Nowy projekt: rozporządzenie dot. e-prywatności

Wciąż nie milkną echa ogłoszenia ogólnego rozporządzenia o ochronie danych (2016/679) z dnia 27 kwietnia 2016 r. (RODO), które będzie stosowane już od 25 maja 2018 r., a Komisja Europejska proponuje wprowadzenie dodatkowych przepisów, które mają skuteczniej zapewniać prywatność w łączności elektronicznej. Ma temu służyć Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie dot. e-prywatności), którego projekt został opublikowany 10 stycznia 2017 r.

Po co nam nowe rozporządzenie?

Nowe rozporządzenie dot. e-prywatności ma stanowić uszczegółowienie i uzupełnienie przepisów RODO w zakresie przetwarzania danych osobowych w komunikacji elektronicznej. Przepisy nowego rozporządzenia mają zastąpić obowiązującą obecnie dyrektywę 2002/58/WE, która nie nadąża za rozwojem technologicznym i rzeczywistością rynkową i w konsekwencji nie zapewnia skutecznej ochrony prywatności i poufności w komunikacji elektronicznej. Projekt rozporządzenia ma zapewnić swobodny przepływ danych pochodzących z komunikacji elektronicznej, który nie może być zakazywany, czy ograniczany ze względów związanych z poszanowaniem życia prywatnego i ochroną danych osobowych.

Wszystkie formy komunikacji elektronicznej.

W przeciwieństwie do dyrektywy 2002/58/WE, która ma zastosowanie jedynie do tradycyjnych operatorów telekomunikacyjnych, rozporządzenie dot. e-prywatności ma objąć swoją regulacją  również dostawców nowych środków komunikacji, takich jak telefonia  internetowa (VoIP), komunikatory internetowe, poczta elektroniczna itp. Ponadto nowe przepisy będą stosowane do świadczenia usług łączności elektronicznej na rzecz użytkowników w Unii Europejskiej, niezależnie od tego z jakiego państwa jest dostawca tych usług. Nowymi regulacjami zostanie objęte komunikowanie się przez takie programy jak  np. WhatsApp, Skype, Facebook Messenger, Viber, iMessage. Należy zwrócić uwagę również na to, że nowe przepisy mają dotyczyć również kanałów komunikacyjnych, które są jedynie dodatkiem do innej, głównej usługi, takich jak np. komunikatory w grach wideo.

Treść łączności elektronicznej i metadane.

Rozporządzenie dot. e-prywatności wprowadza dwa rodzaje danych pochodzących z komunikacji elektronicznej, tj. treść łączności elektronicznej (tekst, głos, wideo, obrazy i dźwięk) oraz metadane pochodzące z łączności elektronicznej (np. dane dotyczące lokalizacji urządzenia, data, godzina i czas trwania oraz rodzaj łączności).

Poufność.

Projektowane przepisy wprowadzają zasadę poufności danych pochodzących z łączności elektronicznej, która przejawia się w zakazie jakiejkolwiek ingerencji w te dane innych osób niż użytkownik końcowy (zakaz podsłuchiwania, przechwytywania, nadzorowania itp.). Wyjątkami od tej reguły mają być m.in. sytuacje związane z zapewnieniem prawidłowej realizacji usługi i bezpieczeństwa takiej usługi, z koniecznością naliczenia opłat i dokonania rozliczeń, czy też sytuacje, w których użytkownik końcowy wyraził na to zgodę. Co ważne, zasada poufności będzie dotyczyła również przekazywania sobie danych pomiędzy urządzeniami, a więc regulacja ta obejmie również tzw. Internet rzeczy, czyli np. urządzenia gospodarstwa domowego, które mogą przetwarzać informacje dotyczące domowników takie jak styl życia, przyzwyczajenia, a nawet stan zdrowia.

Usuwanie danych.

Rozporządzenie ma wprowadzić również zasadę usuwania lub anonimizacji danych pochodzących z łączności elektronicznej po zrealizowaniu celu, dla którego były przetwarzane. W tym miejscu należy zwrócić uwagę na to, że zarówno obowiązek zachowania poufności danych jak ich usuwania czy anonimizacji wynika już z zasad wprowadzonych przez RODO („integralność i poufność”, „ograniczenie przechowywania”). W związku z tym pojawia się wątpliwość, na ile jest to niepotrzebne powielenie już istniejących zasad, a na ile ich praktyczne rozwinięcie?

Zgoda użytkownika końcowego.

Nowe rozporządzenie posługuje się definicją i warunkami wyrażania zgody na przetwarzanie danych określonymi przez RODO, przy czym wprowadza możliwość, by zgoda użytkownika końcowego mogła być wyrażona poprzez wykorzystanie ustawień technicznych oprogramowania umożliwiającego dostęp do Internetu, czyli w praktyce użytkownik będzie mógł ustawić taką zgodę w ustawieniach przeglądarki jako domyślną.

O ile to rozwiązanie wydaje się być ułatwieniem, to jako kuriozalny należy uznać pomysł, aby użytkownicy byli informowani o możliwości wycofania swojej zgody co 6 miesięcy, a w szczególności już, gdy ciągle korzystają z określonej usługi.

Rozporządzenie dot. e-prywatności a pliki cookies. Czy zbliża się koniec darmowych serwisów internetowych?

Oprogramowanie zapewniające wyszukiwanie i przedstawianie informacji w Internecie (przeglądarki internetowe) będzie musiało mieć opcję uniemożliwiania osobom trzecim przechowywania informacji na urządzeniach końcowych, a więc przechowywania plików cookie. Akceptacja albo odrzucenie trwałych plików cookie będą odbywały się za pomocą ustawień przeglądarki internetowej. Zatem znikną tak bardzo denerwujące wszystkich okienka informujące wykorzystywaniu cookies. Przy czym pliki cookie, które nie stanowią zagrożenia dla prywatności i mają jedynie ułatwiać użytkownikom korzystanie ze stron internetowych oraz takie, które służą do liczenia wejść na strony internetowe nie będą wymagały zgody użytkownika

Patrząc z jednej strony rozporządzenie dot. e-prywatności zwiększy poziom ochrony poufności komunikacji oraz ochrony danych osobowych użytkowników. Z drugiej zaś, proponowane przepisy mogą stanowić zagrożenie dla funkcjonujących obecnie w Internecie rozwiązań biznesowych, które oparte są na finansowaniu pochodzącym ze sprofilowanych reklam. Nie trudno się domyślić, że większość użytkowników zaznaczy w przeglądarce opcję niewyrażającą zgody na wykorzystanie cookies. Natomiast o tym jak ważne są takie reklamy mogą przekonać się coraz częściej użytkownicy Internetu, którzy instalują w swoich przeglądarkach oprogramowanie typu „adblock” służące do blokowania wyświetlanych reklam. Niektórzy bowiem wydawcy serwisów internetowych zdecydowali się blokować dostęp do treści swoich serwisów osobom korzystającym z „adblocków”. Projektowane zmiany mogą znacznie ograniczyć grono odbiorców „targetowanych” reklam. Tym samym wydawcy internetowi, pozbawieni źródła finansowania mogą sięgnąć do kieszeni Internautów wprowadzając opłaty za korzystanie z serwisów.

Marketing bezpośredni za pomocą łączności elektronicznej.

Określone w projektowanych przepisach prawo do wysyłania drogą elektroniczną komunikatów w celu marketingu bezpośredniego użytkownikom końcowym będącym osobami fizycznymi za ich zgodą nie jest niczym nowym.

Jednakże przedsiębiorcy powinni być zadowoleni z możliwości kierowania takiego marketingu do osób, które były już ich klientami bez ich zgody, ale pod następującymi warunkami:

  • wiadomości będą kierowane na adres poczty elektronicznej otrzymany wcześnie od klienta,
  • komunikaty będą dotyczyły marketingu bezpośredniego ich własnych produktów i usług podobnych do tych, które świadczyli klientowi,
  • klient będzie miał możliwość wyrażenia swojego sprzeciwu bezpłatnie i w łatwy sposób za każdym razem, gdy wysyłana będzie do niego wiadomość.

Przypomnijmy, że obecnie obowiązujące przepisy ustawy o świadczeniu usług drogą elektroniczną nie zezwalają na prowadzenie działań marketingowych droga elektroniczną bez zgody ich odbiorcy.

Prawo do kontroli połączeń telefonicznych.

Nowe rozporządzenie nakazuje również dostawcom usług telekomunikacyjnych umożliwienie użytkownikom blokowania identyfikacji numerów telefonicznych, a także prawo do odrzucania rozmów przychodzących z niezidentyfikowanych numerów lub niepożądanych połączeń. Ponadto firmy zajmujące się marketingiem bezpośrednim będą musiały stosować odpowiedni prefiks wskazujący, że przychodzące połączenie ma charakter marketingowy.

Nadzór nad przestrzeganiem przepisów rozporządzenia o e-prywatności.

Za monitorowanie stosowania nowego rozporządzenia będzie odpowiedzialny, tak jak ma to miejsce w przypadku RODO, niezależny organ nadzorczy, czyli krajowy urząd ochrony danych osobowych. Natomiast samo naruszenie zasad poufności komunikacji zagrożone będzie wysokimi karami finansowymi nakładanymi zgodnie z zasadami określonymi w RODO. I tak jak w RODO kary te mogą sięgać nawet 20 milionów euro lub 4% rocznego światowego obrotu.

Poniżej zamieszczamy tekst projektu:

Nowy projekt: rozporządzenie dot. e-prywatności

 

Prawa konsumenta, prawo telekomunikacyjne i ochrona danych osobowych

8434517638_652886fc96_zUstawa z 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2014 r. poz. 827), która weszła w życie 25 grudnia 2014 r. wprowadziła szereg nowych uregulowań, które nadały konsumentom określone uprawnienia, a na przedsiębiorców nałoży z drugiej strony konkretne obowiązki. Ciekawym miejscem, gdzie można dowiedzieć się o zmianach jest podstrona internetowa dostępna w serwisie Urzędu Ochrony Konkurencji i Konsumentów http://www.prawakonsumenta.uokik.gov.pl/. Chciałbym jednak poświęcić chwilę nie na temat uprawnień konsumentów i obowiązków przedsiębiorców, bo dużo jest opracowań w tym zakresie, a na temat zmian jakie ustawa o prawach konsumenta wprowadziła w odniesieniu do Prawa telekomunikacyjnego, a które to są związane z obowiązkami w zakresie ochrony danych osobowych.

Zasadniczą wątpliwością jaka się pojawiła, to kwestia relacji Prawa telekomunikacyjnego i ustawy o prawach konsumenta, gdyż abonent usług telekomunikacyjnych, niebędący przedsiębiorcą jest jednocześnie konsumentem, a w związku z powyższym do zawierania z takimi osobami umów o świadczenie usług należy stosowań obydwie ustawy.

 Kolejną istotną kwestią jest to, że ustawa o prawach konsumenta zmieniła art. 172 Prawa telekomunikacyjnego. Zmiana polega na tym, że dotychczas brzmiący artykuł 172 w ust. 1 Prawa telekomunikacyjnego mówi o tym, że

zakazane jest używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba, że abonent lub użytkownik uprzednio wyraził na to zgodę,

został zmieniony w ten sposób, że zakazano również używania „telekomunikacyjnych urządzeń końcowych”. Ponadto do art. 172 Prawa telekomunikacyjnego został dodany ust. 3 mówiący o tym, że używania „telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących” dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta. Zmiana ma charakter porządkowy, dostosowujący do przepisów ustawy o prawach konsumenta, której zasadniczym celem jest określenie praw przysługujących konsumentowi. Konsekwencją niezastosowania się do tego przepisu może być nałożenie przez Prezesa Urzędu Komunikacji Elektronicznej kary pieniężnej (art. 209 ust. 1 Prawa telekomunikacyjnego).

Praktycznym wymiarem wprowadzonych w art. 172 Prawa Telekomunikacyjnego zmian, jest kwestia związana z tym, jak po zmianach legalnie wykonywać telefony, podczas których będzie możliwość przedstawienia oferty marketingowej. Przepis art. 172 Prawa telekomunikacyjnego wyraźnie wskazuje ma to, że zgoda musi być wyrażona „uprzednio”  W mojej opinii przedstawianie oferty marketingowej za pomocą telefonu możliwe będzie w sytuacji, w której zdobędziemy zgodę przed wykonaniem pierwszego telefonu w tej sprawie.

Konsekwencją praktyczną dla przedsiębiorcy, który chce legalnie działać w obrocie prawnym w aspekcie marketingu jest powiększenie katalogu obowiązku jakie musi wykonać. Jeżeli zatem przedsiębiorca chciałby oferować klientowi lub potencjalnemu klientowi swoje produkty lub usługi musi:

  • Posiadać podstawę do przetwarzania danych osobowych w celach marketingowych (art. 23 ustawy o ochronie danych osobowych) i dopełnić obowiązku informacyjnego (art. 24 lub 25 ustawy o ochronie danych osobowych);
  • Posiadać zgodę na wysyłanie informacji handlowych drogą elektroniczną – tj. za pośrednictwem maila lub sms-owo (art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną);
  • Posiadać zgodę na wykonywanie telefonicznych połączeń w związku z działalnością marketingową (art. 172 ust. 3 ustawy Prawo Telekomunikacyjne).

Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych