26.11.2018 Prawo w mediach
Co ePrivacy będzie oznaczać w praktyce?
Milena Wilkowska, Kancelaria Maruta
Rozporządzenie ePrivacy ma dostosować przepisy w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego.
Prace nad ePrivacy, rozporządzeniem w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, trwają już od wielu miesięcy. Niedawno przedstawiono kolejną wersję tego dokumentu. Jakie zmiany zostały zaproponowane tym razem? Co rozporządzenie będzie oznaczać dla przedsiębiorców?
Cel wprowadzenia rozporządzenia ePrivacy
Rozporządzenie ePrivacy ma zastąpić obecną dyrektywę 2002/58/WE o prywatności. Jej zadaniem jest dostosowanie aktualnych przepisów w zakresie ochrony prywatności i danych w komunikacji elektronicznej do obecnych realiów rynkowych i postępu technicznego. EPrivacy ma za zadanie uzupełniać także inne przepisy. Jakie? Na przykład rozporządzenie nr 679/2016 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych, znane wszystkim jako RODO. W wielu kwestiach jednak będzie ono nie tylko zmieniać, ale i zaostrzać reguły RODO dotyczące korzystania z nowych technologii.
Celem wprowadzenia do unijnego porządku prawnego rozporządzenia ePrivacy jest wzmocnienie ochrony użytkowników tzw. urządzeń końcowych, czyli osób korzystających w szczególności z komputerów, telefonów, smartfonów czy tabletów. Dodatkowo ePrivacy ma chronić nie tylko prywatność osób fizycznych, jak w przypadku RODO, ale jego przepisy mają znaleźć zastosowanie także do osób prawnych. Zakres przedmiotowy ePrivacy obejmuje dane pochodzące z usług łączności elektronicznej. Przedmiotem regulacji staną się więc dane, których źródłem są usługi telefonii internetowej, poczty elektronicznej, komunikatorów internetowych, a także dane wymieniane pomiędzy urządzeniami typu „Internet rzeczy” (Internet of Things).
Przedmiotem regulacji ePrivacy będą również tzw. metadane, czyli dane przetwarzane do celów transmisji, rozpowszechniania lub wymiany treści w zakresie łączności elektronicznej. Dotyczą one codziennej aktywności użytkownika w sieci lub tzw. geolokalizacji urządzeń, z których podmiot korzysta. W tym przypadku mowa o szczególnym rodzaju ochrony prawnej. Ujawnienie treści łączności elektronicznej oraz metadanych może bowiem naruszać w sposób szczególny prawa do prywatności użytkownika końcowego.
Najnowsza propozycja zmian do projektu ePrivacy
Dokumentem z dnia 20 września 2018 Komisja Europejska wprowadziła kolejne zmiany do projektu ePrivacy oraz utrzymała część wcześniej wprowadzonych zapisów. Z punktu widzenia przedsiębiorców, w szczególności podmiotów prowadzących działania marketingowe w internecie, warto wskazać na kilka kluczowych aspektów projektowanego rozporządzenia.
- Cookies walls i płacenie danymi
Obecnie w świecie internetowym często można spotkać się z możliwością korzystania z danych osobowych drugiej strony umowy, jako dobra służącego za „płatność” za określoną usługę. Regulacja ePrivacy dotycząca tzw. płacenia danymi, czyli stosowania „cookie walls” w proponowanej zmianie zakłada, że takie praktyki będą co do zasady dozwolone, chyba że uzależnienie dostępu do danej usługi internetowej od wyrażenia zgody na instalację plików cookies będzie nieproporcjonalne do zakresu i celu zbieranych danych. Określenie zasad takich działań jest odpowiedzią zarówno na potrzeby biznesu, jak i samych użytkowników, którzy nierzadko są chętni do przekazywania swoich danych w zamian za korzystniejsze warunki świadczenia usług na ich rzecz. - Przetwarzanie metadanych
Komisja Europejska proponuje także wprowadzenie możliwości dalszego przetwarzania metadanych do innych celów niż te, do których metadane zostały pierwotnie zebrane – pod warunkiem spełnienia „testu kompatybilności” dokonywanego przez administratora. Celem takiego dalszego przetwarzania danych musi być uzyskanie zbiorczych informacji o użytkownikach jako o grupie, a nie ukierunkowanie na indywidualnych użytkowników. Metadane dotyczące łączności elektronicznej nie będą mogły być więc wykorzystywane do określenia charakteru lub właściwości użytkownika końcowego, ani do budowania jego profilu. Jako przykład zastosowania takiego rodzaju rozwiązania projekt wskazuje wykorzystywanie danych o lokalizacji na potrzeby smart city, np. do zarządzania ruchem. Zaproponowano także obowiązkowe środki bezpieczeństwa, które mają na celu uniemożliwienie reidentyfikacji użytkownika. Komisja zastrzegła, że prace nad tym aspektem ePrivacy będą jeszcze trwały. - Pomysły na zbieranie zgód
Z preambuły dotychczasowego projektu ePrivacy usunięto niestety motywy 22 i 22a, które wprost wskazywały na postulat zapewniania jak najwygodniejszego sposobu przekazywania użytkownikom informacji i zbierania od nich zgód. Niepokojące jest w szczególności wykreślenie postanowienia wskazującego na to, że wybory dokonywane przez użytkowników końcowych przy ustanawianiu ogólnych ustawień, np. prywatności przeglądarki, powinny być wiążące i egzekwowalne wobec osób trzecich. Umieszczenie pewnego rodzaju „panelu zarządzania” na poziomie przeglądarki pomogłoby użytkownikom sprawniej i efektywniej kontrolować uprawnienia odwiedzanych przez nich stron internetowych. W przypadku, gdy użytkownik będzie musiał się zmierzyć z oknami pytającymi o zgody przy otwieraniu każdej nowej witryny, zniechęcony w końcu zrezygnuje z jakiegokolwiek dostępu do swoich danych przez inne podmioty. - Privacy by default a ustawienia prywatności
Autorzy projektu zrezygnowali także z pierwotnego pomysłu przewidującego konieczność przypominania użytkownikowi końcowemu o opcjach ustawień prywatności w momencie instalacji lub podczas pierwszego użycia i każdej aktualizacji, która zmienia opcje ustawień prywatności. Usunięty artykuł 10 dotyczył bowiem faktycznie konieczności stosowania zasady „domyślnej” ochrony prywatności, uregulowanej już w RODO. W rozporządzeniu zawarto natomiast zapis o obowiązku przypominania użytkownikom o możliwości wycofania zgody na przetwarzanie danych co 12 miesięcy.
Sankcje za naruszenie ePrivacy
Naruszenie przepisów ePrivacy może być zagrożone karami administracyjnymi w wysokości do 20 000 000 euro lub do 4 % rocznego światowego obrotu przedsiębiorstwa. Biorąc pod uwagę zmiany w zakresie ochrony danych osobowych wdrażane w niezliczonej ilości małych i dużych podmiotów po rozpoczęciu obowiązywania RODO, tak wysokie kary powinny gwarantować także przestrzeganie przepisów ePrivacy.
PRZERWA NA REKLAMĘ
Zobacz artykuły na podobny temat:
Reklama wyrobów medycznych. Duże zmiany przepisów i regulacji
Łukasz Waligórski
Od 1 lipca 2023 w reklamach wyrobów medycznych zabronione jest wykorzystywane wizerunku i autorytetu lekarzy, pielęgniarek, farmaceutów i innych zawodów medycznych. Nawet 2 mln złotych kary grozi firmie, która po 1 lipca wyemituje reklamę wyrobu medycznego niezgodną z nowymi przepisami.
Wiedźmin a prawo autorskie. Porady prawne Legalnej Kultury
Paweł Kowalewicz
Historia sporu Andrzeja Sapkowskiego z wydawcą serii gier CD Projekt świetnie pokazuje wszystkie niuanse polskiego prawa autorskiego, z którego twórca zarówno czerpie przywileje, jak i korzysta z jego ochrony.
O odpowiedzialności osób i mediów publicznych
Money.pl
Żyjemy w znacznym stopniu w świecie wirtualnym. Dla wielu świat równa się temu, co pokazywane jest w telewizji. Siła oddziaływania obrazów jest wielka.
Molestowanie dziennikarek w Polsce. Raport instytutu Zamenhofa
RINF
Doświadczenie bycia molestowaną ma za sobą ponad połowa dziennikarek. W raporcie oraz na specjalnej stronie projektu offtherecord.zamenhof.pl opublikowane zostały autentyczne anonimowe historie molestowanych dziennikarek oraz dane liczbowe dokumentujące skalę zjawiska.
Mowa nienawiści. Jak ją zatrzymać?
Paweł Kowalewicz
Według badania NASK z grudnia 2016 roku, 32 proc. polskich nastolatków było wyzywanych w Internecie, co piąty był poniżany i ośmieszany, a co dziesiąty szantażowany. Jeszcze gorzej wyglądają te dane, gdy nastolatki opowiadali o swoich znajomych.
RODO w agencjach public relations
Paweł Soproniuk
Rozmowa z dr. Maciejem Kaweckim, koordynatorem prac nad reformą ochrony danych osobowych, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, na temat stosowania przepisów RODO przez agencje PR. Nowe regulacje wchodzą w życie 25 maja.
Media wypaczają sens zdarzeń
Money.pl
Wypaczanie przez media sensu zdarzeń jest szkodliwe dla debaty publicznej - podkreśla Rada Etyki Mediów w oświadczeniu ze stycznia 2008 roku.