Zaznacz stronę
2021 04 16_Monika Maćkowska Morytz

Rozporządzenie ePrivacy coraz bliżej

Rada Europejska ustaliła w końcu stanowisko w sprawie zmiany przepisów o ochronie prywatności i poufności w usługach łączności elektronicznej. Treść projektu tzw. rozporządzenia ePrivacy będzie teraz podlegać negocjacjom z Parlamentem Europejskim. Wygląda więc na to, że po ponad 4 latach i 14 wersjach projektu rozporządzenia, istnieje szansa na przyjęcie przez Komisję Europejską regulacji w zakresie prywatności i poufności w usługach łączności elektronicznej.

Przyjęty projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego i ochrony danych osobowych w łączności elektronicznej oraz uchylający dyrektywę 2002/58/WE (rozporządzenie o prywatności i łączności elektronicznej) obejmuje ochroną wszelkie dane pochodzące z łączności elektronicznej. Uwzględniono w nim wymagania m.in. w kwestii komunikacji elektronicznej, stosowania plików cookies oraz prowadzenia marketingu bezpośredniego. Przepisy będą miały zastosowanie w sytuacji, gdy użytkownicy końcowi będą znajdować się na terenie Unii Europejskiej. Użytkownikami końcowymi, objętymi ochroną wynikającą z przepisów rozporządzenia ePrivacy, będą zarówno osoby fizyczne, jak i osoby prawne.

Co z RODO?

Rozporządzenie ePrivacy z założenia ma być pewnego rodzaju uzupełnieniem RODO. Podczas gdy RODO odnosi się jedynie do przetwarzania danych osobowych, ePrivacy ma dotyczyć wszelkich rodzajów danych, treści i metadanych przetwarzanych w związku z usługami łączności elektronicznej – zarówno tych osobowych, jak i nieosobowych. Jednocześnie ma być swoistym lex specialis w stosunku do RODO, w zakresie szczegółowych przepisów regulujących poufność komunikacji elektronicznej mieszkańców UE.

Pierwotnie oba rozporządzenia miały wejść w życie w tym samym czasie, jednak przedłużające się prace nad projektem rozporządzenia ePrivacy uniemożliwiły te plany.

ePrivacy a dane z plików cookies

Zgodnie z rozporządzeniem przetwarzanie i przechowywanie oraz gromadzenie informacji z urządzeń użytkowników końcowych powinno być dozwolone wyłącznie za ich zgodą lub do innych konkretnych i przejrzystych celów, jakie określono w projekcie. Szczególną uwagę zwrócono na fakt, że informacje zbierane z urządzeń końcowych mogą często zawierać dane osobowe.

W rozporządzeniu możliwość stosowania cookies została wyraźnie ograniczona do określonych przypadków. Jedną z podstaw do ich wykorzystywania nadal pozostaje zgoda użytkownika, ale stosowanie plików cookies będzie również dopuszczalne bez jej uzyskania w takich przypadkach, jak m.in.:

  • niezbędność do świadczenia usługi drogą elektroniczną;
  • cele statystyczne (jednak wyłącznie przez dostawcę usługi lub podmiot, któremu zlecił on to zadanie);
  • cele związane z zapewnieniem bezpieczeństwa i ochrony przed atakami, przeciwdziałaniem nadużyciom lub awariom technicznym.

Aby zapobiec mnożeniu się zgód, rozporządzenie wprowadza również możliwość wyrażenia zgody za pomocą odpowiednich ustawień w przeglądarce internetowej, tworząc tzw. białe listy. W ten sposób użytkownik może wycofać zgodę na cookies w dowolnym momencie.

Rozporządzenie dopuszcza pod pewnymi warunkami istnienie tzw. cookies walls, np. w przypadku, gdy zgoda na cookies do innych celów jest udzielana w zamian za bezpłatny dostęp do usługi. Jest to jednak możliwe tylko wówczas, gdy użytkownik został w sposób jasny, precyzyjny i „przyjazny” poinformowany o zasadach i celach stosowania cookies.

Metadane pod ochroną

Wykorzystywanie metadanych również zostało objęte treścią rozporządzenia ePriva-cy. Metadane umożliwiają tworzenie profili użytkowników na podstawie informacji o ich aktywności online, przyzwyczajeniach czy odwiedzanych miejscach. Ich wartość i znaczenie nie umknęły więc uwadze autorów projektu.

Stosowanie metadanych przez dostawców sieci lub usług świadczonych drogą elektroniczną będzie możliwe, gdy: – jest to niezbędne do celów zarządzania siecią lub optymalizacji sieci, czy spełnienia wymogów technicznych wzakresie jakości tych usług; – jest to niezbędne do wykonania umowy o świadczenie usług łączności elektronicznej lub do naliczania odpowiednich opłat, wykrywania nieprawidłowego korzystania z usług i przeciwdziałania nadużyciom; – jest to niezbędne w celu ochrony żywotnych interesów osoby fizycznej.

Metadane będzie można wykorzystywać również do celów badań naukowych lub historycznych. W tym jednak przypadku będzie to możliwe po spełnieniu dodatkowych warunków-innych dla danych dotyczących lokalizacji i innych dla pozostałych metadanych stosowanych w tym celu. W pozostałych przypadkach, do wykorzystania metadanych konieczne będzie uzyskanie zgody użytkownika końcowego. Zgodnie z rozporządzeniem, w przypadku gdy przetwarzanie metadanych (biorąc pod uwagę charakter, zakres, kontekst i cel) może spowodować wysokie ryzyko dla praw i wolności, należy przeprowadzić ocenę skutków dla ochrony danych osobowych zgodnie z art. 35 i 36 RODO.

Marketing bezpośredni

W stosunku do osób fizycznych ma się pojawić zakaz przesyłania treści marketingowych poprzez środki łączności elektronicznej bez zgody użytkownika końcowego. Od tej generalnej reguły będzie jednak wprowadzony wyjątek dotyczący klientów, których dane osobowe są przetwarzane ze względu na zakup produktu/ usługi lub skorzystanie z nich. W ich przypadku możliwe będzie wysyłanie treści marketingowych dotyczących podobnych usług lub towarów bez uzyskania wcześniejszej zgody, przy jednoczesnym zapewnieniu gwarancji i możliwości sprzeciwu wobec takiego marketingu. Warto nadmienić, że jest to rozwiązanie bardziej liberalne niż obowiązujące obecnie przepisy polskich ustaw – Prawo telekomunikacyjne czy Ustawa o świadczeniu usług drogą elektroniczną.

Wykorzystywanie metadanych zostało objęte treścią rozporządzenia ePrivacy. Metadane umożliwiają tworzenie profili użytkowników na podstawie informacji o ich aktywności online, przyzwyczajeniach czy odwiedzanych miejscach. Stosowanie metadanych przez dostawców sieci lub usług świadczonych drogą elektroniczną będzie możliwe, gdy: jest to niezbędne do celów zarządzania siecią lub optymalizacji sieci, czy spełnienia wymogów technicznych w zakresie jakości tych usług; jest to niezbędne do wykonania umowy o świadczenie usług łączności elektronicznej lub do naliczania odpowiednich opłat, wykrywania nieprawidłowego korzystania z usług i przeciwdziałania nadużyciom; jest to niezbędne w celu ochrony żywotnych interesów osoby fizycznej.

Zgodnie z zaproponowaną treścią rozporządzenia wskazano też elementy, które powinny się znaleźć w każdym komunikacie marketingu bezpośredniego. Są to m.in.:

  • wskazanie tożsamości wysyłającego wraz z danymi kontaktowymi;
  • informacja o charakterze marketingowym komunikatu oraz podmiocie, w imieniu którego jest on wysyłany;
  • informacja o możliwości wycofania zgody lub zgłoszenia sprzeciwu wobec takiego marketingu.

Tego typu informacje mają być przekazywane również podczas zbierania danych osobowych do celów marketingowych. Jednak w odniesieniu do osób fizycznych wymóg ten powinien być już spełniony w klauzuli informacyjnej, o której mowa wart. 13 i 14 RODO.

Kary przewidziane w rozporządzeniu określono w taki sam sposób jak w RODO i wynoszą maksymalnie 20 mln euro lub 4% całkowitego rocznego obrotu z poprzedniego roku, przy czym zastosowanie ma mieć kara wyższa. Perspektywa tak surowych sankcji działa na wyobraźnię i z pewnością będzie pełnić rolę prewencyjną.

Jaka jest dalsza procedura?

Treść rozporządzenia przed ostatecznym uchwaleniem będzie podlegać procedurze negocjacji z Parlamentem Europejskim. Może się więc okazać, że jego finalne brzmienie jeszcze się zmieni. Zgodnie z założeniami, rozporządzenie miałoby wejść w życie 20 dni po ogłoszeniu w Dzienniku Urzędowym UE, a zacząć obowiązywać – podobnie jak RODO-2 lata później. Rozporządzenia unijne stosowane są bezpośrednio, nie będzie więc potrzeby ich jakiejkolwiek implementacji w porządku prawnym państw członkowskich. Państwa UE będą jednak miały możliwość pewnej modyfikacji niektórych jego wymogów, przy uwzględnieniu podstawowych praw i wolności oraz zasady proporcjonalności.

Monika Mackowska-Morytz, Counsel w Kancelarii Kochański & Partners.

Artykuł ukazał się na łamach Magazynu ITwiz.