Komisja Europejska opublikowała w styczniu projekt rozporządzenia o ochronie prywatności i danych osobowych w obrocie elektronicznym uchylającego dyrektywę 2002/58/EC („rozporządzenie o e-prywatności"). Aktualnie na poziomie unijnym kwestie te uregulowane są dyrektywą 2002/58/EC Parlamentu Europejskiego i Rady z 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (dalej: dyrektywa).
Konsumenci i przedsiębiorcy coraz częściej polegają na usługach elektronicznych, ograniczając komunikację z wykorzystaniem tradycyjnych metod. Dynamiczny rozwój technologiczny spowodował, że mimo iż podstawowe zasady dyrektywy nadal zachowują ważność – pojawiła się konieczność stworzenia regulacji przy zachowaniu technologicznej neutralności ich ram. Pogłębiająca się interakcja między światową gospodarką, nowymi technologiami i globalną geopolityką przyczyniła się do istotnych zmian w zakresie stylu życia obywateli UE, organizacji przedsiębiorstw oraz komunikacji. Zarówno przedsiębiorcy jak i osoby fizyczne poszukują nowych rozwiązań technologicznych, a ich daleko idąca elastyczność umożliwia łatwiejszą modyfikację oraz rearanżację wykorzystywanych środków. Z tego powodu przed unijnym prawodawcą ponownie zmaterializowała się potrzeba wprowadzenia nowych zasad w tym zakresie.
Nowe ramy dla łączności elektronicznej
Nowa regulacja ma zastąpić obecną dyrektywę i wraz z rozporządzeniem ogólnym o ochronie danych osobowych Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 r. (dalej: RODO) stworzy nowe ramy prawne dla łączności elektronicznej. Regulacja ma mieć charakter komplementarny w stosunku do RODO. Jednakże, podczas gdy RODO odnosi się wyłącznie do przetwarzania danych osobowych, projekt rozporządzenia o e-prywatności obejmuje swoim zakresem również komunikację typu B2B oraz komunikację między osobami fizycznymi, która nie zawiera danych osobowych. Najprawdopodobniej, w celu zapewnienia spójności tych dwóch aktów prawnych, zaczną one obowiązywać w tym samym dniu, czyli 25 maja 2018 r. Mimo tego, że horyzont czasowy do wejścia w życie nowych regulacji jest szeroki, przygotowania w tym zakresie warto rozpocząć już teraz.
Fakt, że nowa regulacja ma formę rozporządzenia, a nie dyrektywy pozwoli na stworzenie jednolitego zaplecza prawnego, gdyż będzie mieć ona bezpośrednie zastosowanie we wszystkich państwach członkowskich Unii. Będzie miało to również przełożenie na stosowanie prawa przez podmioty świadczące usługi na poziomie międzynarodowym.
Co proponuje Komisja
Propozycja Komisji Europejskiej wprowadza wiele istotnych zmian w odniesieniu do komunikacji elektronicznej. Głównym celem dokumentu jest dostosowanie aktualnych regulacji do obecnego, zdigitalizowanego społeczeństwa i ujęcie w nich nowych technologii.
Celem rozporządzenia o e-prywatności jest między innymi:
- ochrona podstawowego prawa do poufności komunikacji – nowe regulacje wprost wskazują, że zasada ta ma pełne zastosowanie do wszelkiego rodzaju danych dotyczących aktywności online i komunikacji elektronicznej, zarówno treści wiadomości, jak i innych danych dotyczących komunikacji utworzonych lub używanych w środowiskach sieciowych, takich jak danych przeglądania, schematów korzystania z aplikacji mobilnych oraz wszelkich nowych danych dotyczących użytkownika;
- ochrona danych osobowych poprzez łączne zastosowania przepisów RODO oraz rozporządzenia o e-prywatności;
- uproszczenie zasad dotyczących użytkowania plików cookies i innych technologii pozwalających na monitorowanie aktywności użytkownika – nowe przepisy pozwolą użytkownikom w przystępny sposób zarządzać udzielonymi zgodami i kontrolować zakres udostępnianych danych;
- umożliwienie przedsiębiorcom świadczenia nowych usług i przeprowadzania dodatkowych analiz w oparciu o uprzednio odebrane zgody od użytkowników końcowych;
- ochrona prawa do swobody wypowiedzi poprzez zapewnienie swobody poszukiwania informacji, bez obowiązku wyrażenia zgody na śledzenie działań użytkownika;
- potwierdzenie prawa do nienaruszalności własności prywatnej, ze szczególnym odniesieniem do urządzeń wykorzystywanych podczas aktywności online, takich jak komputery, telefony komórkowe, czy laptopy;
- ochrona przed otrzymywaniem niezamówionych informacji handlowych oraz spamem.
Zapewnienie tych praw jest coraz bardziej istotne, ponieważ komunikacja elektroniczna stała się nieodłącznym elementem zarówno prywatnego, jak i zawodowego życia ludzi. Komisja proponuje realizację wskazanych celów poprzez implementację nowych regulacji, które nie tylko zapewnią odpowiednią ochronę prywatności osób fizycznych, ale również stworzą jednolite ramy dla biznesu i otworzą dla firm nowe możliwości.
Kogo obejmą nowe regulacje
Komisja w projekcie zaproponowała rozszerzenie katalogu podmiotowego. Nowe rozporządzenie o e-prywatności w opublikowanym brzmieniu będzie miało zastosowanie do wszystkich dostawców usług łączności elektronicznej. Zostaną nim objęci także przedsiębiorcy niebędący tradycyjnymi operatorami telekomunikacyjnymi, np. dostawcy takich treści jak wiadomości tekstowe czy usługi pocztowe, którzy nie są podmiotami obecnej dyrektywy. Rozporządzenie będzie miało również zastosowanie do dostawców spoza UE, którzy świadczą usługi elektroniczne, zarówno darmowe, jak i płatne wobec obywateli państw UE. Tym samym, do nowych regulacji będą musieli dostosować się dostawcy takich usług jak np. WhatsApp, iMessage czy Viber.
Wykorzystanie danych
Szczególnie interesującym zagadnieniem ujętym w projekcie jest uregulowanie ram związanych z wykorzystaniem danych w ramach komunikacji elektronicznej. Postanowienia te będą miały zastosowanie do wszystkich przedsiębiorców świadczących usługi w sektorze e-commerce.
Rozporządzenie o e-prywatności wskazuje, które dane uzyskane za pośrednictwem komunikacji elektronicznej będą podlegały ochronie. Determinując w tym zakresie katalog przedmiotowy, KE zaproponowała definicję zawierającą otwarty katalog tzw. metadanych.
Zgodnie z projektem na metadane pozyskiwane w ramach łączności elektronicznej składają się wszystkie dane związane z użytkownikiem usługi komunikacji elektronicznej, które są przetwarzane w celu transmisji, dystrybucji lub wymiany komunikacji, w tym w szczególności, lecz nie wyłącznie, dane służące do zidentyfikowania lub określenia lokalizacji użytkownika, jego urządzenia i typu komunikacji. Warto mieć na uwadze, że są to nie tylko dane pozyskiwane za pośrednictwem plików cookies, ale również innych technologii, w tym skryptów śledzących pozwalających na identyfikację aktywności użytkownika w sieci.
Rozporządzenie wyraźnie precyzuje sytuacje, gdy pozyskanie dostępu do metadanych, w tym informacji zgromadzonych na urządzeniu użytkownika lub monitorowanie jego aktywności w Internecie, musi zostać poprzedzone zgodą użytkownika oraz te, w których jest to dopuszczalne bez jej odebrania.
Jako zasadę przyjęto, że dane pozyskane w ramach komunikacji elektronicznej mogą być przetwarzane, gdy:
- jest to konieczne do celów wykonania obowiązków wynikających z obowiązującego prawa,
- w celu zapewnienia bezpieczeństwa komunikacji lub
- gdy jest to niezbędne, aby umożliwić wykrywanie usterek technicznych.
Według zaproponowanych postanowień zgoda nie będzie też wymagana w przypadku plików cookies, które nie ingerują w prywatność użytkownika, a ich jedynym celem jest zapewnienie optymalnego poziomu świadczonych usług (dotyczy to np. plików cookies, które pozwalają na zapamiętanie zawartości koszyka w sklepie internetowym czy danych logowania w ramach tej samej sesji). Takie samo podejście Komisja zaproponowała w odniesieniu do plików cookies zbierających dane o ilości użytkowników odwiedzających stronę internetową. W innych przypadkach dane te mogą być wykorzystane za zgodą użytkownika końcowego.
Należy wziąć pod uwagę, że definicja zgody jest zapożyczona z RODO. Tym samym za zgodę użytkownika można uznać każdą jednoznaczną, potwierdzającą czynność, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie danego użytkownika.
Warto podkreślić, że zgodę w tym zakresie użytkownik będzie mógł wyrazić za pośrednictwem ustawień przeglądarki, co może stanowić duże wyzwanie dla ich dostawców. Powinny one przewidywać możliwość wyrażenia przez użytkownika zgody w taki sposób, aby była ona jednoznacznie dobrowolna, wyraźna i świadoma.
Zmiany dla dostawców oprogramowania
Rozporządzenie o e-prywatności będzie wpływać nie tylko na dostawców przeglądarek, ale również wszystkich przedsiębiorców oferujących oprogramowanie, które umożliwia komunikację elektroniczną. Oprogramowanie, w myśl opublikowanego projektu, powinno przewidywać możliwość zablokowania plików cookies i innych metod służących do identyfikacji aktywności użytkownika końcowego. Podczas instalacji dostawca oprogramowania powinien w przystępny sposób poinformować odbiorcę o zasadach przetwarzania danych i możliwych ustawieniach związanych z prywatnością.
Usuwanie danych
Rozporządzenie ma gwarantować poufność treści wiadomości i innych metadanych zgromadzonych przez dostawcę usługi. Wiąże się to z koniecznością opracowania wysokich standardów związanych z zakończeniem ich przetwarzania. Mając na uwadze ich znaczenie dla ochrony prywatności oraz fakt, że mogą one zawierać informacje sensytywne, zgodnie z opublikowanym projektem, będą musiały zostać usunięte lub zanonimizowane, chyba że podmiot danych wyraził zgodę na ich przetwarzanie lub istnieje inna przesłanka legalizująca ich obrót.
Istotny z perspektywy przedsiębiorcy jest wybór metody, którą zastosuje, w celu zaprzestania przetwarzania zgromadzonych danych. Jeżeli trwałe usunięcie danych nie jest możliwe, należy ocenić, czy wykorzystywany do tej pory proces może być zakwalifikowany jako anonimizacja lub pseudonimizacja. Pseudonimizacja zakłada zastąpienie jednego z atrybutów w zapisie innym. Z uwagi na pośrednią możliwość identyfikacji podmiotu danych, jednoznaczny jest wniosek, że zastosowanie samej techniki pseudonimizacji nie spowoduje stworzenia anonimowego zbioru danych. Tym samym metody takie jak szyfrowanie kluczem tajnym, czy funkcja skrótu nawet z losowym ciągiem znaków, nie są wystarczające w celu wykonania obowiązku usunięcia lub anonimizacji danych.
Marketing bezpośredni
Projekt rozporządzenia o e-prywatności zakłada także szerszą niż do tej pory definicję marketingu bezpośredniego i rozróżnia prowadzoną komunikację na tę kierowaną przez przedsiębiorcę do konsumenta oraz na taką, która zakłada obrót informacji handlowej między przedsiębiorcami.
W odniesieniu do marketingu kierowanego do osób fizycznych, nowe regulacje wymagają odebrania uprzedniej zgody na otrzymywanie informacji. Natomiast w przypadku komunikacji marketingowej typu B2B, państwa członkowskie same będą musiały zaproponować rozwiązania, które w odpowiedni sposób będą chroniły użytkownika końcowego.
Projekt wprowadza wiele istotnych zmian w zakresie marketingowej komunikacji realizowanej z wykorzystaniem telefonu. Zgodnie z brzmieniem nowych regulacji, firmy marketingowe będą musiały używać możliwych do identyfikacji numerów lub stosować odpowiedni prefiks, który jednoznacznie będzie wskazywał, że dana rozmowa ma mieć charakter marketingowy.
Z pewnością w związku z zaproponowanymi zmianami kluczowy jest monitoring krajowych przepisów, które będą towarzyszyły unijnym regulacjom, szczególnie tym, które dotyczyć będą komunikacji typu B2B.
Jakie sankcje
Projekt zakłada rozbudowany katalog sankcji za naruszenie postanowień rozporządzenia o e-prywatności. Część regulacji w tym zakresie ma charakter uzupełniający wobec RODO. Zgodnie z przedłożoną propozycją za naruszenie obowiązków związanych z ochroną prywatności komunikacji, danych pochodzących z plików cookies i innych technologii oraz zasad dotyczących wykorzystywania metadanych grozić będzie grzywna do 20 mln euro lub do 4 proc. wartości światowego obrotu w poprzedzającym roku obrotowym, w zależności od tego, która z tych wartości będzie wyższa. Regulacja przewiduje też sankcje, które będą miały zastosowanie m.in. do dostawców urządzeń i oprogramowania. Jeśli nie wprowadzą oni odpowiednich środków ochrony prywatności w domyślnych ustawieniach grozi im kara w wysokości do 10 mln euro lub do 2 proc. całkowitego światowego obrotu w poprzedzającym roku obrotowym – w zależności od tego, która z tych wartości będzie wyższa.
Za egzekwowanie przepisów rozporządzenia o e-prywatności mają być odpowiedzialne krajowe urzędy ochrony danych.
—Zuzanna Kopaczyńska-Grabiec
—Adriana Sokólska
Istotna jest poufność informacji
Nowe regulacje są odpowiedzią na coraz bardziej zinformatyzowaną Unię. Według badań TNS Political & Social na zlecenie Komisji Europejskiej, ponad 90 proc. respondentów wskazało, że istotna jest dla nich poufność informacji zgromadzonych na ich urządzeniach, a dostęp do ich danych powinien być możliwy jedynie za ich uprzednią zgodą. Prawie dwie trzecie ankietowanych podjęło co najmniej jedną czynność zmierzającą w celu ochrony swojej prywatności podczas korzystania z Internetu. 60 proc. zmieniało ustawienia prywatności w swojej przeglądarce, natomiast 40 proc. ankietowanych unika wchodzenia na określone strony w obawie przed monitoringiem ich aktywności. Powszechność komunikacji elektronicznej oraz wykorzystywanie coraz większej ilości urządzeń w tym celu powoduje, że koniecznością stało się zapewnienie jak najwyższych standardów w zakresie komunikacji elektronicznej.Podczas przeprowadzonych badań zwrócono też uwagę na stosowanie marketingu bezpośredniego z wykorzystaniem komunikacji elektronicznej. Aż 61 proc. respondentów wskazało, że otrzymuje zbyt wiele niezamówionych informacji handlowych drogą telefoniczną, a 59 proc. ankietowanych wyraziło potrzebę identyfikacji połączeń marketingowych przez zastosowanie odpowiednich prefiksów.
Zdaniem autorek
Zuzanna Kopaczyńska-Grabiec, LL.M., dyrektor Departamentu Prawnego i Regulacyjnego Wonga w Polsce
Adriana Sokólska, prawnik w Departamencie Prawnym i Regulacyjnym Wonga w Polsce
Wejście w życie nowych regulacji
Szeroki zakres proponowanych zmian powoduje, że wskazane może okazać się jak najszybsze przeprowadzenie oceny ich potencjalnego wpływu na prowadzoną działalność. Mając na uwadze to, że rozporządzenie o e-prywatności ma być komplementarne wobec RODO, warto przeanalizować możliwość kompleksowego wdrażania nowych regulacji. Będzie to istotne przy założeniu, że część przetwarzanych przez przedsiębiorcę metadanych może mieć walor danych osobowych.
Bezpośrednie zastosowanie tych aktów w państwach UE, otwiera przed grupami kapitałowymi możliwość implementacji nowych przepisów na poziomie globalnym. Może się to przyczynić nie tylko do optymalizacji kosztów związanych z analizą i wdrożeniem zmian, ale pozwoli też na realizację procesu standaryzacji w obszarze ochrony danych osobowych i ochrony prywatności w ramach komunikacji elektronicznej.
W celu odpowiedniego przygotowania się do zmian, konieczne jest przeprowadzenie analizy aktualnych i projektowanych procesów pod kątem pozyskiwanych danych i sposobu ich przetwarzania. Pozwoli to na zaplanowanie zasobów, budżetu oraz zmian operacyjnych niezbędnych do wdrożenia zmian.
