fbpx

Rozporządzenie ePrivacy na horyzoncie!

10 lutego 2021 r., po wielu latach dyskusji, został podpisany projekt Rozporządzenia o prywatności i łączności elektronicznej (tzw. „Rozporządzenie ePrivacy”). Reguluje ono zagadnienia związane z prywatnością w komunikacji elektronicznej na terenie UE. Nowe rozporządzenie wprowadzi kilka istotnych zmian dla gospodarki elektronicznej, dlatego warto przyjrzeć się, co ulegnie modyfikacji i czy obecny profil biznesowy nie będzie wymagał wprowadzenia wielu zmian.

Przepisy analizowanego rozporządzenia będą przede wszystkim miały wpływ na:

  • podmioty zbierające i wykorzystujące informacje o urządzenia końcowych (telefonach, laptopach) w celach marketingowych;
    • przykład – profilowanie behawioralne użytkowników końcowych w oparciu o pliki „cookies”,
  • podmioty kierujące marketing z wykorzystaniem e-mail lub telefonu (zarówno do osób fizycznych, jak i do osób prawnych);
    • o przykład – „cold mailing” do potencjalnych klientów,
  • podmioty świadczące usługi łączności elektronicznej (dostawcy Internetu, podmioty w branży telekomunikacyjnej);
    • o firmy świadczące usługi chat-ów, wideokonferencji i platform pracy zespołowej – z funkcją nagrywania spotkań.
  • dostawcy oprogramowania umożliwiającego łączność elektroniczną.
    • o firmy dostarczające oprogramowanie do wideokonferencji.

Nowe rozporządzenie

Rozporządzenie obejmie ochroną (np. obowiązkiem zachowania poufności) dane pochodzące z usług łączności elektronicznej. Chodzi tu nie tylko informacje pozyskiwane w związku ze świadczeniem tradycyjnych usług łączności, ale też informacje pozyskiwane w związku z nowymi, opartymi na Internecie usługami umożliwiającymi komunikację jak np. usługi telefonii internetowej (VoIP), komunikatory internetowe, usługi poczty elektronicznej przez internet (tzw. usługi OTT, Over-the-Top communications services).

ePrivacy ma chronić nie tylko prywatność osób fizycznych, jak w przypadku RODO, ale jego przepisy mają znaleźć zastosowanie także do osób prawnych.

  • ciasteczka (pliki cookies)
    Nowością będzie zmiana polityki cookies i sposobu informowania przez dostawców usług internetowych o tym, że ich witryny z takich plików korzystają.

Cookie walls

W świecie Internetu istnieje możliwość tzw. płacenia danymi, czyli stosowania „cookie walls”.
Obecnie kwestię tę reguluje przepis art. 173 ust. 1 ustawy – Prawo telekomunikacyjne, który przewiduje generalny obowiązek informowania o wykorzystywaniu plików cookies i uzyskiwania zgody użytkownika na ich użycie. W praktyce niewiele osób je czyta i większość użytkowników automatycznie naciska ikonkę „akceptuję”, aby tylko móc przejść do treści strony, która odwiedzają.

Zgodnie z obowiązującą dyrektywą ePrivacy, korzystanie ze ścian cookies jako takich nie jest zabronione, jednak stosowane banery cookie na wielu stronach mogą być sprzeczne z RODO. W szczególności chodzi tutaj o tzw. ściany, które uniemożliwiają dostęp do strony internetowej, jeśli ich nie zatwierdzisz.

W proponowanej zmianie zakłada się, że takie praktyki będą co do zasady dozwolone, chyba że uzależnienie dostępu do danej usługi internetowej od wyrażenia zgody na instalację plików cookies będzie nieproporcjonalne do zakresu i celu zbieranych danych.

Projektowane rozporządzenie zmieni powyższą praktykę. Nie trzeba będzie uzyskiwać zgody na korzystanie z pików cookies w przypadku gdy nie będzie to związane z żadną ingerencją w prywatność lub ingerencja ta będzie ograniczona. Zatem nie będzie konieczne uzyskiwanie zgody, gdy:
a) jest to konieczne w celu dokonania transmisji określonego komunikatu przy użyciu sieci (np. w celu zapewnienia działania funkcjonalności danej strony internetowej)
b) jest to konieczne do świadczenia usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego (np. użytkownik wypełnia w Internecie formularz, a w plikach cookies zapamiętane zostają jego dotychczasowe wybory)
c) jeżeli jest to konieczne w celu pomiaru aktywności w sieci przez dostawcę usług (np. administrator strony internetowej analizuje liczbę i rodzaj wejść na swoją stronę).

Zainstalowanie pozostałych rodzajów plików cookies (chociażby takich, które pozwalają wyświetlać zindywidualizowane reklamy) oraz innych identyfikatorów będzie wymagało zgody użytkownika, jednak będzie ona wyrażana, co do zasady, za pomocą ustawień przeglądarki internetowej – a nie jak dotychczas, przez akceptację powiadomień wyświetlanych na stronie.

Privacy by default


Dostawcy oprogramowania umożliwiającego wyszukiwanie i przedstawianie informacji w internecie będą mieli zatem obowiązek skonfigurowania oprogramowania, aby oferowało ono opcję uniemożliwienia osobom trzecim przechowywania informacji na urządzeniach końcowych – zasada privacy by default

Oznacza to, że dostawcy oprogramowania umożliwiającego dostęp do Internetu powinni informować użytkowników końcowych już w momencie instalowania danej przeglądarki internetowej o możliwości wyboru ustawień prywatności spośród różnych opcji.

Użytkownicy końcowi będą mieć możliwość wyboru spośród szeregu ustawień prywatności, od najwyższych (na przykład „nigdy nie akceptuj plików cookie”) po najniższe (na przykład„zawsze akceptuj pliki cookie) oraz pośrednie (na przykład „odrzuć pliki cookie osób trzecich” lub „akceptuj tylko pliki cookie administratora”) – tzw. stopniowalność zgód na pliki cookies.

Reklama w sieci

W gospodarce cyfrowej usługi świadczy się często w zamian za świadczenie wzajemne inne niż pieniądze, na przykład w zamian za to, że użytkownicy końcowi są narażeni na reklamy. Jest to tzw. „darmowy” dostęp do usług. „Darmowy” ponieważ użytkownik nie płaci żadnego abonamentu ale w zamian zgadza się, aby dane o jego aktywności w Internecie były sprzedawane reklamodawcom. To stąd wyszukanie czegokolwiek w Internecie generuje pojawiające się tematyczne reklamy na Facebooku lub stronach internetowych korzystających z reklam Google.

Nowe przepisy wprowadzają zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi: e-mailem, SMS-em i co do zasady również telefonicznie, jeżeli użytkownik nie wyraził na to zgody.

Osoby fizyczne lub prawne mogą korzystać z usług łączności elektronicznej w celu wysyłania komunikatów do celów marketingu bezpośredniego użytkownikom końcowym będącym osobami fizycznymi, jednak jedynie tym, którzy wyrazili na to zgodę. Zgodę tę firmy telekomunikacyjne i agencje marketingowe będą zobowiązane uzyskać od klienta przed wysłaniem mu komunikatu marketingowego.

Projektowane rozporzadzenie dopuszcza tzw. miękką zgodę w zakresie wykorzystywania danych kontaktowych dotyczących poczty elektronicznej. Polega to na tym, że jeżeli osoba fizyczna lub prawna otrzymuje od swojego klienta elektroniczne dane kontaktowe dotyczące poczty elektronicznej w związku ze sprzedażą produktu lub usługi, zgodnie z rozporządzeniem (UE) 2016/679, taka osoba fizyczna lub prawna może wykorzystywać te elektroniczne dane kontaktowe do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych. Prawo do wyrażenia sprzeciwu będzie przysługiwać w czasie gromadzenia danych i za każdym razem, gdy wysyłana jest wiadomość.

Jeżeli natomiast chodzi o marketing telefoniczny, osoba fizyczna lub prawna korzystająca z usług łączności elektronicznej w celach wykonywania połączeń w ramach marketingu bezpośredniego będzie miała obowiązek podać:
a) identyfikator linii, pod którą można się z nią skontaktować; lub
b) konkretny kod lub prefiks umożliwiający rozpoznanie, że połączenie jest połączeniem marketingowym.

Wszelkie osoby fizyczne lub prawne wykorzystujące usługi łączności elektronicznej do przekazywania komunikatów do celów marketingu bezpośredniego będą miały obowiązek informowania użytkowników końcowych o marketingowym charakterze materiałów i tożsamości osoby prawnej lub fizycznej, w której imieniu przekazywane są komunikaty, jak również będą zmuszone podawać informacje niezbędne odbiorcom do wykonania ich prawa do wycofania w łatwy sposób zgody na dalsze otrzymywanie komunikatów marketingowych.

Przetwarzania metadanych

Nowe rozporządzenie obejmie ochroną również metadane.
Metadane pozyskane z łączności elektronicznej mogą ujawniać dane szczególnie chronione i dane osobowe- na przykład – wybierane numery, odwiedzane strony internetowe, lokalizacja geograficzna, godzina, data i czas trwania połączenia itp., pozwalające na wyciągnięcie konkretnych wniosków dotyczących prywatnego życia osób zaangażowanych w komunikację elektroniczną, takich jak ich relacje towarzyskie, zwyczaje bądź aktywności codziennego życia, zainteresowania, gusty itp.

W stosunku do dyrektywy 2002/58/WE niniejsze rozporządzenie rozszerza możliwości dostawców usług łączności elektronicznej w zakresie przetwarzania metadanych pochodzących z łączności elektronicznej na podstawie zgody użytkowników końcowych.

Jednocześnie dostawcy usług łączności elektronicznej mogą przetwarzać metadane pochodzące z łączności elektronicznej, jeśli użytkownik końcowy, którego to dotyczy, wyraził zgodę na przetwarzanie jego metadanych komunikacyjnych dla jednego celu lub dla kilku celów, w tym dla celu świadczenia konkretnych usług na rzecz takiego użytkownika końcowego, pod warunkiem, że ten cel lub te cele nie mogłyby być zrealizowane przez przetwarzanie informacji poddanych anonimizacji.

Dostawca usługi łączności elektronicznej będzie zobowiązany do usunięcia metadanych pochodzących z łączności elektronicznej lub będzie musiał dokonać anonimizacji danych, gdy nie będą one potrzebne dla celów przesyłu komunikatu. Wyjątkiem jest możliwość przechowywania metadanych niezbędnych do naliczania płatności.

Zgodnie z art. 5 projektu, dane pochodzące z łączności elektronicznej są poufne. Wszelka ingerencja w dane pochodzące z łączności elektronicznej, taka jak słuchanie, podsłuchiwanie, przechowywanie, monitorowanie, skanowanie lub innego rodzaju przechwytywanie, nadzorowanie lub przetwarzanie danych pochodzących z łączności elektronicznej przez osoby inne niż użytkownicy końcowi, jest zakazana, z wyjątkiem sytuacji dozwolonych niniejszym rozporządzeniem.

Powyższe oznacza to, że jakiekolwiek ingerowanie w przesyłanie danych pochodzących z łączności elektronicznej, czy to za sprawą bezpośredniej ingerencji człowieka, czy za pośrednictwem zautomatyzowanego przetwarzania przez maszyny, dokonywane bez zgody wszystkich komunikujących się stron, powinno być, jako zasada, zakazane.

Kary

Za naruszenie zasady poufności komunikacji, dozwolonego przetwarzania danych pochodzących z łączności elektronicznej, terminów na usunięcie grozi pieniężna kara administracyjna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.

Maria Batyra – radca prawny
Przemysław Wierzbicki – adwokat
Prawnicy z Kancelarii KKLW Legal Kurzyński Wierzbicki Sp. k. z praktyki Nowych Technologii

Katarzyna Zygnerska

Ma ponad 15-letnie doświadczenie procesowe obejmujące przede wszystkim spory cywilne, administracyjne oraz karne. Doradza w zakresie upadłości i restrukturyzacji oraz prawa pomocy publicznej. Licencjonowany doradca restrukturyzacyjny oraz syndyk. Członek Stowarzyszenia Prawa Konkurencji, Stowarzyszenia Praktyków Restrukturyzacyjnych w Polsce, INSOL Europe oraz International Bar Association. Przewodniczący Sekcji Prawa Upadłościowegoi Restrukturyzacyjnego przy OkręgowejRadzie Adwokackiej w Warszawie. W latach 2004-2007 arbiter z listy przewodniczących przy Prezesie Urzędu Zamówień Publicznych.

Add your Comment

Ostatnie wpisy

Kategorie

Tags

Rozporządzenia