13 lutego 2018
Ochrona danych w sieci. Wpływ projektowanego rozporządzenia e-privacy na prawa i obowiązki przedsiębiorców
Udostępnij
Dnia 10 stycznia 2017 r. Komisja Europejska przedstawiła projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE1 (rozporządzenie w sprawie prywatności i łączności elektronicznej; dalej: rozporządzenie e-privacy). Obecnie trwają prace nad jego przyjęciem przez Parlament Europejski. Projekt zakłada, że rozporządzenie, o ile zostanie przyjęte w obecnym kształcie, będzie obowiązywać od dnia 25 maja 2018 r., czyli od tego samego dnia, co przyjęte już rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 96/46/WE2 (ogólne rozporządzenie o ochronie danych; dalej: RODO). Dlatego tak ważne jest, żeby jak najszybciej poznać główne założenia rozporządzenia e-privacy.
W pierwszej kolejności warto wskazać, że od momentu wejścia w życie rozporządzenia e-privacy jego przepisy będą stosowane bezpośrednio3. Dotąd kwestię prywatności w Internecie regulowała dyrektywa, tj. akt prawny wymagający implementacji, czyli uchwalenia przepisów krajowych, które mają na celu zrealizować jej założenia. Wprowadzenie nowych przepisów w formie rozporządzenia powinno zapewnić jednolity poziom ochrony praw obywateli we wszystkich państwach członkowskich, jak również zmniejszyć rozbieżności interpretacyjne w poszczególnych krajowych porządkach prawnych.
Warto również zwrócić uwagę na fakt, że rozporządzenie e-privacy uszczegóławia niektóre kwestie wskazane w RODO, w odniesieniu do komunikacji elektronicznej. Jednocześnie uwzględnia jednak zdecydowanie szersze kategorie danych niż tylko dane osobowe. Inaczej niż RODO, rozporządzenie e-privacy dotyczy bowiem również osób prawnych, a zatem chroni m.in. informacje, które stanowią tajemnicę przedsiębiorstwa i są przekazywane drogą elektroniczną.
Ponadto rozporządzenie e-privacy realizuje postulat neutralności technologicznej w odniesieniu do definicji danych pochodzących z łączności elektronicznej. Neutralność technologiczna oznacza, że istota pojęcia danych powinna pozostawać niezmienna na przestrzeni lat w związku z rozwojem technologii informacyjnych. Ma to przede wszystkim na celu uniknięcie ciągłego nowelizowania przepisów oraz dostosowywania ich do pojawiających się nowinek technologicznych.
Kto będzie stosował nowe rozporządzenie?
Nowe rozporządzenie e-privacy ma zastosowanie do świadczenia usług łączności elektronicznej – tj. dostępu do Internetu lub przekazywania sygnałów telefonicznych – na rzecz osób fizycznych i prawnych, które nie świadczą dalszych usług udostępniania publicznych sieci łączności i są użytkownikami końcowymi. Chodzi zatem o te podmioty, które jedynie wysyłają i odbierają informacje, nie pośrednicząc w przekazywaniu ich innym osobom. Natomiast końcowymi urządzeniami telekomunikacyjnymi nazywane są urządzenia bezpośrednio lub pośrednio podłączone do interfejsu publicznej sieci telekomunikacyjnej w celu wysłania, przetwarzania lub odbierania informacji, czyli np. komputer z dostępem do Internetu lub telefon komórkowy z dostępem do sieci.
Warto wskazać, że nowe rozporządzenie dotyczy prawnych regulacji korzystania z usług łączności elektronicznej oraz ochrony informacji przekazywanych za pośrednictwem takich usług, tj. przekazywania jakichkolwiek informacji, a nie tylko np. danych osobowych, za pośrednictwem Internetu lub sieci telekomunikacyjnych. Tym samym należy wskazać, że rozporządzenie będzie miało zastosowanie nie tylko do rozmów telefonicznych bądź też wiadomości SMS, ale będzie dotyczyć również tych podmiotów, które udostępniają możliwość porozumiewania się za pomocą wiadomości e-mail, komunikatorów internetowych czy też oprogramowania umożliwiającego transmisję dźwięku i obrazu pomiędzy użytkownikami końcowymi. W związku z tym trzeba stwierdzić, że w stosunku do obecnie obowiązujących przepisów został poszerzony katalog podmiotów zobowiązanych do ich przestrzegania.
Rozporządzenie wskazuje jednak także szereg sytuacji, w których jego postanowienia nie znajdują zastosowania. Są to m.in. działania związane z zapobieganiem i wykrywaniem przestępczości, prowadzenia postępowań karnych oraz wykonywania orzeczeń sądów zapadłych w takich sprawach. Dotyczy to także działań, które mają zapobiec zagrożeniom bezpieczeństwa publicznego, takim jak terroryzm. W konsekwencji należy uznać, że istotny element działań państwa, dotyczący zapewnienia bezpieczeństwa publicznego, jest wyłączony spod uregulowań rozporządzenia e‑privacy. Odrębne przepisy normują także przetwarzanie danych przez instytucje unijne.
Co ważne, rozporządzenie e-privacy w wielu przypadkach, m.in. w zakresie przywołanej powyżej usługi łączności elektronicznej, odwołuje się do definicji zawartych w Europejskim Kodeksie Łączności Elektronicznej. Tym samym należy stwierdzić, że kwestia zdefiniowania pewnych pojęć pozostaje do pewnego stopnia sprawą otwartą, ponieważ dyrektywa dotycząca Europejskiego Kodeksu Łączności Elektronicznej nie została jeszcze (na dzień 30 lipca 2017 r.) przyjęta przez Parlament Europejski. Nadal trwają prace nad jej ostateczną treścią, podobnie jak nad końcowym brzmieniem samego rozporządzenia e-privacy. Dlatego też pewne zagadnienia, których dotyczy Europejski Kodeks Łączności Elektronicznej, w tym również pojęcia w nim zdefiniowane, mogą ulec zmianie.
Generalne zasady dotyczące prywatności w łączności elektronicznej
Treść artykułu 5 projektowanego rozporządzenia przewiduje, że dane pochodzące z łączności elektronicznej są poufne i jakakolwiek ingerencja w ich treść nie jest dozwolona. Tym samym jest zabronione podsłuchiwanie, przechowywanie, monitorowanie, przechwytywanie lub skanowanie takich danych, a ewentualne wyjątki od tego zakazu są wskazane w treści rozporządzenia. Regulacja ta oznacza, że według europejskiego prawodawcy wszystkie informacje przekazywane za pośrednictwem Internetu czy sieci telekomunikacyjnej muszą być traktowane jako poufne. Co więcej, badanie treści tych komunikatów jest zakazane i jakikolwiek inny podmiot niż nadawca bądź też odbiorca nie powinien mieć do nich dostępu.
W konsekwencji należy wskazać, że rozporządzenie wyczerpująco wymienia przypadki, kiedy dostawcy sieci i usług łączności elektronicznej – czyli przedsiębiorcy, którzy świadczą usługi polegające na umożliwianiu korzystania z Internetu, wykonywania połączeń telefonicznych, a także przesyłania wiadomości e-mail czy też korzystania z komunikatorów internetowych – mogą przetwarzać dane pochodzące z łączności elektronicznej w drodze wyjątku od ogólnej zasady uznania tych danych za poufne.
Co do zasady jest to możliwe tylko w dwóch przypadkach:
- gdy jest to konieczne do przesłania komunikatu od nadawcy do odbiorcy za pośrednictwem sieci łączności elektronicznej,
- w celu utrzymania lub przywrócenia bezpieczeństwa sieci oraz wykrycia ewentualnych usterek technicznych i błędów.
Należy zauważyć, że przetwarzanie danych może następować wyłącznie przez okres, który jest konieczny do realizacji danego celu, wskazanego w pkt 1) albo 2). Tym samym, po dostarczeniu komunikatu usługodawca nie może dalej przetwarzać tych danych, które zostały już przesłane, albowiem brak jest podstawy konieczności do realizacji celu przesłania danych.
Odrębną kategorią regulacji objętą rozporządzeniem e-privacy jest treść łączności elektronicznej. Dane pochodzące z łączności elektronicznej obejmują bowiem zarówno samą treść łączności elektronicznej, jak również metadane. Treścią łączności elektronicznej są informacje (treści) przekazywane za pomocą usług łączności elektronicznej, takie jak tekst, głos, wideo, obrazy bądź też dźwięk. Przetwarzanie takiej treści łączności elektronicznej przez przedsiębiorcę może nastąpić jedynie w celu świadczenia konkretnej usługi łączności, zgodnie z zasadą minimalizacji, znaną z RODO. Jednocześnie wymagane jest uzyskanie zgody użytkownika na jej przetwarzanie. Po dostarczeniu komunikatu do jego odbiorcy dane powinny zostać usunięte lub zanonimizowane. Mogą być jednak zapisywane lub przechowywane nadal przez użytkowników końcowych, tj. nadawcę lub odbiorcę, bądź też przez osoby trzecie, np. podmiot powiązany z usługodawcą, którym powierzono ich zapisywanie, przechowywanie lub przetwarzanie. W tym ostatnim wypadku może to mieć miejsce pod warunkiem przestrzegania odpowiednich przepisów RODO. Prowadzi to do konsekwencji w postaci obowiązku uzyskania odrębnej zgody na takie przechowywanie.
Z kolei metadane to dane służące do celów przesyłania, dystrybuowania lub wymiany treści łączności elektronicznej. Są to również dane wskazujące na źródło wiadomości oraz jej miejsce docelowe, a także ewentualne dane dotyczące lokalizacji i godziny łączności. Innymi słowy, są to dane, które umożliwiają urządzeniom technicznym przekazanie treści od odbiorcy do nadawcy, i wszelkie inne dodatkowe informacje o wiadomości – np. o której godzinie została ona wysłana.
Rozporządzenie e-privacy wskazuje, że przetwarzanie metadanych jest możliwe w następujących przypadkach:
- gdy jest to konieczne do zapewnienia odpowiedniej jakości usługi, co wynika z innych przepisów unijnych;
- gdy jest to konieczne do obciążenia użytkowników opłatami za przesył danych;
- gdy użytkownik końcowy wyraził zgodę na przetwarzanie danych w określonym celu, w tym m.in. aby świadczyć mu konkretne, dodatkowe usługi.
Ponadto rozporządzenie wymaga, aby takie metadane zostały usunięte już wówczas, gdy stają się zbędne do celów przesyłu, tj. np. gdy komunikat dotarł już do odbiorcy. W przypadku gdy metadane są przetwarzane w celu obciążenia użytkownika opłatami, mogą być przechowywane np. do upływu terminu przedawnienia roszczenia, zgodnie z przepisami krajowymi.
Podobne ograniczenia dotyczą zakazu zbierania przez przedsiębiorców świadczących usługi łączności elektronicznej informacji o urządzeniu, z którego korzysta użytkownik. Rozporządzenie e-privacy wskazuje jednak wyraźnie, że jest to możliwe m.in. wtedy, kiedy jest konieczne, aby świadczyć użytkownikowi usługę, której żąda, np. gdy wypełnia formularze internetowe obejmujące kilka stron, bądź też gdy użytkownik wyraził na to zgodę. Jest to możliwe również w celach pomiarowych, lecz jedynie w sytuacji, w której pomiarów dokonuje dostawca usług na rzecz użytkownika. Tym samym niektóre pliki cookies będą mogły być zapisywane na urządzeniu odbiorcy. Co więcej, nie będzie już konieczne wyraźne informowanie o tym użytkownika, co miało miejsce dotychczas, poprzez ukazywanie komunikatu po wejściu na daną stronę internetową.
Do celów rozporządzenia e-privacy stosuje się definicję zgody z RODO. Oznacza to, że zgoda co do zasady nie będzie musiała być wyrażona w formie pisemnej. Musi być ona jednak wyraźna i jednoznaczna. Nie można zatem uznać, że użytkownik wyraził dobrowolną zgodę, np. wchodząc na daną stronę internetową czy też rozpoczynając korzystanie z jakiejś usługi. Ograniczone jest również wymuszanie zgód np. na działania niezwiązane bezpośrednio z realizacją usługi w sytuacji, gdy dane nie są niezbędne do korzystania z tej usługi.
Istotne jest to, że rozporządzenie e-privacy nakłada na twórców oprogramowania obowiązek poinformowania użytkownika o ustawieniach prywatności. Konieczne jest przy tym uzyskanie zgody użytkownika na proponowane przez program ustawienia. Programy (zwłaszcza przeglądarki internetowe) muszą mieć również opcję, która umożliwi użytkownikom wybór takich ustawień, aby na ich urządzeniu (telefonie, komputerze) nie były zapisywane jakiekolwiek informacje (np. pliki cookies), albo zapobiegnie pozyskiwaniu z tego urządzenia jakichkolwiek informacji na rzecz podmiotów trzecich (np. zbierania informacji z telefonu użytkownika).
Projektowane rozporządzenie znacznie rozszerza uprawnienia osób fizycznych związane z identyfikowaniem połączeń przychodzących, jak również możliwość blokowania niektórych kategorii dzwoniących rozmówców. I tak, możliwe będzie np. zablokowanie wszystkich połączeń przychodzących z numerów zastrzeżonych, ze źródeł anonimowych lub takich, których identyfikacja nie jest możliwa, jak również ukrycie informacji o swoim numerze, który miałby zostać wyświetlony osobom mającym odebrać połączenie. Możliwe będzie również zablokowanie wszystkich połączeń przychodzących z konkretnych, wskazanych numerów, czego dotychczas obowiązująca dyrektywa w ogóle nie przewidywała. Konieczne będzie także uzyskanie zgody osoby fizycznej na umieszczenie jej numeru w książce telefonicznej. Osoby prawne nie muszą udzielać zgody na zamieszczenie ich danych w spisie numerów, mogą jednak złożyć sprzeciw wobec obecności ich danych w tym miejscu.
Nowe obowiązki dla podmiotów świadczących usługi telemarketingu
Ponadto należy jednoznacznie stwierdzić, że proponowane zmiany spowodują rewolucję w procesie funkcjonowania określonych grup zawodowych, zwłaszcza telemarketerów, których działalność ulegnie znacznemu ograniczeniu. Co do zasady rozporządzenie e-privacy przewiduje, że przedsiębiorcy będą mogli wysyłać komunikaty marketingowe wyłącznie tym osobom fizycznym, które wyraziły na to zgodę. Dotyczy to także łączności za pomocą wiadomości e-mail. W takim przypadku użytkownik ma mieć prawo do wyrażenia sprzeciwu nie tylko w momencie decydowania się na usługę, tj. w chwili udostępniania przedsiębiorcy swojego adresu e-mail, ale także każdorazowo wraz z otrzymaniem wiadomości e-mail zawierającej treści marketingowe. Innymi słowy, w każdej wiadomości e-mail musi być zawarta informacja, że użytkownik może zrezygnować z otrzymywania informacji marketingowych.
Dodatkowo, na mocy nowego rozporządzenia, przedsiębiorca zostanie zobowiązany do poinformowania o numerze telefonu, pod którym można będzie się z nim skontaktować. Nadto, co wydaje się być przełomem w świecie marketingu telefonicznego, numery, z których dzwonią telemarketerzy, zostaną oznaczone konkretnym kodem bądź też prefiksem występującym przed numerem, co umożliwi odbiorcom, do których wykonywane jest połączenie, zidentyfikowanie, że mają do czynienia z połączeniem marketingowym. Co więcej, każdy użytkownik musi zostać poinformowany, że celem, w jakim kontaktuje się z nim przedsiębiorca, jest marketing bezpośredni, jak również o tym, w jaki sposób można wycofać zgodę na przetwarzanie komunikatów marketingowych. Wydaje się więc, że wejście w życie rozporządzenia e-privacy znacznie ograniczy skuteczność marketingu telefonicznego. Wielu z użytkowników może bowiem z założenia ignorować przychodzące do nich połączenia marketingowe.
Kolejnym ważnym obowiązkiem nałożonym na usługodawców, czyli dostawców usług łączności elektronicznej, jest konieczność powiadamiania użytkowników o zagrożeniach bezpieczeństwa sieci. Jeżeli ewentualne środki zaradcze są poza zasięgiem usługodawcy, powinien on poinformować użytkowników także o środkach zaradczych oraz ewentualnych prawdopodobnych kosztach.
Organy odpowiedzialne i sankcje za nieprzestrzeganie przepisów rozporządzenia
Istotne jest również to, że organem państwowym odpowiedzialnym za zapewnienie przestrzegania opisywanego rozporządzenia będzie ten sam organ, który zadba o stosowanie się do regulacji RODO. W Polsce będzie to zatem zapewne GIODO lub następca tego organu. Każdemu użytkownikowi końcowemu będą przysługiwały określone środki do ochrony swoich praw. Będą to znane z rozporządzenia RODO:
- skarga do organu nadzorczego (w Polsce do GIODO) oraz ewentualne odwołanie się od decyzji organu nadzorczego do sądu,
- wniesienie sprawy do sądu.
Rozporządzenie nakazuje również organom nadzorczym współpracę (pomiędzy organami nadzorczymi w państwach członkowskich), tak aby użytkownik końcowy co do zasady mógł zawsze zwrócić się do organu nadzorczego właściwego dla swojego miejsca pobytu, niezależnie od tego, gdzie znajduje się operator świadczący usługi elektroniczne.
Kolejnym podobieństwem do RODO jest analogiczne ustalenie wysokości kar za nieprzestrzeganie przepisów rozporządzenia e-privacy. Co do zasady, naruszenia przepisów tych aktów prawnych podlegają karom w wysokości do 10 000 000 euro lub w wysokości 2% całkowitego rocznego światowego obrotu przedsiębiorstwa, przy czym zastosowanie ma kwota wyższa. Niekiedy jednak wymierzona może zostać kara w wysokości nawet do 20 000 000 euro bądź też do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. Tu również decydująca będzie kwota wyższa. Takie ryzyko zaistnieje w przypadku naruszenia zasady poufności komunikacji, nieprawidłowego przetwarzania danych pochodzących z łączności elektronicznej lub naruszenia terminów, w których dane winny zostać usunięte. Analogiczne kary mogą zostać nałożone w przypadku nieprzestrzegania nakazu wydanego przez organ nadzorczy. Państwa członkowskie będą mogły, w drodze odrębnych przepisów, ustalić także dodatkowe sankcje za naruszenie innych przepisów rozporządzenia.
Konkludując, warto podkreślić, iż rozporządzenie e-privacy ma wejść w życie dnia 25 maja 2018 r. Do tego momentu pozostało zatem jeszcze kilka miesięcy. Czas ten powinien być wykorzystany przez podmioty świadczące usługi łączności elektronicznej do przeprowadzenia koniecznych wdrożeń. Dotyczy to w szczególności podmiotów, które obecnie przetwarzają dane z łączności elektronicznej, bądź też twórców oprogramowania do takiej łączności, przepisy zmuszą je bowiem do zmian swoich produktów i usług. Niezbędne przygotowania powinny zostać poczynione również przez podmioty, które świadczą usługi marketingowe za pośrednictwem wiadomości e-mail czy też marketingu telefonicznego, gdyż projektowane rozporządzenie nakłada na nie nowe obowiązki. Liczba proponowanych w projekcie zmian jest duża, a więc należy założyć, że przynajmniej część z wymienionych powyżej przedsiębiorstw będzie musiała radykalnie zmienić swoje podejście do ochrony danych w Internecie.
Michał Nosowski
radca prawny
www.michalnosowski.pl
1 Propozycja Komisji Europejskiej z dnia 10 stycznia 2017 r. nr 2017/0003 (COD).
2 Dziennik Urzędowy UE L 119 z 4.05.2016 r., s. 1.
3 Art. 288 Traktatu o Funkcjonowaniu Unii Europejskiej, Dz.Urz. UE z 26.10.2012 r., C 326.