Komisja Europejska 10 stycznia 2017 r. opublikowała projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, zwanego ePrivacy.
Rozporządzenie to ma uchylić i zastąpić obowiązującą już od czternastu lat dyrektywę o prywatności i łączności elektronicznej - 2002/58/WE. Zgodnie z art. 29 ust. 2 projektu ePrivacy, planowane rozpoczęcie stosowania nowych przepisów ma nastąpić 25 maja 2018 r. Jest to nieprzypadkowa data – tego samego dnia ma wejść w życie Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane w Polsce RODO lub GDPR (General Data Protection Regulation).
Obydwa wprowadzane akty są ze sobą powiązane i mają kompleksowo dostosować przepisy prawa unijnego do realiów zdigitalizowanego świata. Ponadto, są głównymi narzędziami w ramach unijnej strategii jednolitego rynku cyfrowego, mającymi na celu zwiększenie zaufania do usług cyfrowych w UE i bezpieczeństwa tych usług, głównie poprzez zapewnienie wysokiego poziomu ochrony obywateli i równych warunków działania wszystkim uczestnikom rynku w całej UE.
Szerszy zakres obowiązywania ePrivacy
Aktualnie obowiązująca dyrektywa w sprawie prywatności w sieci ma zastosowanie wyłącznie do tradycyjnych operatorów telekomunikacyjnych. Nowe przepisy rozszerzają kategorię podmiotów zobowiązanych do stosowania ePrivacy o wszelkich dostawców usług łączności online, takich jak np. WhatsApp, Facebook Messenger, Skype, Gmail, iMessage oraz Viber a także dostawców publicznie dostępnych spisów numerów oraz dostawców oprogramowania umożliwiającego łączność elektroniczną, łącznie z odzyskiwaniem i przedstawianiem informacji w sieci.
Terytorialnie rozporządzenie ma obejmować wszelkie usługi łączności elektronicznej świadczone odbiorcom usług znajdującym się w Unii Europejskiej, korzystanie z takich usług oraz przetwarzanie informacji związanych ze sprzętem elektronicznym użytkowników znajdujących się w UE.
Zakresem ochrony przepisów ePrivacy będą objęte osoby fizyczne i prawne, korzystające z usług łączności elektronicznej, w celu wysyłania materiałów handlowych w ramach marketingu bezpośredniego, lub gromadzące informacje związane ze urządzeniem elektronicznym użytkowników, bądź przechowywane na takim urządzeniu (jak np. pliki cookies).
Główne zmiany wprowadzane przez rozporządzenie
• Zasada ochrony poufności danych pochodzących z komunikacji elektronicznej - ePrivacy utrzymuje ustanowioną w poprzedzającej ją dyrektywie 2002/58/WE zasadę ochrony poufności danych pochodzących z komunikacji elektronicznej. Obejmuje ona zarówno treść komunikacji elektronicznej, czyli tekst, głos, dźwięk, obraz etc., jak i metadane pochodzące z takiej komunikacji takie jak: data, godzina, czas trwania rozmowy, czy lokalizację użytkownika. Jednakże, przetwarzanie tych danych będzie możliwe tylko w szczególnych przypadkach, głównie dla celów realizacji usług łączności elektronicznej, w celu utrzymania lub przywrócenia bezpieczeństwa sieci lub usług, bądź za wyraźną zgodą użytkownika.
• Uproszczenie przepisów dotyczących plików cookie – obecnie użytkownicy otrzymują zbyt dużą ilość próśb o zaakceptowanie tzw. ciasteczek, czyli plików zapisywanych na urządzeniach elektronicznych użytkowników w celu śledzenia ustawień i aktywności dotyczącej stron internetowych. Zgodnie z nowymi przepisami, użytkownicy w ustawieniach przeglądarek będą mogli trwale zaakceptować bądź odrzucić wybrane przez siebie cookies. Poza tym, nie będą już wymagały zgody użytkownika ciasteczka, które nie stwarzają zagrożenia dla prywatności, a ułatwiają korzystanie ze strony – np. pliki zapamiętujące zawartość koszyka w sklepie internetowym.
• Ulepszona ochrona przed spamem – ePrivacy wprowadza zakaz wysyłania do użytkowników niechcianych wiadomości, niezależnie od sposobu komunikacji – zarówno niechcianych SMS-ów, mailingu, jak i telefonicznego marketingu, jeżeli użytkownik nie wyrazi na nie zgody. Ponadto, państwa członkowskie UE będą mogły na własną rękę zastosować rozwiązania oferujące obywatelom możliwość zastrzeżenia, że nie życzą sobie otrzymywania niechcianych połączeń od telemarketerów w ogóle. Poza tym, firmy telemarketingowe będą musiały stosować specjalne numery telefonów lub prefiksy przed numerami wskazujące na to, że połączenie przychodzące będzie rozmową marketingową.
• Surowsze kary za naruszenie przepisów o prywatności – naruszenie niektórych przepisów ePrivacy może skutkować nałożeniem administracyjnej kary pieniężnej w kwocie nawet do 10 milionów euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy, przy czym w razie wątpliwości, zastosowana ma być kara wyższa. Część naruszeń, tj. nieprzestrzeganie zasad poufności komunikacji, czy legalności przetwarzania danych pochodzących z łączności elektronicznej może być ukarane kwotą do 20 milionów euro i do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa za poprzedni rok obrotowy. Rozporządzenie zakłada także możliwość uzyskania rekompensaty z tytułu poniesionej szkody majątkowej lub niemajątkowej w wyniku naruszeń przepisów e-prywatności.
• Wskazanie organów właściwych do egzekucji przepisów – zgodnie z rozporządzeniem, krajowe urzędy ochrony danych odpowiedzialne będą za monitorowanie i egzekwowanie stosowania przepisów o poufności. W Polsce będzie to najprawdopodobniej następca prawny Generalnego Inspektora Ochrony Danych Osobowych, czyli Prezes Urzędu Ochrony Danych Osobowych.
Zgodnie z założeniem Komisji Europejskiej, rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej ma wejść w życie 25 maja 2018 roku. Na temat projektu rozporządzenia musi się jeszcze wypowiedzieć Parlament Europejski oraz Rada. 11 października 2017 r. w Stałym Przedstawicielstwie Polski w Brukseli odbyły się konsultacje dotyczące projektu ePrivacy. Omawiano możliwe do przewidzenia skutków proponowanych przez Komisję Europejską przepisów dotyczących ochrony prywatności w sieci. W konsultacjach udział brali m.in. przedstawiciele organizacji społecznych, biznesu, przedstawiciele Komisji Europejskiej i Parlamentu Europejskiego. Pomimo powyższych działań, aby firmy i instytucje, które będą zobligowane do stosowania nowy przepisów, zdążyły wdrożyć je w swoich działaniach i technologiach, oczywistym jest, że proces legislacyjny musi nabrać szybszego tempa.
Autorka: Magdalena Soroń-Suchy, prawnik w
Kancelarii Adwokatów i Radców Prawnych Dziedzic Kowalski Kornasiewicz i Partnerzy w Rzeszowie