ePrivacy – nowa regulacja ważna dla działalności w sieci

ePrivacy – nowa regulacja ważna dla działalności w sieci

Obowiązki przedsiębiorców działających w sieci w kontekście ochrony danych osobowych nie ograniczają się wyłącznie do przestrzegania RODO.

21 lutego 2021 roku podpisany został projekt rozporządzenia ePrivacy, które w swych założeniach, ma regulować zagadnienia związane z prywatnością w komunikacji elektronicznej na terenie Unii Europejskiej.

Przedmiotowe Rozporządzenie (projekt Rozporządzenia o prywatności i łączności elektronicznej- Rozporządzenie ePrivacy) jest kolejnym krokiem w zakresie regulowania zasad prywatności w kontekście komunikacji elektronicznej, odzwierciedlonych w dyrektywie 2002/58/WE.  Dyrektywy UE z zasady jednak wyłącznie nakreślają ogólny projekt i zarys regulacji danych zagadnień. Innymi słowy- wyznaczają one po prostu jedynie cel danego projektu, pozostawiając sposób jego wprowadzenia konkretnym Państwom Członkowskim. Mogą one więc skutkować wieloma rozbieżnościami tych samych regulacji na terenie różnych krajów. Rozporządzenie natomiast jest wiążącym aktem prawnym, mającym zastosowanie w całości na obszarze wszystkich Państw Unii Europejskiej.

Rozporządzenie będzie wprowadzało regulacje obejmujące takie podmioty, jak te zbierające i przechowujące informacje o urządzeniach końcowych przepływu informacji (telefony, tablety, laptopy) za pośrednictwem plików „cookies”, w celach marketingowych.

Wpłynie ponadto, na operatorów telekomunikacyjnych i inne podmioty prawne o profilu marketingowym wprowadzając restrykcje w zakresie chociażby przedstawiania ofert mailowych opartych na profilowaniu klienta.

Rozporządzenie w końcu obejmie też regulacje podmiotów usługowych działających w zakresie łączności elektronicznej, takich jak dostawcy Internetu, podmioty w branży telekomunikacyjnej a także producenci oprogramowania służącego do łączności elektronicznej.

Przedmiotem regulacji Rozporządzenia są nie tylko dane pobierane przez podmioty w związku ze świadczeniem usług komunikacji elektronicznej „tradycyjnej”, ale ponadto dane zbierane za pośrednictwem nowszych technologii typu komunikatory internetowe czy  usługi OTT (Over The Top Communication Services).

Reforma prawna sektora ePrivacy dotyczyć ma takich zagadnień, jak:

• dostosowanie prywatności elektronicznej w kontekście coraz to nowych graczy pojawiających się na rynku komunikacji elektronicznej typu Facebook Messanger, WhatsApp, Skype, Twitter;
• ujednolicenie zasad związanych z bezpieczeństwem korzystania z tego typu rozwiązań zarówno przez podmioty prywatne jak i gospodarcze;
• zbilansowanie prywatności korzystania z takich form komunikacji w zakresie metadanych, ujawniających dane mających szczególny nacisk na prywatność osób korzystających (np. urządzenie, z którego następuje komunikacja, data i godzina wykonania, model urządzenia, lokalizacja)- dane tego typu z założenia projektu powinny być anonimowe bądź niepobierane na wniosek podmiotów uczestniczących w elektronicznym przepływie informacji;
• otwarcie nowych możliwości biznesowych od chociażby na umożliwienia operatorom z korzystania z dodatkowych usług i rozwoju swojego sektoru;
• jaśniejsze zasady dotyczące tzw. „plików cookies”, które oprócz tego, że potrafią być bardzo pomocne i wyłącznie wprowadzać dodatkową wygodę użytkowania (np. zapamiętywanie pozycji umieszczonych w koszyku wirtualnego sklepu), mogą także ingerować w prywatność i przekładać się na niechciane reklamy, spam, nachalny marketing;
• protekcja przed spamem. Przepisy rozporządzenia obejmują ponadto restrykcje ograniczające zjawiska jak automatyczne telefony koroporacji z ofertami, automatyczne nachalne SMSy z ofertami, m. in poprzez specjalne prefixy dla działaczy marketingowych, mających wskazywać na rodzaj marketingowego kontaktu.

Co szczególnie ważne dla biznesu, kolejnym filarem bezpieczeństwa użytkownika stawianym przez Rozporządzenie jest jasność i transparentność polityki „cookies” (personalizacja witryn internetowych/ dopasowywanie reklam pod odbiorcę).

Jasnym jest, że zgoda podmiotu na przetwarzanie danych może być wyrażona w formie elektronicznej. Dyrektywa ePrivacy nie wyklucza polityki akceptacji „cookies” samej w sobie, natomiast kwestionuje praktyki typu „ściana tekstu” czyli przewidziany do zaakceptowania tekst oświadczenia przysłaniający stronę docelową w sieci. U podstaw Rozporządzenia stoi założenie, że tego rodzaju banery są sprzeczne z polityką RODO, a udzielana w ten sposób zgoda jedynie iluzoryczna.

Zgodnie z założeniami Rozporządzenia zgoda na politykę „cookies” nie będzie konieczna w przypadku gdy jej ingerencja w prywatność odbiorcy będzie ograniczona lub nie będzie występowała wcale.

Inaczej sprawa kształtuje się w zakresie zgód telemarketingowych. Mianowicie odpowiedni operator będzie zobowiązany uzyskać taką zgodę jeszcze przed rozpoczęciem czynności marketingowych. Ma to na celu ograniczenie sytuacji, w których ludzie nie dostrzegają, że z danej usługi korzystają płacąc za nią własną prywatnością, a przeświadczeni są o tym, że dostają ją „za darmo”. Usługodawcy ponadto zostaną zobowiązani gwarantować konsumentom bezpłatną możliwość blokowania połączeń z konkretnych numerów lub z anonimowych źródeł, a także możliwość zatrzymania automatycznych przekierowań połączeń na urządzenia końcowe. Warto podkreślić fakt, że Rozporządzenie rozróżnia dwa podmioty- zarówno osoby fizyczne jak i prawne, co podkreśla zasięg regulacji.

Regulacja ma na celu wprowadzenie też prawa sprzeciwu dla podmiotu, który skutkiem skorzystania z danej usługi otrzymuje kolejne podobne oferty od usługodawcy drogą e-mailową. Dostrzeżono więc konieczność zapewnienia adresatowi reklam bezpłatnego i łatwego zgłoszenia prawa sprzeciwu wobec tego typu praktyk.

Kluczowym elementem projektu jest również ochrona danych sensytywnych w elektronicznym przepływie informacji, czyli tzw. „metadanych”. Użytkownicy są bardzo często nieświadomi, że pozostawiają po sobie za pośrednictwem metadanych takie ślady jak model urządzenia, data i godzina danej czynności czy nawet lokalizacja geograficzna. Dostawcy będą mogli te logi przetwarzać jedynie, jeśli końcowy użytkownik na to wyraził specjalną zgodę z podkreśleniem, że dane te będą anonimowe i przetwarzane dla ściśle określone celów.

Projekt wprowadza jednocześnie pewne wyjątki od zasady ingerencji w dane poufne przez osoby trzecie. Są to m.in. komunikaty dotyczące utrzymania bezpieczeństwa sieci czy przetwarzanie metadanych przez operatorów celem naliczania opłat abonamentowych.

Reasumując, projekt inPrivacy obejmuje dodatkową ochroną prawną użytkowników Internetu. Obejmuje nią zarówno osoby fizyczne, jak i osoby prawne i wzmacnia ich prawa w zakresie decydowania o przetwarzaniu swoich danych w sieciach telekomunikacyjnych. Podkreśla też obowiązek jasnego i wyraźnego informowania użytkowników o przetwarzaniu danych.

Ogranicza niechcianą przez użytkowników telekomunikację marketingową.

Na koniec warto wspomnieć o konsekwencjach, jakie są przewidziane za naruszenie postanowień Rozporządzenie ePrivacy. Za takie praktyki grozi bowiem kara do 20 000 000 € a przy przedsiębiorstwach kara do 4% rocznego światowego obrotu z poprzedniego roku obrotowego.

Tekst napisał Jan Dubik, prawnik, absolwent WPiA UW.