Co ePrivacy będzie oznaczać w praktyce?

fot. ar130405/CC0/Pixabay

Prace nad ePrivacy, rozporządzeniem w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, trwają już od wielu miesięcy. Niedawno przedstawiono kolejną wersję tego dokumentu. Jakie zmiany zostały zaproponowane tym razem? Co rozporządzenie będzie oznaczać dla przedsiębiorców?

Cel wprowadzenia rozporządzenia ePrivacy

Rozporządzenie ePrivacy ma zastąpić obecną dyrektywę 2002/58/WE o prywatności. Jej zadaniem jest dostosowanie aktualnych przepisów w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego. EPrivacy ma za zadanie uzupełniać także inne przepisy. Jakie? Na przykład rozporządzenie nr 679/2016 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych, znane wszystkim jako RODO. W wielu kwestiach jednak będzie ono nie tylko zmieniać, ale i zaostrzać reguły RODO dotyczące korzystania z nowych technologii.


Celem wprowadzenia do unijnego porządku prawnego rozporządzenia ePrivacy jest wzmocnienie ochrony użytkowników tzw. urządzeń końcowych, czyli osób korzystających w szczególności z komputerów, telefonów, smartfonów czy tabletów. Dodatkowo ePrivacy ma chronić nie tylko prywatność osób fizycznych, jak w przypadku RODO, ale jego przepisy mają znaleźć zastosowanie także do osób prawnych. Zakres przedmiotowy ePrivacy obejmuje dane pochodzące z usług łączności elektronicznej. Przedmiotem regulacji staną się więc dane, których źródłem są usługi telefonii internetowej, poczty elektronicznej, komunikatorów internetowych, a także dane wymieniane pomiędzy urządzeniami typu „Internet rzeczy” (Internet of Things).

Przedmiotem regulacji ePrivacy będą również tzw. metadane, czyli dane przetwarzane do celów transmisji, rozpowszechniania lub wymiany treści w zakresie łączności elektronicznej. Dotyczą one codziennej aktywności użytkownika w sieci lub tzw. geolokalizacji urządzeń, z których podmiot korzysta. W tym przypadku mowa o szczególnym rodzaju ochrony prawnej. Ujawnienie treści łączności elektronicznej oraz metadanych może bowiem naruszać w sposób szczególny prawa do prywatności użytkownika końcowego.

Najnowsza propozycja zmian do projektu ePrivacy

Dokumentem z dnia 20 września 2018 Komisja Europejska wprowadziła kolejne zmiany do projektu ePrivacy oraz utrzymała część wcześniej wprowadzonych zapisów. Z punktu widzenia przedsiębiorców, w szczególności podmiotów prowadzących działania marketingowe w internecie, warto wskazać na kilka kluczowych aspektów projektowanego rozporządzenia.

• Cookies walls i płacenie danymi
  Obecnie w świecie internetowym często można spotkać się z możliwością korzystania z danych osobowych drugiej strony umowy, jako dobra służącego za „płatność” za określoną usługę. Regulacja ePrivacy dotycząca tzw. płacenia danymi, czyli stosowania „cookie walls” w proponowanej zmianie zakłada, że takie praktyki będą co do zasady dozwolone, chyba że uzależnienie dostępu do danej usługi internetowej od wyrażenia zgody na instalację plików cookies będzie nieproporcjonalne do zakresu i celu zbieranych danych. Określenie zasad takich działań jest odpowiedzią zarówno na potrzeby biznesu, jak i samych użytkowników, którzy nierzadko są chętni do przekazywania swoich danych w zamian za korzystniejsze warunki świadczenia usług na ich rzecz.
• Przetwarzanie metadanych
  Komisja Europejska proponuje także wprowadzenie możliwości dalszego przetwarzania metadanych do innych celów niż te, do których metadane zostały pierwotnie zebrane – pod warunkiem spełnienia „testu kompatybilności” dokonywanego przez administratora. Celem takiego dalszego przetwarzania danych musi być uzyskanie zbiorczych informacji o użytkownikach jako o grupie, a nie ukierunkowanie na indywidualnych użytkowników. Metadane dotyczące łączności elektronicznej nie będą mogły być więc wykorzystywane do określenia charakteru lub właściwości użytkownika końcowego, ani do budowania jego profilu. Jako przykład zastosowania takiego rodzaju rozwiązania projekt wskazuje wykorzystywanie danych o lokalizacji na potrzeby smart city, np. do zarządzania ruchem. Zaproponowano także obowiązkowe środki bezpieczeństwa, które mają na celu uniemożliwienie reidentyfikacji użytkownika. Komisja zastrzegła, że prace nad tym aspektem ePrivacy będą jeszcze trwały.
• Pomysły na zbieranie zgód
  Z preambuły dotychczasowego projektu ePrivacy usunięto niestety motywy 22 i 22a, które wprost wskazywały na postulat zapewniania jak najwygodniejszego sposobu przekazywania użytkownikom informacji i zbierania od nich zgód. Niepokojące jest w szczególności wykreślenie postanowienia wskazującego na to, że wybory dokonywane przez użytkowników końcowych przy ustanawianiu ogólnych ustawień, np. prywatności przeglądarki, powinny być wiążące i egzekwowalne wobec osób trzecich. Umieszczenie pewnego rodzaju „panelu zarządzania” na poziomie przeglądarki pomogłoby użytkownikom sprawniej i efektywniej kontrolować uprawnienia odwiedzanych przez nich stron internetowych. W przypadku, gdy użytkownik będzie musiał się zmierzyć z oknami pytającymi o zgody przy otwieraniu każdej nowej witryny, zniechęcony w końcu zrezygnuje z jakiegokolwiek dostępu do swoich danych przez inne podmioty.
• Privacy by default a ustawienia prywatności
  Autorzy projektu zrezygnowali także z pierwotnego pomysłu przewidującego konieczność przypominania użytkownikowi końcowemu o opcjach ustawień prywatności w momencie instalacji lub podczas pierwszego użycia i każdej aktualizacji, która zmienia opcje ustawień prywatności. Usunięty artykuł 10 dotyczył bowiem faktycznie konieczności stosowania zasady „domyślnej” ochrony prywatności, uregulowanej już w RODO. W rozporządzeniu zawarto natomiast zapis o obowiązku przypominania użytkownikom o możliwości wycofania zgody na przetwarzanie danych co 12 miesięcy.

Sankcje za naruszenie ePrivacy

Naruszenie przepisów ePrivacy może być zagrożone karami administracyjnymi w wysokości do 20 000 000 euro lub do 4 % rocznego światowego obrotu przedsiębiorstwa. Biorąc pod uwagę zmiany w zakresie ochrony danych osobowych wdrażane w niezliczonej ilości małych i dużych podmiotów po rozpoczęciu obowiązywania RODO, tak wysokie kary powinny gwarantować także przestrzeganie przepisów ePrivacy.