Nowy projekt: rozporządzenie dot. e-prywatności

Wciąż nie milkną echa ogłoszenia ogólnego rozporządzenia o ochronie danych (2016/679) z dnia 27 kwietnia 2016 r. (RODO), które będzie stosowane już od 25 maja 2018 r., a Komisja Europejska proponuje wprowadzenie dodatkowych przepisów, które mają skuteczniej zapewniać prywatność w łączności elektronicznej. Ma temu służyć Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie dot. e-prywatności), którego projekt został opublikowany 10 stycznia 2017 r.

Po co nam nowe rozporządzenie?

Nowe rozporządzenie dot. e-prywatności ma stanowić uszczegółowienie i uzupełnienie przepisów RODO w zakresie przetwarzania danych osobowych w komunikacji elektronicznej. Przepisy nowego rozporządzenia mają zastąpić obowiązującą obecnie dyrektywę 2002/58/WE, która nie nadąża za rozwojem technologicznym i rzeczywistością rynkową i w konsekwencji nie zapewnia skutecznej ochrony prywatności i poufności w komunikacji elektronicznej. Projekt rozporządzenia ma zapewnić swobodny przepływ danych pochodzących z komunikacji elektronicznej, który nie może być zakazywany, czy ograniczany ze względów związanych z poszanowaniem życia prywatnego i ochroną danych osobowych.

Wszystkie formy komunikacji elektronicznej.

W przeciwieństwie do dyrektywy 2002/58/WE, która ma zastosowanie jedynie do tradycyjnych operatorów telekomunikacyjnych, rozporządzenie dot. e-prywatności ma objąć swoją regulacją  również dostawców nowych środków komunikacji, takich jak telefonia  internetowa (VoIP), komunikatory internetowe, poczta elektroniczna itp. Ponadto nowe przepisy będą stosowane do świadczenia usług łączności elektronicznej na rzecz użytkowników w Unii Europejskiej, niezależnie od tego z jakiego państwa jest dostawca tych usług. Nowymi regulacjami zostanie objęte komunikowanie się przez takie programy jak  np. WhatsApp, Skype, Facebook Messenger, Viber, iMessage. Należy zwrócić uwagę również na to, że nowe przepisy mają dotyczyć również kanałów komunikacyjnych, które są jedynie dodatkiem do innej, głównej usługi, takich jak np. komunikatory w grach wideo.

Treść łączności elektronicznej i metadane.

Rozporządzenie dot. e-prywatności wprowadza dwa rodzaje danych pochodzących z komunikacji elektronicznej, tj. treść łączności elektronicznej (tekst, głos, wideo, obrazy i dźwięk) oraz metadane pochodzące z łączności elektronicznej (np. dane dotyczące lokalizacji urządzenia, data, godzina i czas trwania oraz rodzaj łączności).

Poufność.

Projektowane przepisy wprowadzają zasadę poufności danych pochodzących z łączności elektronicznej, która przejawia się w zakazie jakiejkolwiek ingerencji w te dane innych osób niż użytkownik końcowy (zakaz podsłuchiwania, przechwytywania, nadzorowania itp.). Wyjątkami od tej reguły mają być m.in. sytuacje związane z zapewnieniem prawidłowej realizacji usługi i bezpieczeństwa takiej usługi, z koniecznością naliczenia opłat i dokonania rozliczeń, czy też sytuacje, w których użytkownik końcowy wyraził na to zgodę. Co ważne, zasada poufności będzie dotyczyła również przekazywania sobie danych pomiędzy urządzeniami, a więc regulacja ta obejmie również tzw. Internet rzeczy, czyli np. urządzenia gospodarstwa domowego, które mogą przetwarzać informacje dotyczące domowników takie jak styl życia, przyzwyczajenia, a nawet stan zdrowia.

Usuwanie danych.

Rozporządzenie ma wprowadzić również zasadę usuwania lub anonimizacji danych pochodzących z łączności elektronicznej po zrealizowaniu celu, dla którego były przetwarzane. W tym miejscu należy zwrócić uwagę na to, że zarówno obowiązek zachowania poufności danych jak ich usuwania czy anonimizacji wynika już z zasad wprowadzonych przez RODO („integralność i poufność”, „ograniczenie przechowywania”). W związku z tym pojawia się wątpliwość, na ile jest to niepotrzebne powielenie już istniejących zasad, a na ile ich praktyczne rozwinięcie?

Zgoda użytkownika końcowego.

Nowe rozporządzenie posługuje się definicją i warunkami wyrażania zgody na przetwarzanie danych określonymi przez RODO, przy czym wprowadza możliwość, by zgoda użytkownika końcowego mogła być wyrażona poprzez wykorzystanie ustawień technicznych oprogramowania umożliwiającego dostęp do Internetu, czyli w praktyce użytkownik będzie mógł ustawić taką zgodę w ustawieniach przeglądarki jako domyślną.

O ile to rozwiązanie wydaje się być ułatwieniem, to jako kuriozalny należy uznać pomysł, aby użytkownicy byli informowani o możliwości wycofania swojej zgody co 6 miesięcy, a w szczególności już, gdy ciągle korzystają z określonej usługi.

Rozporządzenie dot. e-prywatności a pliki cookies. Czy zbliża się koniec darmowych serwisów internetowych?

Oprogramowanie zapewniające wyszukiwanie i przedstawianie informacji w Internecie (przeglądarki internetowe) będzie musiało mieć opcję uniemożliwiania osobom trzecim przechowywania informacji na urządzeniach końcowych, a więc przechowywania plików cookie. Akceptacja albo odrzucenie trwałych plików cookie będą odbywały się za pomocą ustawień przeglądarki internetowej. Zatem znikną tak bardzo denerwujące wszystkich okienka informujące wykorzystywaniu cookies. Przy czym pliki cookie, które nie stanowią zagrożenia dla prywatności i mają jedynie ułatwiać użytkownikom korzystanie ze stron internetowych oraz takie, które służą do liczenia wejść na strony internetowe nie będą wymagały zgody użytkownika

Patrząc z jednej strony rozporządzenie dot. e-prywatności zwiększy poziom ochrony poufności komunikacji oraz ochrony danych osobowych użytkowników. Z drugiej zaś, proponowane przepisy mogą stanowić zagrożenie dla funkcjonujących obecnie w Internecie rozwiązań biznesowych, które oparte są na finansowaniu pochodzącym ze sprofilowanych reklam. Nie trudno się domyślić, że większość użytkowników zaznaczy w przeglądarce opcję niewyrażającą zgody na wykorzystanie cookies. Natomiast o tym jak ważne są takie reklamy mogą przekonać się coraz częściej użytkownicy Internetu, którzy instalują w swoich przeglądarkach oprogramowanie typu „adblock” służące do blokowania wyświetlanych reklam. Niektórzy bowiem wydawcy serwisów internetowych zdecydowali się blokować dostęp do treści swoich serwisów osobom korzystającym z „adblocków”. Projektowane zmiany mogą znacznie ograniczyć grono odbiorców „targetowanych” reklam. Tym samym wydawcy internetowi, pozbawieni źródła finansowania mogą sięgnąć do kieszeni Internautów wprowadzając opłaty za korzystanie z serwisów.

Marketing bezpośredni za pomocą łączności elektronicznej.

Określone w projektowanych przepisach prawo do wysyłania drogą elektroniczną komunikatów w celu marketingu bezpośredniego użytkownikom końcowym będącym osobami fizycznymi za ich zgodą nie jest niczym nowym.

Jednakże przedsiębiorcy powinni być zadowoleni z możliwości kierowania takiego marketingu do osób, które były już ich klientami bez ich zgody, ale pod następującymi warunkami:

  • wiadomości będą kierowane na adres poczty elektronicznej otrzymany wcześnie od klienta,
  • komunikaty będą dotyczyły marketingu bezpośredniego ich własnych produktów i usług podobnych do tych, które świadczyli klientowi,
  • klient będzie miał możliwość wyrażenia swojego sprzeciwu bezpłatnie i w łatwy sposób za każdym razem, gdy wysyłana będzie do niego wiadomość.

Przypomnijmy, że obecnie obowiązujące przepisy ustawy o świadczeniu usług drogą elektroniczną nie zezwalają na prowadzenie działań marketingowych droga elektroniczną bez zgody ich odbiorcy.

Prawo do kontroli połączeń telefonicznych.

Nowe rozporządzenie nakazuje również dostawcom usług telekomunikacyjnych umożliwienie użytkownikom blokowania identyfikacji numerów telefonicznych, a także prawo do odrzucania rozmów przychodzących z niezidentyfikowanych numerów lub niepożądanych połączeń. Ponadto firmy zajmujące się marketingiem bezpośrednim będą musiały stosować odpowiedni prefiks wskazujący, że przychodzące połączenie ma charakter marketingowy.

Nadzór nad przestrzeganiem przepisów rozporządzenia o e-prywatności.

Za monitorowanie stosowania nowego rozporządzenia będzie odpowiedzialny, tak jak ma to miejsce w przypadku RODO, niezależny organ nadzorczy, czyli krajowy urząd ochrony danych osobowych. Natomiast samo naruszenie zasad poufności komunikacji zagrożone będzie wysokimi karami finansowymi nakładanymi zgodnie z zasadami określonymi w RODO. I tak jak w RODO kary te mogą sięgać nawet 20 milionów euro lub 4% rocznego światowego obrotu.

Poniżej zamieszczamy tekst projektu:

Nowy projekt: rozporządzenie dot. e-prywatności

 

Nowe technologie – Internet rzeczy

Co kryje się pod pojęciem „Internet rzeczy”? Czy jest to zjawisko wyłącznie lansowane przez portale społecznościowe? Jakie konsekwencje z wszechobecnego Internetu rzeczy płyną dla przeciętnego Kowalskiego? Czy inteligentne samochody, lodówki inny sprzęt AGD lub RTV śledzi nas? Jak w tym przypadku chronić nasze prawo podstawowe jakim jest prywatność? Na te i wiele innych pytań postaram się odpowiedzieć w niniejszym artykule.

Postęp technologiczny, ogromna liczba urządzeń podłączonych do Internetu, systematyczny wzrost liczby użytkowników Internetu skłonił mnie do przeanalizowania tych procesów pod kątem ich wpływu na nasze życie, a w szczególności na ochronę naszej prywatności.
15 maja 2015 r. na Uniwersytecie Kardynała Stefana Wyszyńskiego w Warszawie odbyła się VII konferencja naukowa „Bezpieczeństwo w Internecie: Internet Rzeczy. Bezpieczeństwo Smart City”. Jakie wnioski płyną z tego wydarzenia? Internet rzeczy nieubłaganie wkracza w każdą sferę życia. Oddziaływanie na prawo telekomunikacyjne, prawo energetyczne, prawo lotnicze, prawo medyczne, monitoring to tylko niektóre z zagadnień jakie przewijały się podczas obrad.

Geneza i definicja

Koncepcję „Internet of Things” stworzył brytyjski przedsiębiorca i twórca start-upów – Kevin Ashton. Ideę tę sformułował w 1999 roku w celu opisania systemu, w którym świat materialny komunikuje się z komputerami (wymienia dane) za pomocą wszechobecnych sensorów[1].

Na wstępie warto zauważyć, że istnieje wiele definicji Internetu rzeczy. Podczas wystąpienia wprowadzającego do sesji „Noc Architektów- Zawsze przed północą. Internet rzeczy-pojęcie, istota, metody projektowania, zagrożenia i szanse”[2] Zastępca Europejskiego Inspektora Ochrony Danych Osobowych dr Wojciech Wiewiórowski wskazał, że pod pojęciem Internetu rzeczy należy rozumieć rozwiązania służące do zdobywania informacji, przetwarzania informacji, automatycznego dzielenia się informacjami pochodzącymi z różnych zasobów ( z sensorów, z urządzeń, które nosimy ze sobą oraz z maszyn).

Czym jest Internet rzeczy dla zwykłego człowieka i na czym to wszystko polega? Jako przykład można omówić „inteligentną lodówkę”, którą poprzez odpowiednie czujniki sprawdza datę ważności produktów w niej przechowywanych i informuje nas (wysyłając wiadomość tekstową), że np. kończy się data ważności jogurtu. Wydaje się to być genialnym rozwiązaniem z jednym małym zastrzeżeniem. Lodówka „wie” jakie produkty kupujemy i w ten sposób tworzy profil naszej osoby jako konsumenta. Następnie takie informacje mogą być sprzedawane przez producenta lodówki do sieci sklepów. W efekcie nie tylko otrzymamy informacje, że jogurt jest przeterminowany ,ale jednocześnie zostaniemy poinformowani, że kolejny możemy kupić w sklepie XYZ gdzie została przygotowana super oferta na jogurty.

Ochrona prywatności, ochrona danych osobowych

         Kilka ogólnych słów dotyczących ochrony prywatności. Zagadnienie to jest kluczowe w kontekście zagrożeń płynących z Internetu rzeczy. Jak należy rozumieć naruszenie prywatności w aspekcie rozbudowanego Internetu rzeczy? Chodzi tu głównie o niepewność użytkowników co do tego w jaki sposób ich dane będą wykorzystywane i niepewność tych, którzy tworzą rozwiązania (twórcy urządzeń, twórcy systemów operacyjnych, twórcy aplikacji oraz użytkownicy) odnośnie ich ewentualnej odpowiedzialności. To tylko niektóre wątpliwości, które przychodzą mi na myśl.

Bardziej szczegółowy, rozbudowany katalog zagrożeń wskazał w swoim wystąpieniu dr Wojciech Wiewiórowski. Do najczęściej spotykanych zaliczył on:

  1. Problemy z dostosowaniem przetwarzania danych osobowych do obowiązujących przepisów,
  2. Sieci ad hoc- urządzenia, które co do zasady nie miały być ze sobą powiązane wchodzą ze sobą w interakcje wymieniając dane na temat np. naszych zachowań i tworząc tym samym profil naszej osoby.

Kolejnym problemem jest niejednoznaczność informacji. Zadajmy sobie pytanie kto jest administratorem danych w kontekście Internetu rzeczy? Powiem mało precyzyjnie, ale to zależy….. Po pierwsze będzie to osoba, która stworzyła systemy informacyjne przetwarzające informacje i nimi zarządza. Ale to nie załatwia sprawy do końca. W przypadku Internetu rzeczy mamy z do czynienia z wyraźnym rozróżnieniem tego:

  • Kto stworzył system;
  • Kto stworzył urządzenia;
  • Kto zarządza informacją;
  • Kto jest użytkownikiem;

W aspekcie Internetu rzeczy przed szereg wysuwają się zasady Privacy by Desing[3], czym więc należy pamiętać projektując system przetwarzania danych

  • podejście proaktywne, nie reaktywne i zaradcze, nie naprawcze – pamiętajmy o tym aby kwestie związane z ochroną danych osobowych uregulować na początku procesu przetwarzania danych, a nie w jego trakcie;
  • prywatność jako ustawienie domyślne- ważnym postulatem jest więc potrzeba uwzględnienia jak najdalej posuniętych zabezpieczeń prywatności w ustawieniach domyślnych (początkowych) takiego systemu;
  • prywatność włączoną w projekt- zasady podstawowe prywatności w fazie projektowania mają umożliwić włączanie ochrony prywatności w samo tworzenie projektu;
  • pełną funkcjonalność rozumianą jako osiąganie sumy dodatniej, a nie sumy zerowej- prawidłowo zastosowane określają bowiem, w jaki sposób proaktywnie uczynić prywatność domyślnym sposobem działania w organizacji przy jednoczesnym utrzymaniu pełnej funkcjonalności;
  • ochronę prywatności od początku do końca cyklu życia informacji- dążenie do osiągnięcia wymaganego efektu (np. odpowiedniego poziomu ochrony prywatności) w konkretnym momencie na osi czasu;
  • transparentność – oznacza przejrzystość całego procesu pod kątem sposobów przetwarzania danych osobowych. Transparentność ma być docelowo integralną częścią procesu przetwarzania;
  • poszanowanie dla prywatności użytkowników- kwestie prywatności i ochrony danych powinny być uwzględniane w całym cyklu technologicznym i cały czas powinny być odpowiednio zabezpieczone.

Dobrymi praktykami w tym zakresie są audyty, analizy ryzyka, oceny zagrożeń, zarządzanie ryzykiem czy certyfikacja.

         Podsumowując. Zastosowanie przedmiotów rzeczy musi mieć przede wszystkim sens i przynosić korzyści osobom i całemu społeczeństwu[4]. Problem jaki się tu pojawia związany jest z tym ,że dane zbierane przez przedmioty są łatwo dostępne i przechowywane. Co dziwne nie istnieje jeszcze oprogramowanie w pełni zabezpieczające nieuprawniony dostęp do przedmiotów. Konsekwencje związane z nieuprawnionym dostępem są niezliczone.

         Rekomendacji w tym zakresie wydaje się być wiele. Po pierwsze zwiększona świadomość użytkowników przedmiotów wysuwa się przed szereg. Kompleksowa wiedza na temat urządzenia, ich funkcjonalność powinny być wskazane w sposób jasny, przejrzysty i zrozumiały dla przeciętnego Kowalskiego. Zapisy prawne, rozbudowane na szeroką skalę działania legislacyjne wydają się nie mieć sensu. Postęp technologiczny rozwija się w zastraszającym tempie. Prawo wydaje się mu nie nadążać. Z mojego punktu widzenia najlepszym rozwiązaniem jest uświadamianie społeczeństwa o skutkach i zagrożeniach płynących z Internetu rzeczy. Liczne akcje, szkolenia, rozbudowane i wyczerpujące informacje na temat przedmiotów wydają się być kluczem do sukcesu.

Ważne! Im więcej danych przetwarzamy tym większa jest odpowiedzialność tego, kto te dane przetwarza

         Postulaty, o których wspomniałam wyżej odnajdują także odzwierciedlenie w konkluzjach przyjętych przez Rzeczników Ochrony Prywatności. Po analizie wydanych oświadczeń oraz raportów sformułowałam jedną tezę. Im więcej danych przetwarzamy tym większa jest odpowiedzialność tego, kto te dane przetwarza. Mam nadzieje, że postulat ten nie jest wyłącznie utopią…

Dla osób zainteresowanych problematyką Internetu rzeczy zachęcam do lektury opinii przygotowanej w 2014r. przez Grupę Roboczą art. 29[5]. Opinia ta rysuje cały obraz stawiając konkretne pytania konkretnym użytkownikom całego procesu informacyjnego.

[1] http://iab.org.pl/wp-content/uploads/2015/09/Raport-Internet-Rzeczy-w-Polsce.pdf

[2] Wystąpienia dostępne pod adresem- https://www.youtube.com/watch?v=fK6kj6KbHOk

[3] Dr Wojciech Wiewiórowski. Zastępca Europejskiego Inspektora Ochrony Danych Osobowych. Przetwarzanie danych w Internecie rzeczy – aspekty prawne. VII Konferencja Bezpieczeństwo w Internecie pt. „Internet rzeczy”. Bezpieczeństwo Smart City. Warszawa, 15.05.2015r. Uniwersytet Kardynała Stefana Wyszyńskiego.

[4] Dr inż. Wacław Iszkowski. Rzecz o Internecie rzeczy. VII Konferencja Bezpieczeństwo w Internecie pt. „Internet rzeczy”. Bezpieczeństwo Smart City. Warszawa, 15.05.2015r. Uniwersytet Kardynała Stefana Wyszyńskiego

[5] Opinia 8/2014 w sprawie ostatnich postępów w dziedzinie Internetu przedmiotów, 16 września 2014r.