10 stycznia 2017 r. został wydany przez Komisję Europejską wniosek w sprawie cyklicznego przeglądu dyrektywy 2002/58/WE o prywatności i łączności elektronicznej w kontekście jej uchylenia i wejścia w życie rozporządzenia ws. poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej. Celem cyklicznych przeglądów jest zestawienie poziomu ochrony, który zapewnia dyrektywa w stosunku do obecnego rozwoju technologii. Ostatni tego typu przegląd miał miejsce w 2009 roku, dlatego wskazane jest jego ponowne przeprowadzenie. Przeglądy odbywają się w ramach programu sprawności i wydajności regulacyjnej.
Dyrektywa reguluje bezpieczeństwo danych przesyłanych drogą elektroniczną, nie nadąża jednak za obecnym rozwojem technologicznym. Nie obejmuje ona na przykład swoim zakresem usług łączności OTT (polega na oferowaniu usług multimedialnych przez operatorów, którzy jednak nie ingerują w nie i nie kontrolują przesyłanych treści), nie zapewniając jednocześnie odpowiedniej ochrony komunikacji prowadzonej za pomocą nowego typu usług pojawiających się na rynku.
Lex speclialis do GDPR
Sam wniosek stanowi lex specialis względem ogólnego rozporządzenia o ochronie danych, uzupełniając je w kwestii danych pochodzących z łączności elektronicznej. Wszelkie sprawy dotyczące przetwarzania danych, które nie znalazły się we wniosku, są objęte zakresem ogólnego rozporządzenia.
Projekt jest jedynie częścią spójnej polityki unijnej odnośnie do bezpieczeństwa w łączności elektronicznej. W 2016 r. został ustanowiony Europejski Kodeks Łączności Elektronicznej. Ponadto obowiązuje dyrektywa 2014/53/UE w sprawie urządzeń radiowych, nakładająca wymóg, aby urządzenia radiowe były wyposażone w zabezpieczenia w celu zapewnienia ochrony danych osobowych.
Ustawodawstwo krajowe
Wniosek nie zawiera żadnych konkretnych przepisów odnośnie do retencji danych. Wiąże się to z tym, że Państwa Członkowskie mają nadal pewną autonomię w tworzeniu własnych ram prawnych dla zatrzymywania danych, rzecz jasna spójnych z podstawowymi regułami prawnymi Unii Europejskiej. Jego podstawą prawną jest przede wszystkim art. 16 Traktatu o funkcjonowaniu Unii Europejskiej oraz art. 7 Karty Praw Podstawowych. Celem samej regulacji jest ochrona komunikacji danych, zarówno osób fizycznych, jak i prawnych, korzystających z usług łączności elektronicznej.
Wiele regulacji zapewniających ochronę komunikacji realizowanych jest na poziomach krajowych, jednak niezbędnym jest przyjęcie odpowiednich środków na poziomie wspólnotowym celem zapewnienia jednolitego rynku cyfrowego. Dodatkowym argumentem jest również to, że problematyka przepływu danych oraz komunikacji elektronicznej dotyczy obszaru Unii Europejskiej jako całości.
Niezbędna jest także większa ochrona użytkowników, czego nie zapewniała dyrektywa o prywatności i łączności. Zakres stosowania powinien zostać rozszerzony na dostawców usług OTT, przez centralizację zgody w oprogramowaniu oraz informowaniu użytkowników o ustawieniach prywatności. Wniosek pozostawia Państwom Członkowskim pewną swobodę w stosowaniu odstępstw w prawnie usprawiedliwionych celach, co jest zgodne z unijną zasadą proporcjonalności.
Główne cele
Głównym celem wniosku jest zapewnienie spójności z ogólnym rozporządzeniem oraz ujednolicenie rozbieżnych interpretacji w Państwach Członkowskich, co ma zapewnić równy poziom ochrony na terenie całej Unii.
Na podstawie oceny REFIT (w ramach wspomnianego programu sprawności i wydajności regulacyjnej) dokonano oceny funkcjonowania postanowień dyrektywy o prywatności i łączności, oraz zapewnienia odpowiedniego poziomu ochrony komunikacji i łączności. Postanowienia nie do końca spełniają swoje cele, często charakteryzuje je niejasność sformułowań, dodatkowo stwarzają one zbędne obciążenia dla przedsiębiorców i konsumentów. Użytkownicy końcowi są narażeni na naruszenie poufności poprzez niedostateczne informowanie o np. działaniu pików cookies. Zasada wyrażenia zgody miejscami ma zbyt wąski zakres, albowiem nie obejmuje wprost pewnych technik śledzenia, takich jak pobieranie odbitek linii papilarnych w urządzeniu (nie wszystkie działania mogące potencjalnie zagrozić ochronie prywatności są objęte obowiązkiem uzyskania zgody).
Na podstawie konsultacji przeprowadzonych przez Komisję Europejską można jednoznacznie stwierdzić, że istnieje potrzeba ustanowienia specjalnych zasad dla sektora łączności elektronicznej w celu wzmocnienia ochrony użytkowników. Wyniki pokazują również, że zdecydowana większość użytkowników chce by dostęp do danych możliwy był jedynie za ich zgodą, a domyślne ustawienia przeglądarki powinny wstrzymywać przekazywanie danych.
Komisje Europejska, sporządzając wniosek, skorzystała z wielu opinii eksperckich pochodzących od Grupy Roboczej art. 29, od EIOD czy ekspertyz dotyczących oceny dyrektywy o prywatności i łączności elektronicznej.
Wzmocnienia prywatności i poufności oraz uproszczenie stosowania przepisów
W związku z przygotowaniem wniosku przeprowadzono ocenę skutków oraz sformułowano kilka wariantów pokazujących, w którym kierunku powinny pójść regulacje dotyczące ochrony prywatności i poufności. Jako najbardziej preferowany został wskazany wariant wymiernego wzmocnienia prywatności i poufności oraz uproszczenia. Pozwoliłoby to dokładniej uregulować kwestie łączności elektronicznej w odniesieniu do użytkowników końcowych oraz uprościć i ujednolicić stosowanie przepisów przez Państwa Członkowskie.
Ewentualne wprowadzenie tego wariantu i rozszerzenie go na dostawców usług OTT nie miałoby większego wpływu w tych Państwach Członkowskich, które już rozszerzyły swoje przepisy na te podmioty. Centralizacja zgody z kolei mogłaby utrudnić reklamodawcom uzyskanie zgody użytkowników, chociaż nie pozbawia ona z drugiej strony operatorów stron internetowych uzyskania zgód w drodze indywidualnych próśb.
W ramach potrzeby uproszczenia i usprawnienia sformułowane zostały następujące zalecenia: ochrona prywatności użytkowników powinna zostać wzmocniona poprzez dopasowanie dyrektywy i ogólnego rozporządzenia, należy zwiększyć ochronę przed niezamówionymi informacjami handlowymi, natomiast sama Komisja wspomoże proces wdrażania oraz wymiany dobrych praktyk pomiędzy Państwami. Zalecenia obejmują również uogólnienie definicji, co przyczyni się do dostosowania regulacji pod kątem nowych technologii, ujednolicenie stosowania oraz zasad wyrażenia zgody, a także przygotowanie działalności organów nadzorczych pod kątem nowych standardów.
Wniosek stanowi skonkretyzowanie i uzupełnienie ogólnego rozporządzenia o ochronie danych osobowych. Głównym jego celem jest jeszcze większe wzmocnienie poufności i ochrony prywatności w komunikacji drogą elektroniczną.
Komisja Europejska zobowiązała się do bieżącego monitorowania funkcjonowania rozporządzenia i raportowania swojej oceny organom unijnym co trzy lata.
Początek rozporządzenia zawiera w sobie jego przedmiot, definicje oraz zakres stosowania. Następne artykuły ustanawiają wzmocnienie poufności komunikacji oraz ograniczone warunki przetwarzania danych. Odnoszą się one również do kwestii ochrony urządzenia końcowego. Następny rozdział traktuje o prawach użytkowników końcowych do kontroli wysyłania i odbioru komunikacji elektronicznej, uprawnia ich również do uzyskania informacji na temat szczególnych ryzyk z tym związanych. Rozdział IV dotyczy funkcjonowania organów nadzorczych na tle nowych regulacji. Rozporządzenie zakończone jest zaś artykułami związanymi z karami i środkami zaradczymi.