PROBLEM: Komisja Europejska opublikowała niedawno projekt rozporządzenia o e-prywatności (ang. e-privacy), które zastąpi mającą już 14 lat dyrektywę 2002/58/WE z 12 lipca 2002 r. o prywatności i łączności elektronicznej (Dz.Urz. WE z 2002 r. L 201, s. 37). Proponowane przepisy mają skuteczniej chronić prywatność w łączności elektronicznej. Dla przedsiębiorców oznacza to przede wszystkim nowe obowiązki i obostrzenia, przede wszystkim w zasadach wykorzystywania cookies. Jedną z nowości, która może uderzyć w branżę marketingu telefonicznego, będzie specjalny prefiks identyfikujący numery telefonów, z których wykonuje się połączenia o charakterze marketingowym. Ale będą też zmiany, które nieco ułatwią firmom działalność. Rozporządzenie przewiduje np., że będzie można wysyłać e-maile reklamowe bez zgody, jeżeli adres odbiorcy został pozyskany w związku ze świadczeniem produktów lub usług, a reklama ma dotyczyć podobnych produktów lub usług. Komisja chce, by rozporządzenie weszło w życie 25 maja 2018 r., w tym samym czasie, co RODO – rozporządzenie regulujące kwestie ochrony danych osobowych.
/>
NADĄŻYĆ ZA ROZWOJEM TECHNIKI
Dotychczasowa ochrona prywatności w łączności elektronicznej zapewniana na podstawie dyrektywy jest niewystarczająca, przestarzała i nie nadąża za zachodzącymi zmianami technologicznymi – uznała Komisja Europejska. Zarówno konsumenci, jak i przedsiębiorcy w coraz większym stopniu przenoszą swoją działalność do Internetu, który zastępuje dotychczasowe, tradycyjne środki komunikacji. Powstają nowe rodzaje usług, m.in. Over-the-Top communcation services (OTT), które polegają na świadczeniu usług komunikacji elektronicznej poprzez działające w Internecie aplikacje zapewniane przez usługodawców, np. komunikatory WhatsApp czy Messenger. Tego typu usługi nie są jednak objęte regulacjami obecnie obowiązującej dyrektywy e-privacy, co stanowi lukę w ochronie użytkowników.
BEZPOŚREDNIE STOSOWANIE
Przyjęcie przepisów e-privacy w rozporządzeniu oznacza, że akt ten będzie obowiązywał wprost we wszystkich krajach UE. W konsekwencji polska ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2016 r. poz. 1030 ze zm.) będzie musiała być uchylona lub znacząco zmieniona, aby usunąć z niej przepisy, które byłyby sprzeczne z rozporządzeniem lub stanowiłyby powtórzenie regulacji zawartych w rozporządzeniu.
Proponowany zakres ochrony e-privacy jest bardzo szeroki i obowiązywał będzie dużo większą liczbę podmiotów niż obecnie. Obejmie poza tradycyjnymi środkami łączności elektronicznej, takimi jak telefon czy SMS, usługi OTT, a także komunikację na linii maszyna - maszyna (chodzi tu o połączenia elektroniczne pomiędzy urządzeniami bez udziału człowieka, o ile przetwarzają dane osobowe lub informacje dotyczące użytkowników końcowych). Zobowiązane do przestrzegania rygorów e-privacy będą też podmioty, które niejako przy okazji świadczą np. usługi dostępu do sieci wifi, a zatem wszelkiego rodzaju kawiarnie, restauracje czy tradycyjne sklepy.
PRZEDE WSZYSTKIM ZASADA POUFNOŚCI
Projekt rozporządzenia nakazuje traktować jako poufne wszystkie komunikaty przesyłane drogą elektroniczną. A zatem jakakolwiek ingerencja w połączenie elektroniczne (podsłuchiwanie, monitorowanie, skanowanie, nagrywanie czy przetwarzanie przez jakikolwiek podmiot) bez zgody użytkowników końcowych jest zakazana - o ile rozporządzenie nie stanowi inaczej.
Usługodawcy będą mogli przetwarzać dane wyjątkowo - gdy będzie to niezbędne do:
- przeprowadzenia transmisji danego połączenia, na czas jego trwania,
- utrzymania lub odtworzenia bezpieczeństwa połączenia lub wykrywania błędów i wad w transmisji.
OCHRONA METADANYCH
Projekt rozporządzenia zakłada również ochronę metadanych (czyli informacji o samych danych, m.in. obejmujących datę, miejsce, długość trwania komunikatu, jego typ oraz przeznaczenie, a także umożliwiających zidentyfikowanie użytkownika końcowego). Ich przetwarzanie będzie dopuszczalne w przypadkach, gdy:
- jest to niezbędne do utrzymania przewidzianych w prawie UE wymogów jakości świadczonych usług,
- jest to niezbędne dla celów obliczania wynagrodzenia za usługi, wykrywania i zapobiegania oszustwom, nadużyciom lub do wykonywania subskrypcji usług,
- użytkownik końcowy, którego metadane dotyczą, udzielił uprzedniej zgody usługodawcy na przetwarzanie konkretnych metadanych w ściśle określonym celu, zakładając, że ten cel nie może być osiągnięty poprzez przetwarzanie zanonimizowanych informacji.
Ponadto przetworzona treść musi zostać usunięta lub zanonimizowana niezwłocznie po tym, jak tylko komunikacja zostanie nawiązana pomiędzy użytkownikami. Jednak dozwolone będzie zapisywanie lub przechowywanie tych danych przez użytkowników końcowych lub podmiot trzeci, o ile podmiot ten będzie spełniał wymogi przetwarzania określone w RODO.
Z kolei metadane muszą zostać usunięte lub zanonimizowane, gdy nie będą już potrzebne do osiągnięcia celu w postaci przeprowadzenia transmisji lub połączenia.
OCHRONA NA URZĄDZENIACH KOŃCOWYCH
Nowością na gruncie ochrony e-privacy będzie również ochrona informacji znajdujących się na urządzeniach końcowych oraz danych związanych z tym urządzeniem, takich jak jego parametry, funkcje, oprogramowanie, aktywność użytkownika w sieci itp. Ich zbieranie będzie zakazane z wyłączeniem przypadków, gdy:
- jest to niezbędne wyłącznie w celu zrealizowania transmisji w danej komunikacji,
- użytkownik końcowy wyraził na to uprzednią zgodę,
- jest to niezbędne do zapewnienia usług społeczeństwa informacyjnego, których zażądał użytkownik.
JEDNA DECYZJA W SPRAWIE CIASTECZEK
Unijny ustawodawca szczególny nacisk położył na tzw. cookies (ciasteczka), a także oprogramowanie śledzące i pozyskujące informacje o urządzeniu końcowym lub samym użytkowniku, które mogą zawierać dane dotyczące życia, zdrowia, światopoglądu, życia rodzinnego czy jego lokalizacji. Przyjęto, że dostęp do takich danych lub ich pozyskanie będzie dozwolone, gdy użytkownik końcowy wyrazi na to zgodę, która będzie obejmowała konkretny cel przetwarzania. Z tego też względu wszelkie podmioty tworzące ww. oprogramowanie będą zobowiązane do jego modyfikacji tak, aby przewidywało należyty poziom ochrony oraz procedurę wyrażania zgody. Wskazanie w programie i ustawienie preferowanych przez użytkownika końcowego opcji dostępu podmiotów trzecich do danych łączności elektronicznej będzie wiązało wszelkie inne podmioty uzyskujące łączność z użytkownikiem za pośrednictwem tego programu. W praktyce ustawienie w przeglądarce swoich preferencji będzie miało zastosowanie automatycznie do wszystkich odwiedzanych stron.
OGRANICZENIE W PERSONALIZOWANIU REKLAM
Obecnie właściwie z każdą stroną internetową powiązane są dodatkowe aplikacje śledzące, związane z oferowaniem reklam czy też działalnością portali społecznościowych. Podmioty trzecie mogą obecnie właściwie bez przeszkód monitorować aktywność użytkownika, chyba że konkretny użytkownik zainstaluje dodatkowe oprogramowanie blokujące.
Projekt rozporządzenia przewiduje, że w zakresie przetwarzania danych dotyczących użytkownika końcowego, w szczególności na potrzeby oferowania reklam, będzie musiała być udzielona przez tego użytkownika zgoda. Taka regulacja wywrze wpływ na podmioty zajmujące się nabywaniem i sprzedażą reklam w sieci oraz te świadczące darmowe usługi internetowe. Usługodawcy bez stosownej zgody użytkownika końcowego nie będą mogli zatem przechowywać ciasteczek na jego urządzeniu, monitorować aktywności w sieci czy np. śledzić jego położenia w celu oferowania mu odpowiednio dobranych reklam. Z kolei dostawcy poczty skanujący e-maile użytkowników w celu spersonalizowania kierowanych do nich reklam nie będą mogli tego robić bez ich zgody.
PUBLICZNIE DOSTĘPNE SPISY
Usługodawcy prowadzący publicznie dostępne spisy będą musieli uzyskać uprzednią zgodę osób fizycznych (w tym prowadzących działalność gospodarczą) na użycie ich danych osobowych. W przypadku osób prawnych będzie dopuszczalne umieszczenie w spisie ich danych bez uzyskiwania zgody. Takie podmioty natomiast będą uprawnione do złożenia sprzeciwu co do umieszczenia ich w spisie. Ponadto zarówno osoby fizyczne, jak i osoby prawne będą uprawnione do weryfikacji, poprawy i usunięcia takich danych.
PREFIKS ZDRADZI MARKETING
Numery telefoniczne, z których wykonywane są połączenia marketingowe, np. przez pracowników call center, będą musiały być poprzedzone specjalnym prefiksem. Ma on identyfikować połączenie reklamowe. Chodzi o to, by odbiorca połączenia z góry, przed zaakceptowaniem połączenia wiedział, że ma do czynienia z kontaktem w celach marketingowych.
Bogdan Fischer, radca prawny i partner w Kancelarii Chałas i Wspólnicy
Miłosz Mazewski, radca prawny w Kancelarii Chałas i Wspólnicy
OPINIA EKSPERTA
Rozporządzenie o e-privacy rozwiąże istotny dla polskich firm problem, jakim jest rozproszenie, niespójność i niekiedy też przypadkowość obowiązujących regulacji. Przykładem jest sytuacja powstała po nowelizacji art. 172 ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (t.j. Dz.U. z 2016 r. poz. 1489 ze zm.) – zamiast uprościć sytuację, wprowadzono chaos. Już w 2002 r. mieliśmy inne zasady przetwarzania danych osobowych w sektorze telekomunikacyjnym (i tajemnicę telekomunikacyjną, czego akurat w dyrektywie nie ma), a inne w branży internetowej. Po kilku nowelizacjach art. 172 prawa telekomunikacyjnego w zasadzie nie wiadomo, która ustawa (ustawa o świadczeniu usług drogą elektroniczną czy prawo telekomunikacyjne) reguluje wysyłanie e-maili i SMS-ów reklamowych i ile trzeba zgód na wysyłkę takich wiadomości. Przyjęcie rozporządzenia, które będzie miało pierwszeństwo przed przepisami krajowymi, powinno spowodować uproszczenie.
Rozluźnienie gorsetu dotyczące wysyłania e-maili reklamowych (art. 16 ust. 2 projektu rozporządzenia) będzie korzystne dla firm. Dzisiaj każdy e-mail reklamowy wymaga zgody. Rozporządzenie przewiduje, że będzie można wysyłać e-maile reklamowe bez zgody, jeżeli adres mailowy został pozyskany w związku ze świadczeniem produktów lub usług, a reklama ma dotyczyć podobnych produktów lub usług, i pod warunkiem, że konsument może się sprzeciwić takiej wysyłce – czyli z pełnego opt-in mamy przejście na częściowe opt-in, a częściowe opt-out. W rezultacie np. księgarnia internetowa mogłaby wysyłać e-maile reklamujące książki do swoich klientów bez ich zgody, pod warunkiem, że mogą oni zaprotestować przeciwko temu.
Ciekawym zabiegiem jest przeniesienie regulacji dotyczących cookies z poziomu dostawców usług na poziom dostawców aplikacji (art. 10) i w ogóle zobowiązanie dostawców aplikacji do uwzględniania zasady privacy by default. Aplikacje będą musiały oferować możliwość blokowania cookies, a przy instalacji będą musiały informować o ustawieniach prywatności i wymuszać na użytkowniku zaakceptowanie lub zmianę tych ustawień.
Po stronie klęsk natomiast widziałbym w ogóle utrzymanie zasady instalacji cookies za zgodą – wydaje się, że to jednak nie spełnia swojej funkcji, a rozporządzenie niejako betonuje te rozwiązania.
Jako że rozporządzenie UE obowiązuje bezpośrednio w systemach prawnych państw członkowskich, przepisy krajowe regulujące dzisiaj to, co ureguluje rozporządzenie, przestaną obowiązywać. Ze względu na rozproszoną regulację w Polsce przedsiębiorcom trudno będzie prawidłowo zidentyfikować te przepisy krajowe, które stracą moc. Moim zdaniem będzie to duża część rozdziału IV ustawy o świadczeniu usług drogą elektroniczną i niektóre przepisy prawa telekomunikacyjnego, np. art. 165 i 172, czy obowiązujące przepisy dotyczące cookies. Jako prawnik wolałbym, żeby te przepisy zostały jednak zidentyfikowane i uchylone przez polskiego ustawodawcę.