GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Projekt e-Privacy a RODO

10 stycznia 2017 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej – zwany e-Privacy, stanowiący akt prawny o większym stopniu szczegółowości w stosunku do RODO, który jednocześnie  uchyli dyrektywę 2002/58/WE[1]. Obie regulacje mają wspólnie stworzyć zharmonizowany reżim prawny w zakresie przetwarzania danych osobowych, prywatności online oraz usług elektronicznych. Mimo, że tekst rozporządzenia może podlegać wielokrotnym zmianom, ma ono zacząć być stosowane równocześnie z RODO, czyli 25 maja 2018 r.

Zakres obowiązywania

Jedną z fundamentalnych zmian wprowadzonych przez projekt rozporządzania e-Privacy jest rozszerzenie kategorii podmiotów, które będą musiały stosować się do przepisów e-Privacy. Akt będzie obowiązywać wszelkich dostawców usług łączności elektronicznej, a więc przede wszystkim dostawców usług z sektora OTT (over-the-top), czyli twórców aplikacji instalowanych na urządzeniach konsumenckich. We wprowadzeniu do projektu, unijny ustawodawca, podkreśla, że jednym z celów nowego prawa jest zapewnienie, aby usługi  takie jak telefonia internetowa (VoIP), komunikatory internetowe  czy poczta elektroniczna podlegały analogicznym zasadom, jak tradycyjne metody komunikacji. Aby jednak być objęte zakresem zastosowania przepisów e-Privacy, usługi te muszą mieć  charakter publicznie dostępnych.

Podobnie jak dyrektywa 2002/58/WE, nowe rozporządzenie, w ograniczonym zakresie, będzie miało zastosowanie do osób fizycznych i prawnych, które korzystają z usług łączności elektronicznej, aby wysyłać materiały handlowe do celów marketingu bezpośredniego. Dotyczyć to będzie również podmiotów gromadzących informacje związane ze sprzętem elektroniczym (urządzeniem końcowym)  użytkowników (odbiorców końcowych) bądź informacje przechowywane na takim urządzeniu (jak np. pliki cookies).

Jeśli chodzi o zakres terytorialny, został on określony podobnie jak w RODO – na zasadzie eksterytorialności. Rozporządzeniem e-Privacy objęte będą wszelkie usługi łączności elektronicznej świadczone użytkownikom końcowym znajdującym się w Unii Europejskiej, korzystanie z takich usług oraz przetwarzanie informacji związanych z urządzeniem końcowym użytkowników znajdujących się w UE.

Zasada poufności

Rozporządzenie podtrzymuje ustanowioną w dyrektywie 2002/58/WE  zasadę ochrony poufności danych pochodzących z komunikacji elektronicznej. Obejmuje ona zarówno treść komunikacji elektronicznej, czyli tekst, głos, dźwięk, obraz etc., jak i metadane pochodzące z takiej komunikacji takie jak: data, godzina, czas trwania rozmowy, czy dane lokalizacyjne. Co do zasady, przetwarzanie danych pochodzących z łączności elektronicznej jest możliwe tylko w określonych przypadkach, przede wszystkim – jeśli jest to konieczne dla realizacji usługi łączności elektronicznej, w celu utrzymania lub przywrócenia bezpieczeństwa sieci lub usług bądź za zgodą użytkownika. Rozporządzenie uszczegóławia następnie podstawy przetwarzania treści łączności elektronicznej i meta danych, jak również zasady dotyczące ich usuwania bądź anonimizacji.

Nowe zasady dotyczące cookies

Rozporządzenie e-Privacy wprowadza dużo zmian dotyczących tzw. ciasteczek, czyli niewielkich plików zapisywanych na urządzeniach użytkowników końcowych służących do śledzenia ustawień i aktywności dotyczącej witryn internetowych. Po pierwsze, nie będzie już wymagana zgoda użytkownika na instalacje takich ciasteczek, które nie wkraczają w sferę prywatności użytkownika np. mających na celu zapamiętanie wybranego przez niego języka strony lub zawartości koszyka w sklepie internetowym. Zgody nie będą też wymagane przy instalacji też ciasteczek  używanych do celów analitycznych, np. w celu liczenia ilości użytkowników odwiedzających daną stronę internetową. Zainstalowanie pozostałych rodzajów cookies (chociażby takich, które pozwalają wyświetlać zindywidualizowane reklamy) oraz innych identyfikatorów będzie wymagało zgody użytkownika, ale będzie ona wyrażana za pomocą odpowiednich ustawień przeglądarki internetowej – a nie jak dotychczas, przez akceptację powiadomień pochodzących ze strony internetowej. Dostawcy przeglądarek muszą zapewnić, aby ustawienia prywatności były co do zasady na korzyść prywatności użytkownika – czyli według znanej z RODO zasady privacy by default.

Marketing

Podobnie jak dyrektywa 2002/58/WE, projekt rozporządzenia przewiduje szereg zasad dotyczących niezamawianych materiałów marketingowych. Zasadą jest konieczność uzyskania uprzedniej zgody użytkownika na ich otrzymywanie bez względu na kanał komunikacyjny, jakim są one dostarczane. Utrzymano wyjątek dotyczący tzw. miękkiej zgody przy wykorzystywaniu danych kontaktowych dotyczących poczty elektronicznych przy wysyłaniu materiałów do klienta, o ile dotyczą one produktu lub usługi podobnych do tych, które dana osoba nabyła – ma ona jednak możliwość wyrażenia sprzeciwu wobec takiego wykorzystywania swoich danych. Jeśli chodzi o telemarketing, konieczne będzie wykonywanie połączeń ze zidentyfikowanych numerów bądź też z użyciem specjalnego prefiksu lub kodu, który pozwoli użytkownikowi rozpoznać, że połączenie ma charakter marketingowy. Alternatywnie, państwa członkowskie mogą też wprowadzić specjalne publicznie dostępne rejestry pozwalające na zarejestrowanie swojego numeru telefonu jako nieprzyjmującego połączeń marketingowych (takie rozwiązanie sprawdza się już od wielu lat w Wielkiej Brytanii).

Harmonizacja z RODO

Według projektu rozporządzenia e-Privacy, jego przepisy uszczegóławiają i uzupełniają GDPR. Art. 9 projektu mówi wyraźnie o tym, że gdy tylko mowa o zgodzie użytkownika, zastosowanie ma mieć definicja oraz warunki zgody wyrażone w RODO. Jedynym wyjątkiem od tej zasady ma być instalowanie cookies – jeśli jest to techniczne możliwe i wykonalne, zgodę będzie można wyrazić poprzez wykorzystanie właściwych ustawień technicznych oprogramowania umożliwiającego dostęp do Internetu.

Projekt przewiduje identyczne jak RODO sankcje karne za nieprzestrzeganie swoich postanowień czyli do 4% całkowitego rocznego światowego dochodu  w przypadku przedsiębiorcy lub do 20 000 000 EUR. Krajowe organy nadzorcze odpowiedzialne za monitorowanie stosowania RODO będą również odpowiedzialne za monitorowanie stosowania rozporządzenia e-Privacy, a funkcję doradczą ma pełnić Europejska Rada Ochrony Danych.

Należy pamiętać o jednej zasadniczej różnicy pomiędzy RODO a e-Privacy: zakresem ochrony nim przewidzianej nie są objęte wyłącznie osoby fizyczne. W motywach projektu możemy przeczytać, że:

„(…)Dane pochodzące z łączności elektronicznej mogą również ujawniać informacje dotyczące podmiotów prawnych, takie jak tajemnice przedsiębiorstwa lub inne dane szczególnie chronione o wartości ekonomicznej. Z tego względu przepisy niniejszego rozporządzenia powinny mieć zastosowanie zarówno do osób fizycznych, jak i do osób prawnych. Ponadto niniejsze rozporządzenie powinno zapewniać, aby przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/6794 [GDPR – przyp. red.] miały zastosowanie również do użytkowników końcowych będących osobami prawnymi. Dotyczy to również definicji zgody zawartej w rozporządzeniu (UE) 2016/679(…)”.

Opinie Grupy Roboczej art.29 oraz Europejskiego Inspektora Ochrony Danych

W kwietniu tego roku obie unijne instytucje wydały pierwsze opinie dotyczące projektu. Pozytywnie oceniono wybór rozporządzenia jako instrumentu prawnego, co pozwoli na całkowitą harmonizację tej dziedziny prawa wspólnotowego, rozszerzenie podmiotowego zakresu obowiązywania na dostawców OTT, wyraźne objęcie ochroną  treści komunikacji oraz metadanych, jak również podejście do zgody użytkownika tożsame z wymaganiami RODO. Pojawiły się jednak również głosy krytyczne w stosunku do szczególnych rozwiązań takich jak m.in. gromadzenie informacji wysyłanych przez urządzenie końcowe w celu umożliwienia podłączenia go do sieci lub innego urządzenia – projekt zakłada bowiem, że można przetwarzać takie dane, jeśli tylko jest to potrzebne do ustanowienia połączenia lub po spełnieniu obowiązku informacyjnego. W opinii Grupy Roboczej art.29 naraża to użytkowników na monitorowanie lokalizacji (wi-fi tracking, bluetooth tracking) bez uzyskania ich uprzedniej zgody, obniżając wymagania ustanowione przez GDPR. Według Grupy Roboczej należy też doprecyzować i ujednolicić warunki przetwarzania treści oraz metadanych, aby podstawowym wymaganiem dotyczącym ich przetwarzania było uzyskanie zgody. Europejski Inspektor zwraca natomiast uwagę, że w obecnym kształcie rozporządzenie e-Privacy nie pozwoli zwalczyć złej praktyki polegającej na wymuszaniu zgody użytkownika na zbieranie cookies w celu udostępnienia treści stron internetowych (cookie walls). Wskazuje również pewne braki dotyczące definicji prawnych, które odwołują m.in. do Europejskiego Kodeksu  Łączności Elektronicznej i wydają się niejasne.

Status e-Privacy

Jak wspomniano na początku, według ambitnego planu Komisji Europejskiej rozporządzenie e-Privacy będzie stosowane od tej samej daty, kiedy w pełni egzekwowalne ma być RODO. Z jednej strony termin ten wydaje się nierealny – w ramach unijnej procedury ustawodawczej musi się jeszcze wypowiedzieć Parlament (pierwszy raport z oceny PE jest już dostępny) oraz Rada; projekt jest też szeroko konsultowany. Z drugiej, rozporządzenie e-Privacy ma ograniczony zakres w porównaniu do RODO, a więc finalizacja jego postanowień nie powinna zabrać aż tak wiele czasu.

Organizacje, które obecnie intensywnie zajmują się wdrażaniem nowych przepisów o ochronie danych, będą musiały uważnie śledzić unijny proces legislacyjny i jednocześnie zacząć  uwzględniać potencjalne zmiany wynikające z e-Privacy w swoich procesach i technologiach. Wobec tego, że ostateczny kształt tego rozporządzenia wciąż jeszcze nie jest znany, może to stanowić nie lada wyzwanie.

Źródła:

http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32002L0058&from=PL

http://www.europarl.europa.eu/RegData/docs_autres_institutions/commission_europeenne/com/2017/0010/COM_COM(2017)0010_EN.pdf

http://europa.eu/rapid/press-release_IP-17-16_pl.htm

http://www.europarl.europa.eu/legislative-train/theme-connected-digital-single-market/file-e-privacy-reform

http://www.europarl.europa.eu/sides/getDoc.do?type=COMPARL&mode=XML&language=EN&reference=PE606.011

https://edps.europa.eu/sites/edp/files/publication/17-04-24_eprivacy_en.pdf

https://www.ropesgray.com/newsroom/alerts/2017/05/Article-29-working-Party-has-grave-concerns-about-the-proposed-e-Privacy-Regulation.aspx

Przypisy:

[1] http://www.giodo.gov.pl/pl/568/607