzie z kolejnymi aktami prawnymi przyjmowanymi przez unijnego prawodawcę, w tym przede wszystkim RODO, ureguluje powyższe kwestie.
Ponadto, zapewnienie ochrony użytkowników na poziomie dyrektywy, jest w ocenie Komisji i Parlamentu UE, niewystarczające. Prowadzi to bowiem do fragmentaryzacji prawa, a także do nierównego poziomu ochrony w poszczególnych krajach UE. Wobec powyższego, uznano że najbardziej odpowiednim środkiem prawnym będzie rozporządzenie, które na nowo, w przystający do rzeczywistości sposób oraz w zgodzie z kolejnymi aktami prawnymi przyjmowanymi przez unijnego prawodawcę, w tym przede wszystkim RODO, ureguluje powyższe kwestie.
Ramka: Bezpośrednie stosowanie
Przyjęcie przepisów e-privacy w rozporządzeniu, podobnie jak w przypadku RODO oznacza, że akt ten będzie obowiązywał wprost, we wszystkich krajach Unii Europejskiej, bez konieczności, a także możliwości wprowadzania przez poszczególne kraje przepisów w tym przedmiocie. Kraje UE będą mogły jednak wprowadzić do swoich porządków prawnych jedynie takie przepisy, które będą niezbędne do należytego egzekwowania przepisów zawartych w rozporządzeniu. W konsekwencji tego, polska ustawa o świadczeniu usług drogą elektroniczną, która implementuje przepisy dyrektywy e-privacy, będzie musiała być uchylona lub w najlepszym razie znacząco zmieniona, tak, aby usunąć z niej przepisy, które byłyby sprzeczne z EPR lub stanowiłyby powtórzenie postanowień tego rozporządzenia.
Projekt rozporządzenia e-privacy wskazuje, że podstawowym aktem prawnym w zakresie ochrony danych osobowych jest RODO. Niemniej jednak, aby zapewnić odpowiednią ochronę w związku z komunikacją elektroniczną, rozporządzenie e-privacy przyjmuje dodatkowe rozwiązania. Z tego też względu, przepisy EPR tego aktu stanowią lex specialis w stosunku do RODO, a zatem w przypadku ewentualnej sprzeczności RODO z przepisami EPR, postanowienia EPR będą miały zastosowanie. Ideą, leżącą u podstaw wprowadzenia proponowanych zmian jest to, aby uchwalone przepisy stanowiły kompletną i spójną regulację, która będzie miała zastosowanie niezależnie od zastosowanych technologii komunikowania się na odległość tak, aby ochrona była rzeczywista - także w przyszłości, gdy mogą powstać nowe sposoby komunikacji elektronicznej.
Projekt rozporządzenia e-privacy wskazuje, że podstawowym aktem prawnym w zakresie ochrony danych osobowych jest RODO. Niemniej jednak, aby zapewnić odpowiednią ochronę w związku z komunikacją elektroniczną, rozporządzenie e-privacy przyjmuje dodatkowe rozwiązania. Z tego też względu, przepisy EPR tego aktu stanowią lex specialis w stosunku do RODO, a zatem w przypadku ewentualnej sprzeczności RODO z przepisami EPR, postanowienia EPR będą miały zastosowanie. Ideą, leżącą u podstaw wprowadzenia proponowanych zmian jest to, aby uchwalone przepisy stanowiły kompletną i spójną regulację, która będzie miała zastosowanie niezależnie od zastosowanych technologii komunikowania się na odległość tak, aby ochrona była rzeczywista - także w przyszłości, gdy mogą powstać nowe sposoby komunikacji elektronicznej.
Modyfikacje pojęć
EPR znacząco modyfikuje i rozszerza dotychczasowe pojęcia zdefiniowane na gruncie dyrektywy e-privacy, a także odsyła do definicji zawartych w innych aktach prawnych UE. W zakresie w jakim EPR dotyczy kwestii ochrony danych osobowych, zastosowanie będą miały pojęcia zawarte w RODO, przede wszystkim definicja przetwarzania. Natomiast w zakresie zasad ochrony prywatności i zasad świadczenia usług łączności elektronicznej, zastosowanie będą miały pojęcia zawarte w Europejskim Kodeksie Komunikacji Elektronicznej (EECC). Obecnie jest on również w fazie projektu.
Znalazły się w nim definicje wielu pojęć. Jedną z nich jest „usługa łączności elektronicznej”. Jest to usługa świadczona za pośrednictwem sieci łączności elektronicznej polegająca na dostępie do Internetu. Inaczej mówiąc to świadczenie usług łączności maszyna-maszyna tzw. Internet rzeczy. Z kolei pojęcie „użytkownika końcowego” rozumiane jest jako podmiot, który korzystając z publicznie dostępnych usług łączności elektronicznej, nie udostępnia publicznych sieci lub usług. Jest wyłącznie odbiorcą usługi i uczestnikiem sieci.
W opinii unijnego ustawodawcy, wobec znacznego poszerzenia ochrony prywatności użytkowników sieci - przede wszystkim Internetu - niezbędnym było szczegółowe określenie, czym jest komunikacja elektroniczna i co stanowi jej części składowe. Z tego też względu, EPR wprowadza pojęcie połączenia elektronicznego, które będzie rozumiane, jako wymiana elektronicznych komunikatów pomiędzy skończoną liczbą użytkowników. Nowymi pojęciami są także:
- treść połączeń elektronicznych - oznaczająca tekst, głos, dźwięk, obraz;
- metadane połączeń elektronicznych - oznaczające wszelkie dane dotyczące użytkownika końcowego, przetwarzane na potrzeby transmisji, dystrybucji lub wymiany zawartości elektronicznego komunikatu, obejmujące m.in. datę, miejsce, długość trwania komunikatu, jego typ oraz przeznaczenie, jak również dane dotyczące urządzenia umożliwiające zidentyfikowanie użytkownika końcowego;
- dane połączeń elektronicznych – na które składają się treść oraz metadane.
EPR odsyła także do definicji urządzenia końcowego, zawartego w Dyrektywie Komisji 2008/63/WE z dnia 20 czerwca 2008 r. w sprawie konkurencji na rynkach końcowych urządzeń telekomunikacyjnych, przez które należy rozumieć każde urządzenie podłączone do sieci publicznej w celu przesyłania, przetwarzania lub odbierania informacji – a zatem przede wszystkim komputery, smartfony, czy tablety.
Znalazły się w nim definicje wielu pojęć. Jedną z nich jest „usługa łączności elektronicznej”. Jest to usługa świadczona za pośrednictwem sieci łączności elektronicznej polegająca na dostępie do Internetu. Inaczej mówiąc to świadczenie usług łączności maszyna-maszyna tzw. Internet rzeczy. Z kolei pojęcie „użytkownika końcowego” rozumiane jest jako podmiot, który korzystając z publicznie dostępnych usług łączności elektronicznej, nie udostępnia publicznych sieci lub usług. Jest wyłącznie odbiorcą usługi i uczestnikiem sieci.
W opinii unijnego ustawodawcy, wobec znacznego poszerzenia ochrony prywatności użytkowników sieci - przede wszystkim Internetu - niezbędnym było szczegółowe określenie, czym jest komunikacja elektroniczna i co stanowi jej części składowe. Z tego też względu, EPR wprowadza pojęcie połączenia elektronicznego, które będzie rozumiane, jako wymiana elektronicznych komunikatów pomiędzy skończoną liczbą użytkowników. Nowymi pojęciami są także:
- treść połączeń elektronicznych - oznaczająca tekst, głos, dźwięk, obraz;
- metadane połączeń elektronicznych - oznaczające wszelkie dane dotyczące użytkownika końcowego, przetwarzane na potrzeby transmisji, dystrybucji lub wymiany zawartości elektronicznego komunikatu, obejmujące m.in. datę, miejsce, długość trwania komunikatu, jego typ oraz przeznaczenie, jak również dane dotyczące urządzenia umożliwiające zidentyfikowanie użytkownika końcowego;
- dane połączeń elektronicznych – na które składają się treść oraz metadane.
EPR odsyła także do definicji urządzenia końcowego, zawartego w Dyrektywie Komisji 2008/63/WE z dnia 20 czerwca 2008 r. w sprawie konkurencji na rynkach końcowych urządzeń telekomunikacyjnych, przez które należy rozumieć każde urządzenie podłączone do sieci publicznej w celu przesyłania, przetwarzania lub odbierania informacji – a zatem przede wszystkim komputery, smartfony, czy tablety.
Zakres obowiązywania EPR
EPR swoimi postanowieniami obejmuje przetwarzanie danych połączeń elektronicznych, w związku z korzystaniem z usług łączności elektronicznej oraz przetwarzanie informacji związanych z urządzeniami końcowymi użytkowników końcowych realizowane przez wszelkie podmioty zapewniające usługi łączności elektronicznej oraz prowadzące publicznie dostępne spisy abonentów, a także podmioty, których działalność nie była dotychczas objęta regulacją e-privacy – zapewniające dostęp do oprogramowania umożliwiającego elektroniczną komunikację tzw. OTT.
Ponadto EPR ma także zastosowanie do jakichkolwiek podmiotów, które korzystając z usług łączności elektronicznej zbierają informacje o użytkownikach końcowych lub kierują do nich reklamy wykorzystując przy tym środki marketingu bezpośredniego. Są to zatem takie podmioty, jak Google, które poprzez swoje usługi monitorowania użytkownika, umożliwiają reklamodawcom profilowanie reklam dla konkretnego użytkownika. Należy przy tym zwrócić uwagę, że elektroniczne komunikaty są objęte ochroną niezależnie od tego, czy dotyczą one osób fizycznych czy prawnych – w przeciwieństwie do zasad ochrony danych osobowych. Z tego też względu każde przetwarzanie danych połączeń elektronicznych będzie podlegało ochronie rozporządzenia EPR. Ponadto w przeciwieństwie do obowiązującej dyrektywy e-privacy, rozporządzenie obejmuje wszelkie elementy łączności elektronicznej, a nie jedynie dane osobowe przekazywane w związku z jej prowadzeniem.
Ponadto EPR ma także zastosowanie do jakichkolwiek podmiotów, które korzystając z usług łączności elektronicznej zbierają informacje o użytkownikach końcowych lub kierują do nich reklamy wykorzystując przy tym środki marketingu bezpośredniego. Są to zatem takie podmioty, jak Google, które poprzez swoje usługi monitorowania użytkownika, umożliwiają reklamodawcom profilowanie reklam dla konkretnego użytkownika. Należy przy tym zwrócić uwagę, że elektroniczne komunikaty są objęte ochroną niezależnie od tego, czy dotyczą one osób fizycznych czy prawnych – w przeciwieństwie do zasad ochrony danych osobowych. Z tego też względu każde przetwarzanie danych połączeń elektronicznych będzie podlegało ochronie rozporządzenia EPR. Ponadto w przeciwieństwie do obowiązującej dyrektywy e-privacy, rozporządzenie obejmuje wszelkie elementy łączności elektronicznej, a nie jedynie dane osobowe przekazywane w związku z jej prowadzeniem.
Nie dla systemów wewnętrznych
Przepisy EPR nie mają jednak zastosowania do działań leżących poza kompetencją Unii, usług łączności elektronicznej niedostępnych publicznie (np. wewnętrzne systemy w przedsiębiorstwach), a także przetwarzania takich komunikatów przez organy państw członkowskich UE spowodowanych koniecznością zapewnienia bezpieczeństwa wewnętrznego kraju, obrony, czy też egzekwowania krajowego prawa karnego. Niemniej jednak państwa członkowskie powinny przyjąć stosowne przepisy w tym względzie tak, aby ewentualne przetwarzanie przez władze państwowe poufnych komunikatów, pozostało zgodnie z EPR wyjątkiem, a nie stało się zasadą.
Aby ochroną objąć jak największą ilość przetwarzanych danych łączności elektronicznej, EPR będzie miało zastosowanie do świadczenia usług łączności elektronicznej na rzecz użytkowników końcowych zamieszkujących w UE - niezależnie od tego, czy usługa jest płatna bądź darmowa. EPR ma być też stosowane do użytkowania takich usług oraz w celu zapewnienia ochrony informacjom, które są związane z urządzeniem końcowym należącym do użytkownika końcowego, zamieszkującego w UE. Każda usługa, która w ostatecznym rezultacie jest wykonywana na terenie UE lub użytkownik końcowy zamieszkały w Unii z niej korzysta, będzie musiała spełniać wszelkie wymogi przewidziane w EPR.
Rozszerzony w stosunku do dyrektywy e-privacy zakres zastosowania EPR, obejmuje poza tradycyjnymi środkami łączności elektronicznej takimi jak telefon czy SMS, wspomniane wyżej usługi OTT, a także komunikację na linii maszyna-maszyna. Chodzi tu o połączenia elektroniczne pomiędzy urządzeniami, bez udziału człowieka, o ile przetwarzają dane osobowe lub informacje dotyczące użytkowników końcowych. Także podmioty, które udostępniają publicznie dostępne sieci wifi (hotspoty), będą zobowiązane do przestrzegania przepisów EPR.
Aby ochroną objąć jak największą ilość przetwarzanych danych łączności elektronicznej, EPR będzie miało zastosowanie do świadczenia usług łączności elektronicznej na rzecz użytkowników końcowych zamieszkujących w UE - niezależnie od tego, czy usługa jest płatna bądź darmowa. EPR ma być też stosowane do użytkowania takich usług oraz w celu zapewnienia ochrony informacjom, które są związane z urządzeniem końcowym należącym do użytkownika końcowego, zamieszkującego w UE. Każda usługa, która w ostatecznym rezultacie jest wykonywana na terenie UE lub użytkownik końcowy zamieszkały w Unii z niej korzysta, będzie musiała spełniać wszelkie wymogi przewidziane w EPR.
Rozszerzony w stosunku do dyrektywy e-privacy zakres zastosowania EPR, obejmuje poza tradycyjnymi środkami łączności elektronicznej takimi jak telefon czy SMS, wspomniane wyżej usługi OTT, a także komunikację na linii maszyna-maszyna. Chodzi tu o połączenia elektroniczne pomiędzy urządzeniami, bez udziału człowieka, o ile przetwarzają dane osobowe lub informacje dotyczące użytkowników końcowych. Także podmioty, które udostępniają publicznie dostępne sieci wifi (hotspoty), będą zobowiązane do przestrzegania przepisów EPR.
Szeroka ochrona
Proponowany zakres ochrony EPR jest zatem bardzo szeroki i będzie obejmował dużo większą liczbę podmiotów niż obecnie. Obowiązanymi będą głównie wszystkie podmioty prowadzące strony internetowe umożliwiające wzajemną komunikację użytkowników, podmioty dostarczające oprogramowanie w postaci przeglądarek internetowych, czy różnego aplikacji instalowanych na komputerach, smartfonach, tabletach itp., które będą przetwarzać jakiekolwiek dane osobowe w rozumieniu RODO lub dane połączeń elektronicznych. W dzisiejszych realiach, właściwie każdy usługodawca - nawet jeżeli jego podstawową działalnością nie jest działalność usług łączności elektronicznej (np. bank), o ile jednak tworzy on aplikację na smartfon umożliwiającą dostęp do konta - będzie zobowiązany do wdrożenia i przestrzegania regulacji zawartych w EPR.
Zobowiązane będą też podmioty, które niejako przy okazji, świadczą usługi np. dostępu do sieci wifi, a zatem wszelkiego rodzaju kawiarnie, restauracje czy tradycyjne sklepy. A zatem, właściwie każdy podmiot, który w jakikolwiek sposób wykorzystuje nowoczesne technologie komunikacji z klientami, będzie zobowiązany do przestrzegania rygorów EPR.
Zobowiązane będą też podmioty, które niejako przy okazji, świadczą usługi np. dostępu do sieci wifi, a zatem wszelkiego rodzaju kawiarnie, restauracje czy tradycyjne sklepy. A zatem, właściwie każdy podmiot, który w jakikolwiek sposób wykorzystuje nowoczesne technologie komunikacji z klientami, będzie zobowiązany do przestrzegania rygorów EPR.
Przede wszystkim zasada poufności
Zasadą, która leży u podstaw świadczenia jakiejkolwiek usługi łączności elektronicznej, podobnie jak na gruncie dotychczasowej dyrektywy e-privacy, jest zasada poufności określona w art. 5 EPR. A zatem jakakolwiek ingerencja w połączenie elektroniczne, taka jak podsłuchiwanie, monitorowanie, skanowanie, nagrywanie czy przetwarzanie przez jakikolwiek podmiot, bez zgody użytkowników końcowych, jest zakazana o ile EPR nie stanowi inaczej. Przetwarzanie takich danych jest więc wykluczone, poza ściśle określonymi wyjątkami.
Usługodawcy, zgodnie z EPR, będą mogli przetwarzać dane, gdy będzie to niezbędne do:
- przeprowadzenia transmisji danego połączenia, na czas jego trwania, utrzymania lub
- odtworzenia bezpieczeństwa połączenia lub wykrywania błędów i wad w transmisji danych.
W przypadku metadanych ich przetwarzanie będzie dopuszczalne wyłącznie w przypadkach, gdy:
- jest to niezbędne do utrzymania przewidzianych w prawie UE wymogów jakości świadczonych usług,
- jest to niezbędne dla celów obliczania wynagrodzenia za usługi, wykrywania i zapobiegania oszustwom, nadużyciom lub do wykonywania subskrypcji usług,
-użytkownik końcowy, którego metadane dotyczą, udzielił uprzedniej zgody usługodawcy na przetwarzanie konkretnych metadanych, w ściśle określonym celu, zakładając, że ten określony cel, nie może być osiągnięty poprzez przetwarzanie zanonimizowanych informacji.
Natomiast treść połączeń elektronicznych będzie mogła być przetwarzana przez usługodawców, wyłącznie:
-w celu realizacji konkretnej usługi dla użytkownika końcowego, jeżeli ten wyraził zgodę na przetwarzanie treści, a zrealizowanie usługi nie jest bez tego możliwe,
- wszyscy zainteresowani użytkownicy końcowi wyrazili zgodę na przetwarzanie treści łączności elektronicznej w jednym lub kilku określonych celach, które nie mogą być osiągnięte przez przetwarzanie zanonimizowanych informacji, a usługodawca uprzednio skonsultował się w tej sprawie z krajowym organem nadzorczym.
Usługodawcy, zgodnie z EPR, będą mogli przetwarzać dane, gdy będzie to niezbędne do:
- przeprowadzenia transmisji danego połączenia, na czas jego trwania, utrzymania lub
- odtworzenia bezpieczeństwa połączenia lub wykrywania błędów i wad w transmisji danych.
W przypadku metadanych ich przetwarzanie będzie dopuszczalne wyłącznie w przypadkach, gdy:
- jest to niezbędne do utrzymania przewidzianych w prawie UE wymogów jakości świadczonych usług,
- jest to niezbędne dla celów obliczania wynagrodzenia za usługi, wykrywania i zapobiegania oszustwom, nadużyciom lub do wykonywania subskrypcji usług,
-użytkownik końcowy, którego metadane dotyczą, udzielił uprzedniej zgody usługodawcy na przetwarzanie konkretnych metadanych, w ściśle określonym celu, zakładając, że ten określony cel, nie może być osiągnięty poprzez przetwarzanie zanonimizowanych informacji.
Natomiast treść połączeń elektronicznych będzie mogła być przetwarzana przez usługodawców, wyłącznie:
-w celu realizacji konkretnej usługi dla użytkownika końcowego, jeżeli ten wyraził zgodę na przetwarzanie treści, a zrealizowanie usługi nie jest bez tego możliwe,
- wszyscy zainteresowani użytkownicy końcowi wyrazili zgodę na przetwarzanie treści łączności elektronicznej w jednym lub kilku określonych celach, które nie mogą być osiągnięte przez przetwarzanie zanonimizowanych informacji, a usługodawca uprzednio skonsultował się w tej sprawie z krajowym organem nadzorczym.
Warunek: anonimizacja
Ponadto przetworzona treść musi zostać usunięta lub zanonimizowana niezwłocznie po tym, jak tylko komunikacja zostanie nawiązana pomiędzy użytkownikami. Niemniej dozwolone będzie zapisywanie lub przechowywanie tych danych przez użytkowników końcowych lub podmiot trzeci, o ile podmiot ten będzie spełniał wymogi przetwarzania określone w RODO. Z kolei metadane muszą zostać usunięte lub zanonimizowane, gdy nie będą już potrzebne do osiągnięcia celu w postaci przeprowadzenia transmisji lub połączenia. Natomiast, gdy metadane będą przetwarzane do obliczania wynagrodzenia, mogą być przechowywane do czasu, gdy zapłata może być skutecznie dochodzona w świetle krajowego prawa, czyli w praktyce do czasu przedawnienia roszczenia o zapłatę.
Przedmiotowa regulacja dotycząca zasad, w oparciu o które będzie możliwe przetwarzanie danych, jest bardzo istotna z punktu widzenia praktycznego. Wymagana będzie bowiem zgoda na każde przetwarzanie treści i metadanych. Zgodna ta nie jest niezbędna do zrealizowania usługi, a zatem przede wszystkim wszelkiego rodzaju działania marketingowe, czy reklamowe.
Przedmiotowa regulacja dotycząca zasad, w oparciu o które będzie możliwe przetwarzanie danych, jest bardzo istotna z punktu widzenia praktycznego. Wymagana będzie bowiem zgoda na każde przetwarzanie treści i metadanych. Zgodna ta nie jest niezbędna do zrealizowania usługi, a zatem przede wszystkim wszelkiego rodzaju działania marketingowe, czy reklamowe.
Ochrona informacji związanych z urządzeniami końcowymi użytkowników końcowych
Nowością na gruncie ochrony e-privacy będzie również wprowadzona ochrona informacji znajdujących się na urządzeniach końcowych oraz danych związanych z tym urządzeniem, takich jak jego parametry, funkcje, oprogramowanie, aktywność użytkownika w sieci itp., których to zbieranie będzie zakazane z wyłączeniem przypadków, gdy:
- jest to niezbędne wyłącznie w celu zrealizowania transmisji w danej komunikacji,
- użytkownik końcowy wyraził na to uprzednią zgodę,
- jest to niezbędne dla zapewnienia usług społeczeństwa informacyjnego, których zażądał użytkownik (czyli wszelkiego rodzaju portale społecznościowe).
Ponadto zbieranie danych, wysyłanych przez samo urządzenie końcowe w celu umożliwienia połączenia się z innym urządzeniem lub siecią, będzie zakazane, z wyjątkiem gdy:
- takie zbieranie jest realizowane wyłącznie w celu zapewnienia połączenia,
- zostanie podana do publicznej informacji, w jasny i widoczny sposób, wiadomość, z której będzie wynikać co najmniej sposób zbierania danych, jego cel, dane podmiotu odpowiedzialnego oraz informacje, jakie zgodnie z RODO musi podać administrator, a także informacje, w jaki sposób użytkownik końcowy może przedsięwziąć, aby wyłączyć lub zminimalizować zbieranie takich danych. Informacje takie mogą być podane poprzez przedstawienie zestandaryzowanych znaków graficznych tak, aby przekaz był jasny i zrozumiały dla jego odbiorcy. Znaki takie będą mogły być ustalone przez Komisję w wydawanych przez nią aktach prawnych.
Oznacza to w praktyce, że podmiot, chcąc uzyskiwać dane np. dotyczące lokalizacji urządzenia, będzie musiał podać użytkownikowi podczas uruchamiania aplikacji lub otwarcia strony internetowej ww. informacje dotyczące sposobu i celu zbierania takich danych, a także sposobu umożliwiającego użytkownikowi wyłączenie takiego dostępu do danych.
- jest to niezbędne wyłącznie w celu zrealizowania transmisji w danej komunikacji,
- użytkownik końcowy wyraził na to uprzednią zgodę,
- jest to niezbędne dla zapewnienia usług społeczeństwa informacyjnego, których zażądał użytkownik (czyli wszelkiego rodzaju portale społecznościowe).
Ponadto zbieranie danych, wysyłanych przez samo urządzenie końcowe w celu umożliwienia połączenia się z innym urządzeniem lub siecią, będzie zakazane, z wyjątkiem gdy:
- takie zbieranie jest realizowane wyłącznie w celu zapewnienia połączenia,
- zostanie podana do publicznej informacji, w jasny i widoczny sposób, wiadomość, z której będzie wynikać co najmniej sposób zbierania danych, jego cel, dane podmiotu odpowiedzialnego oraz informacje, jakie zgodnie z RODO musi podać administrator, a także informacje, w jaki sposób użytkownik końcowy może przedsięwziąć, aby wyłączyć lub zminimalizować zbieranie takich danych. Informacje takie mogą być podane poprzez przedstawienie zestandaryzowanych znaków graficznych tak, aby przekaz był jasny i zrozumiały dla jego odbiorcy. Znaki takie będą mogły być ustalone przez Komisję w wydawanych przez nią aktach prawnych.
Oznacza to w praktyce, że podmiot, chcąc uzyskiwać dane np. dotyczące lokalizacji urządzenia, będzie musiał podać użytkownikowi podczas uruchamiania aplikacji lub otwarcia strony internetowej ww. informacje dotyczące sposobu i celu zbierania takich danych, a także sposobu umożliwiającego użytkownikowi wyłączenie takiego dostępu do danych.
Zgoda
EPR w swoich postanowieniach podkreśla i uwydatnia znaczenie zgody, w stosunku do poprzedniej regulacji zawartej w dyrektywie. Wskazuje, że zgoda udzielana na przetwarzanie jakichkolwiek danych łączności elektronicznej może być udzielana na zasadach określonych w RODO. Powyższe oznacza, że zgoda musi być dobrowolna, świadoma i wyraźna, a dany użytkownik musi mieć świadomość na co dokładnie się godzi, czyli komu udostępnia swoje dane, jakie konkretnie dane będą przetwarzane i w jakim celu. Zgoda taka będzie mogła być udzielona zarówno wyraźnie (np. zaznaczenie właściwego okienka na konkretnej stronie internetowej) lub też poprzez ustawienie odpowiednich opcji w danym programie umożliwiającym dostęp do Internetu – przede wszystkim w przeglądarce internetowej.
Unijny ustawodawca w EPR szczególny nacisk położył na tzw. cookies (ciasteczka), a także oprogramowanie śledzące i pozyskujące informacje o urządzeniu końcowym lub samym użytkowniku, a które to mogą zawierać dane dotyczące życia, zdrowia, światopoglądu, życia rodzinnego, czy jego lokalizacji. Dlatego przyjęto, że dostęp do takich danych lub ich pozyskanie, będzie dozwolone, gdy użytkownik końcowy wyrazi na to zgodę, która będzie obejmowała konkretny cel przetwarzania.
Z tego też względu wszelkie podmioty tworzące wspomniane oprogramowanie będą zobowiązane do modyfikacji swoich programów, tak, aby przewidywały należyty poziom ochrony oraz procedurę wyrażania zgody. Z EPR wynika, iż powinno to odbywać się poprzez prosty wybór odpowiednich opcji w programie (przeglądarce). Użytkownik będzie mógł zatem wybrać, na co domyślnie wyraża zgodę oraz jakiego przetwarzania jego danych nie akceptuje. Oprogramowanie będzie musiało zatem przewidywać możliwość zapobieżenia przechowywaniu przez podmioty trzecie informacji na urządzeniu końcowym (cookies) lub przetwarzania danych znajdujących się na tym urządzeniu (np. danych dotyczących lokalizacji urządzenia).
Natomiast wskazanie w programie i ustawienie preferowanych przez użytkownika końcowego opcji dostępu podmiotów trzecich do danych łączności elektronicznej, będzie wiązało wszelkie inne podmioty uzyskujące łączność z użytkownikiem za pośrednictwem tego programu. W praktyce ustawienie w przeglądarce swoich preferencji dotyczących np. cookies, będzie miało zastosowanie automatycznie do wszystkich odwiedzanych przez użytkownika końcowego stronach, a użytkownik końcowy będzie mógł z góry odmówić zgody na przetwarzanie wytwarzanych przez niego informacji i danych.
Unijny ustawodawca w EPR szczególny nacisk położył na tzw. cookies (ciasteczka), a także oprogramowanie śledzące i pozyskujące informacje o urządzeniu końcowym lub samym użytkowniku, a które to mogą zawierać dane dotyczące życia, zdrowia, światopoglądu, życia rodzinnego, czy jego lokalizacji. Dlatego przyjęto, że dostęp do takich danych lub ich pozyskanie, będzie dozwolone, gdy użytkownik końcowy wyrazi na to zgodę, która będzie obejmowała konkretny cel przetwarzania.
Z tego też względu wszelkie podmioty tworzące wspomniane oprogramowanie będą zobowiązane do modyfikacji swoich programów, tak, aby przewidywały należyty poziom ochrony oraz procedurę wyrażania zgody. Z EPR wynika, iż powinno to odbywać się poprzez prosty wybór odpowiednich opcji w programie (przeglądarce). Użytkownik będzie mógł zatem wybrać, na co domyślnie wyraża zgodę oraz jakiego przetwarzania jego danych nie akceptuje. Oprogramowanie będzie musiało zatem przewidywać możliwość zapobieżenia przechowywaniu przez podmioty trzecie informacji na urządzeniu końcowym (cookies) lub przetwarzania danych znajdujących się na tym urządzeniu (np. danych dotyczących lokalizacji urządzenia).
Natomiast wskazanie w programie i ustawienie preferowanych przez użytkownika końcowego opcji dostępu podmiotów trzecich do danych łączności elektronicznej, będzie wiązało wszelkie inne podmioty uzyskujące łączność z użytkownikiem za pośrednictwem tego programu. W praktyce ustawienie w przeglądarce swoich preferencji dotyczących np. cookies, będzie miało zastosowanie automatycznie do wszystkich odwiedzanych przez użytkownika końcowego stronach, a użytkownik końcowy będzie mógł z góry odmówić zgody na przetwarzanie wytwarzanych przez niego informacji i danych.
Nie można będzie przychwytywać cookies
Powyższe zmiany w sposób znaczący zmodyfikują zasady panujące w sieci, przede wszystkim na rynku reklamy internetowej. Obecnie, właściwie z każdą stroną internetową powiązane są dodatkowe aplikacje śledzące, czy to związane z oferowaniem reklam, czy też z działalnością portali społecznościowych. Podmioty trzecie mogą obecnie właściwie bez przeszkód, monitorować aktywność użytkownika, tj. ile czasu poświęca na poszczególne aktywności, jakiego typu strony przegląda itp. – chyba że konkretny użytkownik zainstaluje dodatkowe oprogramowanie blokujące taką możliwość), a co przekłada się na możliwość personalizowania treści oferowanych użytkownikowi.
Przepisy EPR przewidują natomiast, że w zakresie przetwarzania danych dotyczących użytkownika końcowego, w szczególności na potrzeby oferowania reklam, będzie musiała być udzielona przez użytkownika zgoda. Taka regulacja z pewnością największy wpływ wywrze na podmioty zajmujące się wyłącznie nabywaniem i sprzedażą reklam w sieci oraz na podmioty świadczące darmowe usługi internetowe. Są one bowiem w przeważającej mierze finansowane ze sprzedaży reklam.
Usługodawcy bez stosownej zgody użytkownika końcowego, nie będą zatem mogli przechowywać ciasteczek na jego urządzeniu, monitorować aktywności użytkownika w sieci czy np. śledzić jego położenia, w celu oferowania mu odpowiednio dobranych reklam. Z kolei dostawcy poczty e-mail np. Google skanujący e-maile użytkowników, w celu spersonalizowania kierowanych do nich reklam, nie będą mogli tego realizować, bez zgody użytkownika.
Jednakże dopiero praktyka pokaże, czy podnoszone przez przedsiębiorców obawy, jakoby wprowadzane przepisy miałyby zmniejszyć przychody z reklam i utrudnić prowadzenie działalności w Internecie. Niemniej wydaje się, że przepisy EPR z pewnością przyczynią się do uregulowania unijnego rynku reklamy internetowej, a ponadto mogą wymusić na przedsiębiorcach zmianę sposobu oferowania reklam, czy też wręcz spowodować zasadniczą zmianę źródeł finansowania działalności w sieci, przede wszystkim w zakresie usług darmowych dla użytkownika końcowego.
Przepisy EPR przewidują natomiast, że w zakresie przetwarzania danych dotyczących użytkownika końcowego, w szczególności na potrzeby oferowania reklam, będzie musiała być udzielona przez użytkownika zgoda. Taka regulacja z pewnością największy wpływ wywrze na podmioty zajmujące się wyłącznie nabywaniem i sprzedażą reklam w sieci oraz na podmioty świadczące darmowe usługi internetowe. Są one bowiem w przeważającej mierze finansowane ze sprzedaży reklam.
Usługodawcy bez stosownej zgody użytkownika końcowego, nie będą zatem mogli przechowywać ciasteczek na jego urządzeniu, monitorować aktywności użytkownika w sieci czy np. śledzić jego położenia, w celu oferowania mu odpowiednio dobranych reklam. Z kolei dostawcy poczty e-mail np. Google skanujący e-maile użytkowników, w celu spersonalizowania kierowanych do nich reklam, nie będą mogli tego realizować, bez zgody użytkownika.
Jednakże dopiero praktyka pokaże, czy podnoszone przez przedsiębiorców obawy, jakoby wprowadzane przepisy miałyby zmniejszyć przychody z reklam i utrudnić prowadzenie działalności w Internecie. Niemniej wydaje się, że przepisy EPR z pewnością przyczynią się do uregulowania unijnego rynku reklamy internetowej, a ponadto mogą wymusić na przedsiębiorcach zmianę sposobu oferowania reklam, czy też wręcz spowodować zasadniczą zmianę źródeł finansowania działalności w sieci, przede wszystkim w zakresie usług darmowych dla użytkownika końcowego.
Udostępnianie danych państwom członkowskim
EPR przewiduje ponadto, że poszczególne kraje Unii będą uprawnione, aby w krajowym ustawodawstwie ograniczyć niektóre prawa i obowiązki przewidziane w tym rozporządzeniu, m.in. w celu zapewnienia należytego poziomu bezpieczeństwa publicznego, czy też w celu zapobiegania i wykrywania przestępstw lub też prowadzenia postępowań karnych, w tym wykonywania kar.
Natomiast usługodawcy będą musieli ustalić wewnętrzne procedury odpowiadania na zapytania państw oraz udostępniania danych, w oparciu o krajowe przepisy. Jest to istotna regulacja, bowiem w praktyce bardzo często zdarza się, że usługodawcy np. Facebook odmawiają udostępnienia jakichkolwiek danych, często nie wskazując konkretnej przyczyny. Przepisy EPR pozwolą to zmienić tak, aby usługodawcy częściej udzielali informacji na zapytania poszczególnych organów państwowych, gdy ich prawo zostało naruszone.
Natomiast usługodawcy będą musieli ustalić wewnętrzne procedury odpowiadania na zapytania państw oraz udostępniania danych, w oparciu o krajowe przepisy. Jest to istotna regulacja, bowiem w praktyce bardzo często zdarza się, że usługodawcy np. Facebook odmawiają udostępnienia jakichkolwiek danych, często nie wskazując konkretnej przyczyny. Przepisy EPR pozwolą to zmienić tak, aby usługodawcy częściej udzielali informacji na zapytania poszczególnych organów państwowych, gdy ich prawo zostało naruszone.
Publicznie dostępne spisy
W zakresie publicznie dostępnych spisów wprowadzono regulację przewidującą, iż usługodawcy prowadzący spisy (public available directories), będą musieli uzyskać uprzednią zgodę osób fizycznych, na użycie ich danych osobowych w danym spisie. EPR nie dzieli osób fizycznych na przedsiębiorców oraz osoby nieprowadzące działalności gospodarczej, a zatem konieczne będzie uzyskanie zgody każdej osoby fizycznej, przed umieszczeniem jej danych w spisie.
Odnośnie natomiast osób prawnych, będzie dopuszczalne umieszczenie w spisie danych jej dotyczących bez konieczności uzyskiwania zgody. Takie podmioty natomiast będą uprawnione do złożenia sprzeciwu, co do umieszczenia ich w spisie. Ponadto zarówno osoby fizyczne, jak i os. prawne, będą uprawnione do weryfikacji, poprawy i usunięcia takich danych.
Odnośnie natomiast osób prawnych, będzie dopuszczalne umieszczenie w spisie danych jej dotyczących bez konieczności uzyskiwania zgody. Takie podmioty natomiast będą uprawnione do złożenia sprzeciwu, co do umieszczenia ich w spisie. Ponadto zarówno osoby fizyczne, jak i os. prawne, będą uprawnione do weryfikacji, poprawy i usunięcia takich danych.
Komunikaty niezamówione
To nie wszystkie zmiany, jakie prowadza projekt rozporządzenia EPR. Modyfikuje on bowiem także zasady dotyczące niezamówionych komunikatów reklamowych. Używanie przez jakikolwiek podmiot usług łączności elektronicznej do celów marketingu bezpośredniego jest dozwolone wyłącznie, gdy użytkownik końcowy będący osobą fizyczną, wyraził na to zgodę. Powyższy zakaz został zatem rozszerzony na wszelkie reklamy i marketing bezpośredni - niezależnie od tego, kto jest nadawcą takiego przekazu i niezależnie od tego, poprzez jaką usługę taki przekaz jest wysyłany.
Niemniej w dalszym ciągu podmioty, które uzyskały - zgodnie z RODO - od swoich klientów dane kontaktowe, np. e-mail, będą uprawnione do przekazywania tym klientom informacji czy reklam dotyczących wprowadzania nowych produktów czy usług, a klient został pouczony o możliwości sprzeciwiania się wykorzystywania jego danych w taki sposób i nie sprzeciwił się takiemu wykorzystywaniu.
Nowością będzie także to, że każdy podmiot kontaktujący się w celu marketingu bezpośredniego, będzie musiał przedstawić użytkownikowi końcowemu swoje dane lub numer, jak również przedstawić specjalny kod lub prefiks numeru telefonu, wykazujący że dane połączenie jest realizowane w celach marketingowych. Powyższe powoduje, że wszelkie połączenia reklamowe, wykonywane np. przez pracowników call-center, będą musiały posiadać specjalny, ustalany przez Komisję UE, prefiks przed numerem telefonu identyfikujący połączenie reklamowe, tak aby odbiorca połączenia z góry wiedział, że ma do czynienia z połączeniem realizowanym w celach marketingowych.
Proponowane zmiany w zakresie e-privacy niewątpliwie uporządkują rynek reklamy internetowej, a także oddadzą w ręce użytkowników narzędzia, dające kontrolę nad przetwarzaniem konkretnych danych. Praktyka jednak pokaże, czy ograniczenie dotychczasowych praktyk polegających właściwie na pozyskiwaniu danych przez reklamodawców w sposób nieograniczony, wpłynie na przychody poszczególnych przedsiębiorców.
Autorzy: Bogdan Fischer, radca prawny i partner w Kancelarii Chałas i Wspólnicy, szef departamentu ochrony własności intelektualnej i danych oraz Miłosz Mazewski, radca prawny w Kancelarii Chałas i Wspólnicy
Niemniej w dalszym ciągu podmioty, które uzyskały - zgodnie z RODO - od swoich klientów dane kontaktowe, np. e-mail, będą uprawnione do przekazywania tym klientom informacji czy reklam dotyczących wprowadzania nowych produktów czy usług, a klient został pouczony o możliwości sprzeciwiania się wykorzystywania jego danych w taki sposób i nie sprzeciwił się takiemu wykorzystywaniu.
Nowością będzie także to, że każdy podmiot kontaktujący się w celu marketingu bezpośredniego, będzie musiał przedstawić użytkownikowi końcowemu swoje dane lub numer, jak również przedstawić specjalny kod lub prefiks numeru telefonu, wykazujący że dane połączenie jest realizowane w celach marketingowych. Powyższe powoduje, że wszelkie połączenia reklamowe, wykonywane np. przez pracowników call-center, będą musiały posiadać specjalny, ustalany przez Komisję UE, prefiks przed numerem telefonu identyfikujący połączenie reklamowe, tak aby odbiorca połączenia z góry wiedział, że ma do czynienia z połączeniem realizowanym w celach marketingowych.
Proponowane zmiany w zakresie e-privacy niewątpliwie uporządkują rynek reklamy internetowej, a także oddadzą w ręce użytkowników narzędzia, dające kontrolę nad przetwarzaniem konkretnych danych. Praktyka jednak pokaże, czy ograniczenie dotychczasowych praktyk polegających właściwie na pozyskiwaniu danych przez reklamodawców w sposób nieograniczony, wpłynie na przychody poszczególnych przedsiębiorców.
Autorzy: Bogdan Fischer, radca prawny i partner w Kancelarii Chałas i Wspólnicy, szef departamentu ochrony własności intelektualnej i danych oraz Miłosz Mazewski, radca prawny w Kancelarii Chałas i Wspólnicy