Zgodnie z pierwotnymi planami rozporządzenie ePrivacy powinno wejść w życie razem z GDPR. Miało być wobec tego rozporządzenia komplementarne, uszczegóławiać je i uzupełniać w zakresie bezpieczeństwa danych pochodzących z łączności elektronicznej. Na razie prace nad „Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE” wciąż trwają (aktualnie zajmuje się nim Rada Unii Europejskiej).

Z powodu uwag zgłaszanych zarówno przez same państwa członkowskie, jak i unijne organy odpowiedzialne za ochronę danych osobowych oraz krytyki ze strony środowisk biznesowych – nie udało się do tej pory wypracować zadowalającej wszystkich treści. W związku z tym nawet same środowiska społeczne, które zajmują się ochroną prywatności, jak polska fundacja Panoptykon, zaapelowały, by ze względu na wagę planowanych rozstrzygnięć nie przyspieszać prac i uzgodnić ostateczne brzmienie poszczególnych zapisów na spokojnie, uwzględniając wszelkie uwagi i wątpliwości.

Celem rozporządzenia ePrivacy ma być dostosowanie przepisów dotyczących ochrony danych pochodzących z komunikacji elektronicznej do realiów wynikających z rozwoju nowych technologii i idących w ślad za nimi uwarunkowań rynkowych. Dotychczas obowiązująca w tej materii dyrektywa z 2002 r. nie jest już wystarczająca, tym bardziej że dotyczy jedynie tradycyjnych operatorów telekomunikacyjnych.

Projektodawcom nowego prawa chodzi o zwiększenie powszechnego zaufania do usług cyfrowych i zapewnienie użytkownikom urządzeń końcowych – takich jak komputer, tablet, telefon, smartfon – lepszej ochrony przed nadmierną ingerencją w ich prywatność. Rozwiązaniem pożądanym jest zagwarantowanie takiego samego poziomu ochrony jak w przypadku tradycyjnych form komunikacji, na przykład korespondencji pocztowej. Nowością w stosunku do RODO jest to, że ochrona będzie dotyczyła nie tylko danych osób prywatnych, lecz także osób prawnych (na przykład spółek).
Nowe przepisy będą służyły zapewnieniu większej poufności informacji, do których w związku z prowadzoną działalnością mają dostęp dostawcy usług telekomunikacyjnych i internetowych, np. telefonii internetowej, komunikatorów internetowych, poczty elektronicznej, czy wykonawcy działań marketingowych i reklamowych prowadzonych za pomocą mediów elektronicznych. Co ważne, ochronie mają podlegać również metadane związane z aktywnością użytkowników sieci, np. dotyczące lokalizacji, wybieranych numerów telefonów, odwiedzanych stron internetowych, pory i czasu trwania realizowanych połączeń. Regulacja obejmie też dostęp do danych wymienianych automatycznie w komunikacji typu maszyna – maszyna.

 

Marketing łatwy do rozpoznania

Wprowadzenie nowych przepisów w znaczący sposób wpłynie na funkcjonowanie branży internetowej. Będą one dotyczyły zarówno tych, którzy zbierają i wykorzystują informacje pozyskiwane z urządzeń końcowych w celach marketingowych, jak i tych, którzy zajmują się marketingiem przy użyciu środków elektronicznych (maila, telefonu itp.). Będą mu podlegać dostawcy internetu, usług telekomunikacyjnych i oprogramowania umożliwiającego łączność elektroniczną, np. aplikacji mobilnych wykorzystywanych w handlu internetowym.

Z nowymi obowiązkami dotyczącymi podwyższonych rygorów ochrony prywatności będą musieli zmierzyć się właściciele serwisów internetowych, wyszukiwarek, serwisów informacyjnych czy sklepów internetowych, które zbierają informacje związane z funkcjonowaniem urządzeń elektronicznych użytkowników bądź przechowywane na takich urządzeniach (na przykład pliki cookie), z zamiarem wykorzystania ich do profilowania i wyświetlania personalizowanych treści czy reklam lub przekazania innym podmiotom do takiego celu. Będą obowiązywać brokerów danych i przedsiębiorców korzystających z elektronicznych środków przekazu w marketingu bezpośrednim.

Podstawową zasadą ma być konieczność uzyskania uprzedniej zgody użytkownika na otrzymywanie niezamawianych materiałów marketingowych, bez względu na kanał komunikacyjny, jakim są dostarczane. Rozporządzenie wprowadzi zakaz wysyłania niechcianych wiadomości elektronicznych jakąkolwiek drogą: e-mailem, SMS-em czy telefonicznie, jeżeli użytkownik nie wyraził na to zgody.

Ograniczenia nie będą dotyczyły marketingu własnych produktów. Ma pozostać wyjątek dotyczący tzw. miękkiej zgody w zakresie wykorzystywania danych kontaktowych dotyczących poczty elektronicznej. Firma, z którą mamy już podpisaną umowę lub od której już nabyliśmy produkt czy usługę (na przykład operator telekomunikacyjny, u którego mamy wykupiony abonament), będzie mogła nam przysyłać oferty innych, podobnych produktów bądź usług.

Przedsiębiorcy mają zastrzeżenia

Projekt rozporządzenia ePrivacy budzi szereg obaw i zastrzeżeń wśród przedsiębiorców, zarówno z Polski, jak i innych krajów europejskich. W czerwcu ubiegłego roku koalicja dużych organizacji biznesowych w naszym kraju – Związku Pracodawców Branży Internetowej IAB Polska, Krajowej Izby Gospodarczej, Business Centre Club, Konfederacji Lewiatan, Polskiej Izby Informatyki i Telekomunikacji, Startup Poland oraz ZIPSEE „Cyfrowa Polska” – przekazała swoje uwagi na ręce ministra cyfryzacji.

„Niezmiennie uważamy, że ww. projekt jest kolejną, po rozporządzeniu RODO, regulacją, która w sposób znaczący zmienia zasady przetwarzania danych zarówno osobowych, jak i metadanych, wpływając tym samym na tempo i dynamikę rozwoju innowacyjnego rynku usług online i szeroko pojętych usług cyfrowych. Obawiamy się wprowadzenia w życie nowej regulacji, która nie zapewnia odpowiedniej elastyczności w zakresie przetwarzania metadanych, nakłada szereg nowych obowiązków na przedsiębiorców, a ponadto może zniweczyć koszty poniesione już w związku z zapewnieniem zgodności z RODO, gdyż w wielu miejscach jest z RODO niespójna, szczególnie odnośnie do zakresu dozwolonych podstaw przetwarzania danych osobowych” – czytamy w stanowisku środowisk biznesowych. Ich zdaniem projekt jest niedopracowany, a jego przyjęcie w procedowanym kształcie może się przyczynić do obniżenia poziomu konkurencyjności firm w Polsce i Europie oraz ograniczenia dostępu do wielu usług i treści.

 

W pozostałych przypadkach firmy telekomunikacyjne i agencje marketingowe będą zobowiązane do uzyskania zgody klienta przed wysłaniem mu komunikatu marketingowego. Odbiorca musi mieć też możliwość łatwego i bezpłatnego cofnięcia w każdej chwili swojej zgody. Na dodatek komunikacja marketingowa będzie się mogła odbywać tylko na specjalnych, powszechnie obowiązujących zasadach. Na przykład w obszarze telemarketingu trzeba będzie korzystać z umożliwiających identyfikację przychodzącego połączenia oznaczeń. Proponuje się używanie odpowiedniego prefiksu lub kodu, aby odbiorca mógł się zorientować, że dzwoniący chce mu przedstawić ofertę handlową. Innym proponowanym rozwiązaniem jest prowadzenie przez państwa unijne specjalnych rejestrów, do których każdy mógłby zgłosić swój numer telefonu jako nieprzyjmujący połączeń marketingowych.

Pliki pod specjalnym nadzorem

Z założenia wszystkie dane generowane w związku z łącznością elektroniczną mają być traktowane jako poufne. Na ich przetwarzanie w celach marketingowych ma być udzielona wyraźna zgoda użytkownika, wyrażona w sposób dobrowolny, w pełni świadomie i jednoznacznie. Będzie się to wiązało m.in. ze zwiększeniem wymogów w zakresie uzyskiwania zgód na wykorzystanie plików cookie, jak również innych metod zbierania informacji o użytkownikach (ETagi, localstorage, fingerprinting, pixele, web beacony, spyware). Jednoznacznej zgody użytkownika będzie wymagało też uzyskanie dostępu do wszelkich informacji znajdujących się na urządzeniu końcowym, na przykład do zdjęć czy kontaktów w telefonie.

Znaczna część projektu rozporządzenia poświęcona jest plikom cookie. Nie wiadomo jednak, jakie zasady korzystania z nich zostaną przyjęte ostatecznie w proponowanych przepisach. Rozważana jest przede wszystkim możliwość określenia przez użytkownika generalnie akceptowanego poziomu i zakresu wykorzystania tzw. ciasteczek do zbierania informacji o jego aktywności poprzez wybór odpowiednich ustawień w przeglądarkach internetowych. Ich dostawcy musieliby zapewnić każdemu taką właśnie możliwość.

Znowu surowe kary

Za nieprzestrzeganie przepisów ePrivacy przewidziane są, podobnie jak w przypadku RODO, dotkliwe sankcje. Kara administracyjna może wynosić nawet do 20 mln euro lub w przypadku firm do 4 proc. ich całkowitego, światowego przychodu z poprzedniego roku obrachunkowego. Za egzekwowanie przepisów mają odpowiadać krajowe urzędy ochrony danych osobowych. W przypadku Polski jest to Urząd Ochrony Danych Osobowych. Projekt rozporządzenia zakłada również możliwość uzyskania rekompensaty z tytułu poniesionej szkody majątkowej lub niemajątkowej w wyniku naruszeń przepisów o e-prywatności.

 

W efekcie nie byłoby potrzeby udzielania zgody na zainstalowanie plików cookie dla każdej strony internetowej czy każdego serwisu z osobna. Zniknęłyby wyskakujące okienka, a wybrane ustawienia byłyby obowiązujące dla określonych generalnie przez użytkownika rodzajów dostawców treści czy usług, możliwa byłaby też akceptacja lub odrzucenie wszystkich plików w całości. Obowiązkiem dostawców przeglądarek byłoby zapewnienie pierwotnych ustawień zgodnych ze znaną z RODO zasadą privacy by default. Użytkownicy powinni mieć do wyboru całą gamę ustawień, począwszy od „nigdy nie akceptuj plików cookie” po „zawsze akceptuj pliki cookie”. Według innej propozycji tego rodzaju ustawienia mogłyby być dokonywane poprzez używane aplikacje.

Pod adresem proponowanego rozwiązania pojawiają się też zarzuty, że nie spełnia ono wszystkich wymogów wynikających z RODO. Unijne rozporządzenie o ochronie danych osobowych mówi bowiem, że zgoda na przetwarzanie danych musi być każdorazowo dobrowolna, świadoma, jednoznaczna i możliwa do wycofania. Nie może być domniemana na podstawie innych, dotychczasowych aktywności użytkownika. Poza tym przed jej udzieleniem każdy powinien być poinformowany o celu przetwarzania dotyczących go danych. Takie warunki spełniają zdaniem zwolenników tego rozwiązania tzw. checkboxy z żądaniem potwierdzenia zgody – i obowiązek ich stosowania powinien być w nowych przepisach uwzględniony.

Jednomyślność panuje co do jednego: nie będzie potrzebna zgoda na instalację ciasteczek, które nie wkraczają w sferę prywatności użytkownika. Mowa tu o plikach, które umożliwiają sprawne funkcjonowanie strony internetowej (np. zapamiętywanie języka obsługi lub zawartości koszyka zakupów) czy też służą do analiz statystycznych (np. liczenia użytkowników danej strony internetowej). Zainstalowanie plików ingerujących w jakikolwiek sposób w prywatność użytkownika – np. umożliwiających wyświetlanie mu zindywidualizowanych reklam – wymagać już natomiast powinno uzyskania stosownej zgody. Co prawda, pojawił się też pomysł, aby z tego obowiązku zwolnione były strony utrzymujące się tylko z reklam, ale spotkał się on z mocnym sprzeciwem organizacji społecznych zajmujących się ochroną prywatności. Ich zdaniem otwierałoby to furtkę do stałej inwigilacji obywateli.

W Unii i poza nią

Przygotowywane rozporządzenie będzie obejmować dostawców usług łączności elektronicznej mających swoją siedzibę zarówno na terenie Unii Europejskiej, jak i poza nią, o ile będą świadczyć usługi obywatelom któregoś z krajów członkowskich UE. Dla tych ostatnich rozważane jest wprowadzenie obowiązku ustanowienia swojego przedstawiciela w Unii, żeby w ten sposób ułatwić obywatelom ewentualne dochodzenie roszczeń.

 

Wszyscy na tych samych zasadach

W myśl założeń leżących u podstaw projektu ePrivacy zarówno tradycyjni operatorzy usług telekomunikacyjnych, jak i dostawcy usług typu VoIP, poczty elektronicznej czy komunikatorów internetowych mają podlegać tym samym przepisom. Wszyscy oni mają zagwarantować użytkownikom pełną prywatność, nie tylko poprzez ochronę treści przesyłanych wiadomości, lecz także poprzez anonimizację dotyczących ich działań w sieci metadanych.

Posługiwanie się w jakikolwiek sposób danymi i metadanymi pochodzącymi z łączności elektronicznej – na przykład ich monitorowanie, przechwytywanie, przechowywanie, monitorowanie, nadzorowanie lub przetwarzanie – bez zgody użytkownika końcowego ma być jednoznacznie zakazane. Dozwolone prawem ich użycie będzie dotyczyło tylko sytuacji związanych z koniecznością realizacji łączności elektronicznej oraz potrzeby utrzymania lub przywrócenia bezpieczeństwa sieci.

Dopóki nie zostaną zakończone prace nad ostateczną wersją rozporządzenia ePrivacy i nie wejdzie ono w życie, prywatność użytkowników urządzeń elektronicznych będzie chroniona zgodnie z dotychczasowymi zasadami. W pierwszym rzędzie mają tu zastosowanie przepisy RODO. Z kolei kwestie instalowania plików cookie reguluje obecnie na polskim gruncie Prawo telekomunikacyjne. Natomiast zasady przesyłania informacji handlowych drogą elektroniczną określa u nas Ustawa o świadczeniu usług drogą elektroniczną. ePrivacy wprowadzi jednolite, zintegrowane podejście do wszystkich tego typu zagadnień w obszarze komunikacji elektronicznej. Przyjdzie na to jednak z pewnością jeszcze trochę poczekać.