W dyskusjach na temat nowych przepisów o ochronie danych osobowych, czyli GDPR/RODO, rozporządzenie ePrivacy jest często pomijane. Tymczasem projekt ePrivacy pogłębia, rozszerza i uzupełnia ogólne przepisy GDPR/RODO, a kary za jego złamanie są równie wysokie.

  

Po wstępie do RODO (który możesz przeczytać tu), przeszliśmy do projektu rozporządzenia ePrivacy, który w dyskusjach na temat nowych przepisów pozostaje w cieniu GDPR/RODO.

Projekt ePrivacy jest jednak równie ważny i na pewno nie możesz go pominąć.

  

W pierwszym artykule naszego przeglądu projektu rozporządzenia ePrivacy (przeczytasz go tu) przyjrzeliśmy się samemu rozporządzeniu: informacjom ogólnym, zakresowi stosowania, oraz zasadzie poufności danych.

Natomiast w niniejszym wpisie rozprawimy się z zagadnieniami szczegółowymi: zasadami dotyczącymi plików cookies, spamu, oraz tym co najbardziej działa na emocje, czyli karom grożącym za łamanie przepisów.

 

Temat jest szeroki, zatem usiądź wygodnie i zarezerwuj sobie około 10 minut na przeczytanie niniejszego artykułu.

 

Podobnie jak w poprzedniej części, poprosiliśmy o wpis gościnny i obszerny komentarz Panią Joannę Swaryczewską-Dede z kancelarii Porębski i Wspólnicy, specjalizującą się między innymi w zagadnieniach związanych z przetwarzaniem danych osobowych, oraz zajmującą się przygotowywaniem dokumentacji wewnętrznej dla przedsiębiorców, prowadzeniem audytów, a także doradztwem z zakresu ochrony danych osobowych.

Projekt ePrivacy - Joanna Swaryczewska-Dede

Joanna Swaryczewska-Dede, adwokat w kancelarii Porębski i Wspólnicy

 

Projekt ePrivacy: ciasteczka, spam i kary – część 2

Projekt ePrivacy – 4) Nowe podejście do plików cookies

 

Projekt rozporządzenia ePrivacy wprowadza istotne zmiany dotyczące „ciasteczek” – czyli plików cookies

Nie będzie już wymagana zgoda użytkownika na instalację takich ciasteczek, które nie wkraczają w sferę prywatności użytkownika np. mających na celu zapamiętanie wybranego przez niego języka strony lub zawartości koszyka w sklepie internetowym.

Zgody nie będą też wymagane przy instalacji ciasteczek używanych do celów analitycznych, np. w celu liczenia ilości użytkowników odwiedzających daną stronę internetową.

Zainstalowanie pozostałych rodzajów plików cookies (chociażby takich, które pozwalają wyświetlać zindywidualizowane reklamy) oraz innych identyfikatorów będzie wymagało zgody użytkownika, ale będzie ona wyrażana za pomocą odpowiednich ustawień przeglądarki internetowej – a nie jak dotychczas, przez akceptację powiadomień wyświetlanych na stronie.

 

Pliki cookies w ustawieniach przeglądarek internetowych

 

Jeżeli nie jesteś dostawcą przeglądarek internetowych, z biznesowego punktu widzenia poniższe kwestie Cię nie dotyczą. Mimo to – przeczytaj. Jesteś z pewnością użytkownikiem jakiejś przeglądarki (Chrome, FireFox, Opera, Internet Explorer…), warto więc wiedzieć, co Cię czeka.

Dostawcy przeglądarek będą mieli obowiązek skonfigurowania oprogramowania według znanej z GDPR zasady privacy by default (o której napiszemy w jednym z kolejnych artykułów).

Oznacza to, że dostawcy oprogramowania umożliwiającego dostęp do internetu powinni informować użytkowników końcowych w momencie instalacji przeglądarki o możliwości wyboru ustawień prywatności spośród różnych opcji.

Od najwyższych (na przykład „nigdy nie akceptuj plików cookie”), po najniższe (na przykład „zawsze akceptuj pliki cookie), oraz pośrednie (na przykład „odrzuć pliki cookie osób trzecich” lub „akceptuj tylko pliki cookie administratora”).

I dopiero po udzieleniu takich informacji mogą poprosić użytkownika o dokonanie wyboru.

Przekazane informacje nie powinny zniechęcać użytkowników końcowych do wyboru wyższego poziomu ustawień prywatności.

Powinny też zawierać istotne informacje o zagrożeniach związanych z wyrażeniem zgody na przechowywanie plików cookie, w tym o kompilowaniu danych z historii wyszukiwania użytkownika obejmującej długi okres oraz wykorzystywaniu takich rejestrów do wysyłania reklam ukierunkowanych.

 

Pliki cookies – komentarz prawnika

„Z uwagi na wszechobecność trwałych plików cookie oraz innych technik umożliwiających śledzenie, użytkownicy sieci są nieustannie proszeni o wyrażenie zgody na akceptację „ciasteczek”. Irytujące prośby o wyrażenie zgody na przechowywanie plików cookie w postaci banerów zasłaniających część strony internetowej, czy wyskakujących okienek najprawdopodobniej już wkrótce odejdą w zapomnienie.

Rozporządzenie ePrivacy wprowadza przejrzyste i przyjazne dla użytkowników rozwiązanie problemu „ciasteczek” przerzucając obowiązek uzyskiwania zgody na przechowywanie trwałych plików cookie z właścicieli serwisów internetowych na dostawców przeglądarek internetowych.

Zgodnie z ePrivacy przeglądarki internetowe mają być wykorzystywane jako blokady, które umożliwią użytkownikom końcowym zapobieganie dostępowi do informacji lub przechowywaniu informacji z ich urządzenia końcowego (na przykład smartfona, tabletu lub komputera).

Ustawienie w przeglądarce swoich preferencji dotyczących np. cookies, będzie miało zastosowanie automatycznie do wszystkich odwiedzanych przez użytkownika Internetu stronach. Użytkownik będzie mógł zatem skuteczniej kontrolować swoje urządzenie z góry odmawiając zgody na akceptację „ciasteczek”.

 

Projekt ePrivacy – 5) Zakaz wysyłania SPAM-u

Projekt ePrivacy przewiduje szereg zasad dotyczących niezamawianych materiałów marketingowych.

Nowe przepisy wprowadzają zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi: e-mailem, SMS-em i co do zasady również telefonicznie, jeżeli użytkownik nie wyraził na to zgody.

Projekt rozporządzenia ePrivacy wskazuje, że gdy tylko mowa o zgodzie użytkownika, zastosowanie ma mieć definicja oraz warunki zgody wyrażone w GDPR/RODO.

Oznacza to, że zgoda musi być dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli, w formie oświadczenia lub wyraźnego działania osoby, której dane dotyczą (art. 4 ust. 11 GDPR/RODO).

Musi być wyraźnie oddzielona od innych kwestii, zapytanie o jej udzielenie musi być w zrozumiałej formie, sporządzone jasnym i prostym językiem (art. 7 ust. 2 GDPR/RODO).

 

Dostawca usług będzie zobowiązany udowodnić, że spełnił wszystkie przewidziane prawem wymogi oraz że dana osoba rzeczywiście wyraziła zgodę. Zgoda uzyskana wbrew wymaganiom GDPR/RODO nie będzie wiążąca.

 

Utrzymano wyjątek dotyczący tzw. miękkiej zgody przy wykorzystywaniu danych kontaktowych dotyczących poczty elektronicznej przy wysyłaniu materiałów do klienta, o ile dotyczą one produktu lub usługi podobnych do tych, które dana osoba nabyła. Ma ona jednak możliwość wyrażenia sprzeciwu wobec takiego wykorzystywania swoich danych.

Prawo do wyrażenia sprzeciwu przysługuje w czasie gromadzenia danych i za każdym razem, gdy wysyłana jest wiadomość. Przy czym, klient powinien zostać poinformowany w sposób jasny i wyraźny o przyszłym wykorzystaniu jego danych kontaktowych do celów marketingu bezpośredniego, oraz o prawie do wycofania w łatwy sposób zgody na dalsze otrzymywanie komunikatów marketingowych.

Według projektu ePrivacy, firmy marketingowe będą musiały używać możliwego do zidentyfikowania numeru lub stosować specjalny prefiks wskazujący na to, że dana rozmowa ma charakter marketingowy.

 

Alternatywnie, państwa członkowskie mogą też wprowadzić specjalne publicznie dostępne rejestry pozwalające na zarejestrowanie swojego numeru telefonu jako nieprzyjmującego połączeń marketingowych.

Takim rejestrem może stać się tzw. Lista Robinsonów, obecnie nieobowiązkowa, prowadzona przez Polskie Stowarzyszenie Marketingu SMB. Wspominaliśmy o niej w artykule o systemowych zabezpieczeniach przed wysyłaniem niechcianej informacji handlowej.

 

Zakaz wysyłania SPAM-u – komentarz prawnika

„Rozporządzenie ePrivacy przewiduje wzmocnienie ochrony przed niezamówionymi komunikatami rozsyłanymi w celu prowadzenia marketingu bezpośredniego, czyli tzw. SPAM-em.

Zgodnie z przepisami ePrivacy konieczne jest uzyskanie uprzedniej zgody użytkownika na otrzymywanie takich komunikatów bez względu na kanał komunikacyjny, jakim są one dostarczane.

Aby ułatwić skuteczne wykonanie przepisów unijnych dotyczących SPAM-u zakazane powinno być podejmowanie takich działań jak: maskowanie tożsamości, korzystanie z fałszywej tożsamości, fałszywych adresów zwrotnych lub numerów przy wysyłaniu niezamówionych informacji handlowych do celów marketingu bezpośredniego.

Niezamówione komunikaty marketingowe powinny być zatem wyraźnie rozpoznawalne jako takie i powinny wskazywać tożsamość podmiotu, który je przesyła lub w imieniu którego są przesyłane, oraz zapewniać informacje niezbędne dla odbiorców do wykonania ich prawa do sprzeciwienia się otrzymywaniu dalszych pisemnych lub ustnych wiadomości marketingowych.

Nowa regulacja dotycząca SPAM-u z pewnością odbije się na przedsiębiorcach, utrudniając im prowadzenie marketingu przy użyciu usług łączności elektronicznej. Przepisy ePrivacy dotyczące SPAM-u będą szczególnie dotkliwe dla telemarketerów.

Połączenia od telemarketerów będzie można bowiem łatwo zidentyfikować i zignorować.”

Koszty Call Center w chmurze

Projekt ePrivacy – 6) Kary

 

Za egzekwowanie przepisów o poufności zawartych w rozporządzeniu odpowiedzialne będą krajowe urzędy ochrony danych.

Projekt ePrivacy przewiduje identyczne jak GDPR/RODO sankcje karne za nieprzestrzeganie postanowień rozporządzenia.

Naruszenie niektórych przepisów rozporządzenia może doprowadzić do nałożenia kar administracyjnych w wysokości do 10 000 000 EUR. W przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Natomiast naruszenie innych przepisów rozporządzenia grozi karami do 20 000 000 EUR lub 4% całkowitego rocznego światowego dochodu w przypadku przedsiębiorstwa.

 

Kary – komentarz prawnika

„Egzekwowanie przepisów rozporządzenia ePrivacy zapewnić ma możliwość nakładania przez organ nadzorczy właściwy w zakresie ochrony danych osobowych dotkliwych sankcji finansowych. Wskazana w przepisach ePrivacy wysokość kar ma pełnić funkcję odstraszającą przed naruszaniem przepisów rozporządzenia, ale również zapewnić by podmiot, który dopuścił się naruszenia nie popełnił go ponownie w przyszłości.

Dla podmiotów, które będą musiały stosować się do nowej regulacji, sankcje finansowe powinny stanowić impuls do analizy czy stosowane przez nie praktyki są zgodne z rozporządzeniem unijnym.”

 

 

Znasz już główne założenia projektu rozporządzenia ePrivacy, wiesz czego dotyczy, jakie zagadnienia traktuje szczegółowo, oraz co Ci grozi, gdybyś złamał jego przepisy.

Tak jak wspomnieliśmy we wstępie do niniejszej serii artykułów, będziemy aktualizować informacje w miarę postępu prac nad projektem.

 

W kolejnym artykule wrócimy do rozporządzenia GDPR/RODO i prześwietlimy je w podobnie drobiazgowy sposób, jak projekt ePrivacy.