Rozporządzenie e-Privacy

Projekt rozporządzenia ePrivacy został przedstawiony 10 stycznia 2017 r. Rozporządzenie miało wejść w życie razem z RODO/GDPR i stanowić specjalną regulację w zakresie prywatności w Internecie (tzw. lex specialis do RODO). Negocjacje wciąż jednak trwają. Rozporządzenie jest aktem obowiązującym bezpośrednio, co oznacza że po przyjęciu ePrivacy jego implementacja do porządków prawnych państw członkowskich nie będzie niezbędna.

Oba rozporządzenia RODO/GDPR i ePrivacy były przygotowywane w ramach Strategii Jednolitego Rynku Cyfrowego w celu zwiększenia bezpieczeństwa i budowy zaufania użytkowników do usług cyfrowych. W 2017 r. odbył się przegląd dyrektywy 2002/58/WE[1], na podstawie którego Komisja stwierdziła, że choć cele i zasady zawarte w dyrektywie nadal są słuszne, to ze względu na istotne zmiany technologiczne i gospodarcze konieczne jest zaproponowanie nowej regulacji. Wynikiem prac było przygotowanie projektu Rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego  oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej), tzw. ePrivacy.

Projekt rozporządzenia ePrivacy

Projekt regulacji obejmuje dostawców usług telekomunikacyjnych, dostawców Internetu oraz podmioty typu: Facebook, Messenger, Skype, Gmail, WhatsApp czy Viber. Rozporządzenie dotyczy także tych podmiotów, które mają siedzibę poza Unią Europejską, a świadczą usługi obywatelom któregoś z krajów UE. Ma też zastosowanie do komunikatów przesyłanych w trybie maszyna-maszyna (Internet Rzeczy) i danych pochodzących z publicznych i półprywatnych sieci łączności (hotspoty).

Przetwarzanie danych

W związku z rozwojem technologii bezprzewodowych, rozporządzenie rozszerza definicję danych pochodzących z łączności elektronicznej i włącza do niej nie tylko przesyłane treści, ale także informacje o użytkownikach końcowych, dane służące do śledzenia i zidentyfikowania źródła, miejsca łączności, lokalizację geograficzną, datę, godzinę, czas trwania i rodzaj łączności. Wszystkie te dane powinny być traktowane jako poufne, a ingerencja przez osoby inne niż użytkownicy końcowi została zakazana.

Wyjątek stanowią sytuacje, w których dostawcy usługi:

  • wykorzystują przetwarzanie danych do przesyłu komunikatu, a także w celu utrzymania lub przywrócenia bezpieczeństwa sieci, w tym wykrycia usterek technicznych;
  • przetwarzają metadane w celu spełnienia wymogów regulacyjnych, do naliczania opłat lub jeżeli użytkownik końcowy wyraził na to zgodę;
  • przetwarzają treść łączności elektronicznej do świadczenia usługi, pod warunkiem, że jest to konieczne i odbywa się za zgodą użytkownika.  

Rozporządzenie reguluje także przechowywanie i usuwanie danych. Po dostarczeniu treści łączności elektronicznej do odbiorcy, dostawca usługi ma obowiązek usunąć treść lub zanonimizować zarówno dane, jak i metadane. Wyjątkiem jest możliwość przechowywania metadanych niezbędnych do naliczania płatności.

Zgoda użytkowników na przetwarzanie i przechowywanie ich danych może być wyrażona w formie elektronicznej. Rozporządzenie daje użytkownikom prawo wycofania zgody w dowolnej chwili, o czym należy im przypominać co 6 miesięcy przez cały okres przetwarzania danych.

Ochrona informacji przechowywanych w urządzeniu końcowym – pliki cookie

Informacje przechowywane na urządzeniu końcowym użytkownika (np. pliki cookie) stanowią część jego prywatnej sfery, która podlega ochronie. Techniki służące do monitorowania działań użytkowników końcowych (śledzenie aktywności, lokalizacja urządzenia itp.) stanowią, zgodnie z projektem, poważne zagrożenie prywatności i są zakazane, o ile użytkownik nie wyrazi na nie zgody. Przy czym zgoda ta powinna być jasna, jednoznaczna i możliwa do odwołania w każdym momencie. Metody uzyskania zgody powinny być przyjazne, a w momencie, gdy użytkownik decyduje się udostępnić dane w zamian za konkretną usługę, musi mieć wiedzę o warunkach takiej współpracy.

Wyjątkiem od obowiązku uzyskania zgody są sytuacje, w których przetwarzanie i przechowywanie danych nie wiąże się z żadną lub niewielką ingerencją w prywatność i gdy jest absolutnie niezbędne do wykonania usługi żądanej przez użytkownika (np. do transmisji komunikatu, podłączenia do innego urządzenia, czy dokonania płatności).

Ze względu na częstotliwość próśb o zgodę, którymi zasypywani są użytkownicy, rozporządzenie ePrivacy sugeruje zastosowanie technicznych środków wyrażenia zgody, np. poprzez ustawienia w przeglądarce lub aplikacji. Użytkownicy końcowi powinni mieć możliwość wyboru spośród szeregu ustawień prywatności, (na przykład „nigdy nie akceptuj plików cookie”, „zawsze akceptuj pliki cookie”, „odrzuć pliki cookie osób trzecich” lub „akceptuj tylko pliki cookie administratora”). Takie ustawienia prywatności powinny być przedstawione w sposób widoczny i zrozumiały.

Identyfikacja rozmów

Rozporządzenie ePrivacy daje użytkownikom prawo do kontrolowania łączności elektronicznej poprzez możliwość decydowania o identyfikacji rozmów przychodzących i wychodzących (nie tylko w ramach UE, ale także w odniesieniu do połączeń z państw trzecich). Możliwości te zapewnia się bezpłatnie. Wyjątkami są np. połączenia do służb ratunkowych.

Dostawcy usług mają obowiązek zapewnić użytkownikom bezpłatną możliwość blokowania rozmów przychodzących z konkretnych numerów lub z anonimowych źródeł, a także możliwość zatrzymania automatycznych przekierowań połączeń na urządzenia końcowe. W tym celu dostawcy powinni skorzystać z technologii, która umożliwia ograniczenie niepożądanych połączeń, blokowanie głuchych telefonów, połączeń o charakterze oszustw itp. Użytkownik ma prawo do informacji o możliwości ograniczania uciążliwych połączeń i skorzystania z takich funkcji bezpłatnie.

Użytkownicy mają również prawo decyzji, czy ich numer zostanie włączony do publicznie dostępnego spisu numerów i na jakich zasadach. W każdej chwili użytkownik może zażądać dostępu do swoich danych, ich modyfikacji, uaktualnienia, a także wykreślenia ze spisu.

Marketing bezpośredni

ePrivacy określa zasady prowadzenia marketingu bezpośredniego, który jest definiowany jako wszystkie formy reklamy, w ramach których przedsiębiorca wysyła materiały marketingowe z użyciem łączności elektronicznej. Mogą to być oferty produktów i usług, ale również wiadomości o charakterze politycznym lub promujące organizacje.

ePrivacy podaje zasady prowadzenia marketingu elektronicznego:

1. Możliwe jest rozsyłanie ofert za pomocą usług łączności elektronicznej, gdy klienci wyrazili na to zgodę.

2. Jeżeli firma uzyskała od klienta dane kontaktowe w związku ze sprzedażą produktu lub usługi, może wykorzystać te dane do komunikacji marketingowej. Klientom przysługuje prawo do rezygnacji z otrzymywania treści marketingowych w prosty sposób, bezpłatnie i przy każdym wysyłaniu wiadomości.

3. Firmy stosujące marketing bezpośredni mają obowiązek ujawnić swoją tożsamość, a także podać dane do kontaktu i jasną informację o możliwości wycofania zgody na otrzymywanie wiadomości. W przypadku marketingu telefonicznego, firma ma obowiązek posługiwać się kodem/prefiksem umożliwiającym rozpoznanie, że dany numer jest komunikacją marketingową, a także podać numer kontaktowy. W przypadku komunikacji za pośrednictwem poczty elektronicznej adres e-mail do kontaktu i informacje o możliwości wycofania zgody powinny być zawarte w treści maila. Zakazane jest ukrywanie tożsamości lub korzystanie z fałszywych adresów/numerów telefonów.

4. Firmy mają obowiązek informować użytkowników o marketingowym charakterze materiałów, komunikatów, a także o możliwości rezygnacji z otrzymywania połączeń/wiadomości marketingowych.

5. Operatorzy mają obowiązek dbać o bezpieczeństwo użytkowników, a także informować ich o możliwych środkach, które mogą podjąć w celu ochrony bezpieczeństwa swojej łączności (lub swoich połączeń).

Szczegółowe wytyczne mają być ustalone przez państwa członkowskie.

Sankcje

Naruszenia przepisów rozporządzenia podlegają administracyjnym karom pieniężnym w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa). Nad spójnym stosowaniem rozporządzenia będzie czuwać Europejska Rada Ochrony Danych.

Podsumowanie:

  • Projekt ePrivacy wzmacnia pozycję użytkowników w Internecie. Wprowadza ochronę zarówno osób fizycznych, jak i prawnych i podkreśla ich prawo do decydowania o zakresie i celu gromadzenia danych. Nakłada na dostawców usług obowiązek jasnego i wyraźnego informowania o przetwarzanych danych i umożliwia użytkownikom odwołanie zgody na takie operacje tam, gdzie nie jest to konieczne do wykonania żądanej usługi.
  • Ważnym elementem rozporządzenia jest zwiększenie przejrzystości plików cookies (służących do zapamiętywania preferencji i personalizowania stron internetowych), a także objęcie ochroną metadanych, które dostarczają szczególnie chronione informacje takie jak lokalizacja, historia przeglądarki czy godzina połączenia i czas wysłania wiadomości.
  • Z perspektywy użytkowników, dużą zmianą będzie wprowadzenie ograniczeń niechcianej komunikacji marketingowej, a także konieczność oznaczania treści o charakterze marketingowym i kanałów, którymi takie treści są udostępniane.
  • Impas w negocjacjach spowodowany jest dużą liczbą uwag o podłożu legislacyjnym zgłaszanych przez prawa członkowskie, a także silnym lobby przedstawicieli biznesu, którzy obawiają się, że ograniczenia w przetwarzaniu i wykorzystywaniu danych negatywnie wpłyną na rozwój innowacyjnych produktów i usług w UE.

[1] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)


TAGI Unia Europejska,