Rozporządzenie GDPR/RODO dotyczy danych osobowych, ich przetwarzania i ochrony w szerokim zakresie. Jednak razem nim stosowane ma być również rozporządzenie chroniące prywatność i dane osobowe w mediach elektronicznych – tzw. ePrivacy. Rozporządzenie ePrivacy pogłębia, rozszerza i uzupełnia ogólne przepisy RODO w zakresie danych osobowych funkcjonujących w sieci.
Po wstępie do RODO (który możesz przeczytać tu) przejdziemy na chwilę (czyli dwa najbliższe wpisy) do rozporządzenia towarzyszącego, tzw. ePrivacy.
Aby podane informacje były rzetelne, o wpis gościnny i obszerny komentarz poprosiliśmy Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.
Rozporządzenie ePrivacy – 1) Informacje ogólne
Projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej – zwany ePrivacy został opublikowany przez Komisję Europejską w dniu 10 stycznia 2017 r.
Przepisy rozporządzenia ePrivacy stanowią uszczegółowienie i uzupełnienie ogólnych przepisów w zakresie ochrony danych osobowych ustanowionych w GDPR/RODO w odniesieniu do danych elektronicznych kwalifikujących się jako dane osobowe.
Rozporządzenie ePrivacy ma uchylić i zastąpić obowiązującą do tej pory dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej (Dyrektywa o ochronie prywatności i komunikacji elektronicznej) – ponieważ nie nadąża ona w pełni za rozwojem technologicznym i rzeczywistością rynkową.
Rozporządzenie ePrivacy wraz z GDPR/RODO mają wspólnie stworzyć zharmonizowany system prawny w zakresie przetwarzania danych osobowych, prywatności online oraz usług elektronicznych.
Tekst rozporządzenia ePrivacy może podlegać wielokrotnym zmianom, ma ono jednak zacząć być stosowane równocześnie z GDPR/RODO, czyli 25 maja 2018 r.
Informacje ogólne – komentarz prawnika
„Projekt rozporządzenia e-Privacy spotkał się z mieszanym przyjęciem. Nie sposób nie zgodzić się ze stanowiskiem Komisji Europejskiej, która uznała, że ochrona prywatności w łączności elektronicznej zapewniana na podstawie dyrektywy 2002/58/WE jest niewystarczająca, przestarzała i nie nadąża za zachodzącymi zmianami technologicznymi.
Z pewnością konieczne są zmiany w tym obszarze odpowiadające nowym formom komunikacji w sieci, nowatorskim narzędziom służącym do śledzenia aktywności użytkowników Internetu oraz zapewniające większą ochronę przed spamem.
W środowisku biznesu pojawiają się jednak głosy, że rozporządzenie ePrivacy będzie miało bardzo negatywny wpływ na konkurencyjność i innowacyjność polskich przedsiębiorców z sektora cyfrowego: operatorów telekomunikacyjnych, dostawców usług internetowych i treści w Internecie, a także przedsiębiorców z branży e-marketingu. Organizacje działające na rzecz przedsiębiorców argumentują również, że projekt rozporządzenia ePrivacy zawiera rozwiązania niespójne z ogólnymi zasadami i rozwiązaniami ujętymi w RODO.
Wspólne stanowisko do projektu przedstawiły organizacje: Związek Branży Internetowej IAB Polska, Krajowa Izba Gospodarcza, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji, Międzynarodowe Stowarzyszenie Reklamy IAA Polska, Organizacja Firm Badania Opinii Rynku, Startup Poland oraz ZIPSEE Polska Cyfrowa. Podmioty te zwróciły się do Ministerstwa Cyfryzacji, Ministerstwa Rozwoju oraz polskich europarlamentarzystów o podjęcie działań w celu wprowadzenia niezbędnych poprawek do projektu rozporządzenia.
Zastrzeżenia do ePrivacy mają nie tylko polscy przedsiębiorcy. Swoją opinię w tej kwestii wyraził również Europejski Inspektor Ochrony Danych Osobowych w Opinii 6/2017 wskazując, że projekt ePrivacy jest niezbędny dla zapewnienia ram prawnych prywatności ochrony danych osobowych w Unii Europejskiej, jednak wymaga zmian. Grupa Robocza zrzeszająca organy ochrony danych z całej UE w Opinii 1/2017 również zasygnalizowała potrzebę wprowadzenia zmian do ePrivacy.
Należy więc przypuszczać, że ostateczny tekst rozporządzenia ePrivacy będzie różnić się od projektu. Prawdopodobne jest również opóźnienie w planowanej dacie stosowania rozporządzenia.”
Rozporządzenie ePrivacy – 2) Zakres obowiązywania
ePrivacy będzie obowiązywać wszelkich dostawców usług łączności elektronicznej, dostawców publicznie dostępnych spisów numerów oraz dostawców oprogramowania umożliwiającego łączność elektroniczną, łącznie z odzyskiwaniem i przedstawianiem informacji w internecie.
We wprowadzeniu do projektu wskazano, że jednym z celów rozporządzenia jest zapewnienie, aby usługi takie jak telefonia internetowa (VoIP), komunikatory internetowe czy poczta elektroniczna podlegały analogicznym zasadom, jak tradycyjne metody komunikacji. Nowe przepisy obejmą zatem usługi takie jak WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, czy Viber.
Rozporządzenie będzie mieć zastosowanie zarówno do dostawców usług łączności elektronicznej mających swoją siedzibę na terenie Unii Europejskiej jak i poza nią, o ile będą świadczyć usługi obywatelom któregoś z krajów UE.
Rozporządzenie ePrivacy, w ograniczonym zakresie, będzie miało zastosowanie do osób fizycznych i prawnych, które korzystają z usług łączności elektronicznej, aby wysyłać materiały handlowe do celów marketingu bezpośredniego, lub gromadzą informacje związane z urządzeniem końcowym użytkowników końcowych (sprzętem elektronicznym) bądź przechowywane na takim urządzeniu (jak np. pliki cookies).
W przeciwieństwie do GDPR/RODO, zakresem ochrony rozporządzenia ePrivacy są objęte również osoby prawne.
Zakres obowiązywania ePrivacy – komentarz prawnika
„Rozszerzenie kręgu podmiotów, które będą musiały stosować się do nowej regulacji jest istotnym krokiem służącym zwiększeniu ochrony prywatności. Coraz częściej komunikujemy się za pośrednictwem usług takich jak Messenger, Skype, WhatsApp, czy też poczty elektronicznej. Poufność takiej formy komunikacji powinna podlegać takim samym zasadom jak tradycyjne metody komunikacji, jak połączenia głosowe, czy SMS-y.
Warto również podkreślić, że regulacją ePrivacy ma zostać objęta również komunikacja na linii maszyna-maszyna. Chodzi tu o komunikaty, które nie są wysyłane przez użytkowników świadomie, lecz są wysyłane pomiędzy podłączonymi do sieci urządzeniami, o ile komunikaty te zawierają dane osobowe. Przykładowo chodzi tu o sytuacje w których urządzenia zbierają informacje o nas i dzielą się nimi z podmiotami trzecimi. Korelacja tych danych może bowiem prowadzić do istotnego naruszenia prywatności – suma danych z różnych urządzeń może ujawniać potencjalnie wrażliwe i osobiste dane użytkowników.
W projekcie rozporządzenia ePrivacy dostrzeżono ponadto problem niewystarczająco zabezpieczonych sieci Wi-Fi i zawarto precyzyjne zalecenia, mające na celu zapewnienie poufność komunikacji w tego typu sieciach.
Z perspektywy użytkowników zmiany proponowane w projekcie ePrivacy powinny zostać ocenione pozytywnie. Nowa regulacja z pewnością przyczyni się do zwiększenia poziomu ochrony poufności komunikacji w sieci.”
Rozporządzenie ePrivacy – 3) Zasada poufności danych
Zasada poufności danych obejmuje zarówno treść komunikacji elektronicznej, czyli tekst, głos, dźwięk, obraz itp., jak również metadane pochodzące z takiej komunikacji obejmujące m.in.: datę, godzinę, czas trwania rozmowy, czy dane lokalizacyjne.
Przetwarzanie danych pochodzących z łączności elektronicznej będzie możliwe tylko w określonych przypadkach, przede wszystkim – jeśli jest to konieczne dla realizacji usługi łączności elektronicznej, w celu utrzymania lub przywrócenia bezpieczeństwa sieci lub usług, bądź za zgodą użytkownika.
Zasada poufności danych – komentarz prawnika
„Podstawową zasadą świadczenia jakiejkolwiek usług łączności elektronicznej jest zasada poufności.
Zgodnie z projektem ePrivacy jakakolwiek ingerencja w dane pochodzące z łączności elektronicznej, taka jak słuchanie, podsłuchiwanie, przechowywanie, monitorowanie, skanowanie lub innego rodzaju przechwytywanie, nadzorowanie lub przetwarzanie danych pochodzących z łączności elektronicznej przez jakikolwiek podmiot, bez zgody użytkowników końcowych, jest zakazana, o ile przepisy ePrivacy nie stanowią inaczej.
Standardem będzie zatem traktowanie każdego komunikatu przesyłanego drogą elektroniczną mogącego zawierać dane osobowe jako poufnego, a co za tym idzie chronionego przed bezprawnym użyciem.
Zasada poufności została co prawda ustanowiona w dyrektywie 2002/58/WE, jednak rozporządzenie ePrivacy spowoduje, że metadane pochodzące z łączności elektronicznej będą objęte taką samą ochroną jak treść komunikacji. Jest to istotna nowość, ponieważ metadane bardzo często pozwalają na wyciągnięcie konkretnych wniosków dotyczących prywatnego życia osób zaangażowanych w komunikację elektroniczną, takich jak ich relacje towarzyskie, zwyczaje, zainteresowania, etc.
Metadane potrafią ułatwić życie użytkownikom sieci np. przyspieszając wyszukiwanie danych, niosą jednak również wiele zagrożeń – przykładowo ułatwiając śledzenie nas lub ujawniając informacje dotyczące prywatnych, czy intymnych ster naszego życia. Zagwarantowanie poufności danych pochodzących z łączności elektronicznej w tak szerokim zakresie z pewnością przyczyni się do wzmocnienia bezpieczeństwa usług cyfrowych oraz zwiększenia komfortu korzystania z Internetu.”