Nowy projekt: rozporządzenie dot. e-prywatności

Wciąż nie milkną echa ogłoszenia ogólnego rozporządzenia o ochronie danych (2016/679) z dnia 27 kwietnia 2016 r. (RODO), które będzie stosowane już od 25 maja 2018 r., a Komisja Europejska proponuje wprowadzenie dodatkowych przepisów, które mają skuteczniej zapewniać prywatność w łączności elektronicznej. Ma temu służyć Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie dot. e-prywatności), którego projekt został opublikowany 10 stycznia 2017 r.

Po co nam nowe rozporządzenie?

Nowe rozporządzenie dot. e-prywatności ma stanowić uszczegółowienie i uzupełnienie przepisów RODO w zakresie przetwarzania danych osobowych w komunikacji elektronicznej. Przepisy nowego rozporządzenia mają zastąpić obowiązującą obecnie dyrektywę 2002/58/WE, która nie nadąża za rozwojem technologicznym i rzeczywistością rynkową i w konsekwencji nie zapewnia skutecznej ochrony prywatności i poufności w komunikacji elektronicznej. Projekt rozporządzenia ma zapewnić swobodny przepływ danych pochodzących z komunikacji elektronicznej, który nie może być zakazywany, czy ograniczany ze względów związanych z poszanowaniem życia prywatnego i ochroną danych osobowych.

Wszystkie formy komunikacji elektronicznej.

W przeciwieństwie do dyrektywy 2002/58/WE, która ma zastosowanie jedynie do tradycyjnych operatorów telekomunikacyjnych, rozporządzenie dot. e-prywatności ma objąć swoją regulacją  również dostawców nowych środków komunikacji, takich jak telefonia  internetowa (VoIP), komunikatory internetowe, poczta elektroniczna itp. Ponadto nowe przepisy będą stosowane do świadczenia usług łączności elektronicznej na rzecz użytkowników w Unii Europejskiej, niezależnie od tego z jakiego państwa jest dostawca tych usług. Nowymi regulacjami zostanie objęte komunikowanie się przez takie programy jak  np. WhatsApp, Skype, Facebook Messenger, Viber, iMessage. Należy zwrócić uwagę również na to, że nowe przepisy mają dotyczyć również kanałów komunikacyjnych, które są jedynie dodatkiem do innej, głównej usługi, takich jak np. komunikatory w grach wideo.

Treść łączności elektronicznej i metadane.

Rozporządzenie dot. e-prywatności wprowadza dwa rodzaje danych pochodzących z komunikacji elektronicznej, tj. treść łączności elektronicznej (tekst, głos, wideo, obrazy i dźwięk) oraz metadane pochodzące z łączności elektronicznej (np. dane dotyczące lokalizacji urządzenia, data, godzina i czas trwania oraz rodzaj łączności).

Poufność.

Projektowane przepisy wprowadzają zasadę poufności danych pochodzących z łączności elektronicznej, która przejawia się w zakazie jakiejkolwiek ingerencji w te dane innych osób niż użytkownik końcowy (zakaz podsłuchiwania, przechwytywania, nadzorowania itp.). Wyjątkami od tej reguły mają być m.in. sytuacje związane z zapewnieniem prawidłowej realizacji usługi i bezpieczeństwa takiej usługi, z koniecznością naliczenia opłat i dokonania rozliczeń, czy też sytuacje, w których użytkownik końcowy wyraził na to zgodę. Co ważne, zasada poufności będzie dotyczyła również przekazywania sobie danych pomiędzy urządzeniami, a więc regulacja ta obejmie również tzw. Internet rzeczy, czyli np. urządzenia gospodarstwa domowego, które mogą przetwarzać informacje dotyczące domowników takie jak styl życia, przyzwyczajenia, a nawet stan zdrowia.

Usuwanie danych.

Rozporządzenie ma wprowadzić również zasadę usuwania lub anonimizacji danych pochodzących z łączności elektronicznej po zrealizowaniu celu, dla którego były przetwarzane. W tym miejscu należy zwrócić uwagę na to, że zarówno obowiązek zachowania poufności danych jak ich usuwania czy anonimizacji wynika już z zasad wprowadzonych przez RODO („integralność i poufność”, „ograniczenie przechowywania”). W związku z tym pojawia się wątpliwość, na ile jest to niepotrzebne powielenie już istniejących zasad, a na ile ich praktyczne rozwinięcie?

Zgoda użytkownika końcowego.

Nowe rozporządzenie posługuje się definicją i warunkami wyrażania zgody na przetwarzanie danych określonymi przez RODO, przy czym wprowadza możliwość, by zgoda użytkownika końcowego mogła być wyrażona poprzez wykorzystanie ustawień technicznych oprogramowania umożliwiającego dostęp do Internetu, czyli w praktyce użytkownik będzie mógł ustawić taką zgodę w ustawieniach przeglądarki jako domyślną.

O ile to rozwiązanie wydaje się być ułatwieniem, to jako kuriozalny należy uznać pomysł, aby użytkownicy byli informowani o możliwości wycofania swojej zgody co 6 miesięcy, a w szczególności już, gdy ciągle korzystają z określonej usługi.

Rozporządzenie dot. e-prywatności a pliki cookies. Czy zbliża się koniec darmowych serwisów internetowych?

Oprogramowanie zapewniające wyszukiwanie i przedstawianie informacji w Internecie (przeglądarki internetowe) będzie musiało mieć opcję uniemożliwiania osobom trzecim przechowywania informacji na urządzeniach końcowych, a więc przechowywania plików cookie. Akceptacja albo odrzucenie trwałych plików cookie będą odbywały się za pomocą ustawień przeglądarki internetowej. Zatem znikną tak bardzo denerwujące wszystkich okienka informujące wykorzystywaniu cookies. Przy czym pliki cookie, które nie stanowią zagrożenia dla prywatności i mają jedynie ułatwiać użytkownikom korzystanie ze stron internetowych oraz takie, które służą do liczenia wejść na strony internetowe nie będą wymagały zgody użytkownika

Patrząc z jednej strony rozporządzenie dot. e-prywatności zwiększy poziom ochrony poufności komunikacji oraz ochrony danych osobowych użytkowników. Z drugiej zaś, proponowane przepisy mogą stanowić zagrożenie dla funkcjonujących obecnie w Internecie rozwiązań biznesowych, które oparte są na finansowaniu pochodzącym ze sprofilowanych reklam. Nie trudno się domyślić, że większość użytkowników zaznaczy w przeglądarce opcję niewyrażającą zgody na wykorzystanie cookies. Natomiast o tym jak ważne są takie reklamy mogą przekonać się coraz częściej użytkownicy Internetu, którzy instalują w swoich przeglądarkach oprogramowanie typu „adblock” służące do blokowania wyświetlanych reklam. Niektórzy bowiem wydawcy serwisów internetowych zdecydowali się blokować dostęp do treści swoich serwisów osobom korzystającym z „adblocków”. Projektowane zmiany mogą znacznie ograniczyć grono odbiorców „targetowanych” reklam. Tym samym wydawcy internetowi, pozbawieni źródła finansowania mogą sięgnąć do kieszeni Internautów wprowadzając opłaty za korzystanie z serwisów.

Marketing bezpośredni za pomocą łączności elektronicznej.

Określone w projektowanych przepisach prawo do wysyłania drogą elektroniczną komunikatów w celu marketingu bezpośredniego użytkownikom końcowym będącym osobami fizycznymi za ich zgodą nie jest niczym nowym.

Jednakże przedsiębiorcy powinni być zadowoleni z możliwości kierowania takiego marketingu do osób, które były już ich klientami bez ich zgody, ale pod następującymi warunkami:

  • wiadomości będą kierowane na adres poczty elektronicznej otrzymany wcześnie od klienta,
  • komunikaty będą dotyczyły marketingu bezpośredniego ich własnych produktów i usług podobnych do tych, które świadczyli klientowi,
  • klient będzie miał możliwość wyrażenia swojego sprzeciwu bezpłatnie i w łatwy sposób za każdym razem, gdy wysyłana będzie do niego wiadomość.

Przypomnijmy, że obecnie obowiązujące przepisy ustawy o świadczeniu usług drogą elektroniczną nie zezwalają na prowadzenie działań marketingowych droga elektroniczną bez zgody ich odbiorcy.

Prawo do kontroli połączeń telefonicznych.

Nowe rozporządzenie nakazuje również dostawcom usług telekomunikacyjnych umożliwienie użytkownikom blokowania identyfikacji numerów telefonicznych, a także prawo do odrzucania rozmów przychodzących z niezidentyfikowanych numerów lub niepożądanych połączeń. Ponadto firmy zajmujące się marketingiem bezpośrednim będą musiały stosować odpowiedni prefiks wskazujący, że przychodzące połączenie ma charakter marketingowy.

Nadzór nad przestrzeganiem przepisów rozporządzenia o e-prywatności.

Za monitorowanie stosowania nowego rozporządzenia będzie odpowiedzialny, tak jak ma to miejsce w przypadku RODO, niezależny organ nadzorczy, czyli krajowy urząd ochrony danych osobowych. Natomiast samo naruszenie zasad poufności komunikacji zagrożone będzie wysokimi karami finansowymi nakładanymi zgodnie z zasadami określonymi w RODO. I tak jak w RODO kary te mogą sięgać nawet 20 milionów euro lub 4% rocznego światowego obrotu.

Poniżej zamieszczamy tekst projektu:

Nowy projekt: rozporządzenie dot. e-prywatności

 

Współadministratorzy

Współadministratorzy – nowa definicja w rozporządzeniu unijnym. Jednym z nowych dla polskiego prawa pojęć, które wprowadza rozporządzenie unijne 2016/679 dotyczące ochrony danych osobowych, jest pojęcie współadministratora danych osobowych. Jak należy je jednak rozumieć? W jakich sytuacjach będziemy mieć do czynienia ze współadministratorami? Jaki będzie zakres odpowiedzialności każdego z nich? Mam nadzieję, że tym wpisem uda mi się rozwiać wszelkie wątpliwości związane z tym zagadnieniem.

Artykuł 26 rozporządzenia stanowi, że:

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

Sam „administrator” jest natomiast rozumiany przez rozporządzenie jako:

osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Definicja administratora wskazuje nam więc już słowami „samodzielnie lub wspólnie z innymi” na możliwość zaistnienia tzw. kontroli pluralistycznej.

Grupa Robocza Artykułu 29 za najważniejszą i podstawową rolę pojęcia administratora danych osobowych uznała umożliwienie ustalenia odpowiedzialności za zgodność przetwarzania z zasadami ochrony danych i tego, w jaki sposób podmioty danych osobowych mogą wykonywać swoje prawa w praktyce. Dodatkowo w swojej opinii podkreśliła, że pojęcie to należy rozumieć w sposób:

  • autonomiczny i wspólnotowy – a więc interpretacja musi się odbywać według unijnych przepisów dotyczących danych osobowych i nie ulega zmianom ze względu na rozbieżności w ustawodawstwach krajowych;
  • funkcjonalny – co oznacza, że analizować należy okoliczności faktyczne, a nie formalne.

Jeżeli chodzi o element odróżniający administratora od innych podmiotów, a więc decydowanie o sposobach i celach przetwarzania danych osobowych, warto wiedzieć, że jest możliwe przekazanie przez administratora uprawnienia do określenia sposobów przetwarzania innemu podmiotowi, o ile chodzi o kwestie techniczne i organizacyjne. Natomiast już określenie celu przez dany podmiot powoduje samo w sobie uznanie go za faktycznego administratora[1]. Powyższe zasady rozumienia pojęcia administratora zastosujemy rzecz jasna analogicznie do terminu „współadministrator”.

Rozporządzenie nakłada na administratorów wspólnie ustalających cele i sposoby przetwarzania danych obowiązek dokonania przez nich wspólnych uzgodnień, które w sposób jasny i przejrzysty określać będą zakresy ich odpowiedzialności (szczególnie w odniesieniu do obowiązku informacyjnego administratorów oraz wykonywania przez podmiot danych – czyli osobę, której dane dotyczą – swoich praw). Uzgodnienia te mają odzwierciedlać nie tylko zakresy obowiązków współadministratorów, ale także relacje między nimi a podmiotami danych osobowych. Co więcej – zasadnicza treść tych uzgodnień musi być tym podmiotom udostępniona. Rozporządzenie dodatkowo wskazuje, że w uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą, co ma im ułatwić korzystanie ze swoich uprawnień. Niezależnie od wspomnianych uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów.

W tym miejscu pojawia się kluczowa kwestia – dotycząca odpowiedzialności współadministratorów za naruszenia przepisów o ochronie danych osobowych. Dyrektywa 95/46/WE, która regulowała sprawy związane z ochroną danych przed rozporządzeniem:

  • nie używała co prawda terminu „współadministrator”, jednak dopuszczała możliwość zaistnienia sytuacji, w której co najmniej dwóch administratorów wspólnie decyduje o celach i sposobach przetwarzania danych;
  • stanowiła, że administrator odpowiada tylko za szkodę, którą wyrządził – zwolniony był więc z odpowiedzialności za szkodę, za której powstanie nie ponosił winy – w związku z czym w pewnych okolicznościach osoba, której dane dotyczą, mogła nie uzyskać pełnego odszkodowania;
  • zwalniała administratora z odpowiedzialności za szkodę spowodowaną siłą wyższą.

Rozporządzenie reguluje tę kwestię inaczej:

  • Podmiot danych ma być teraz uprawniony do kierowania roszczeń przeciwko któremukolwiek ze współadministratorów – ten zaś, którego wybierze, odpowiada wobec niego za całą szkodę, jaką mu wyrządzono przez naruszenie przepisów o ochronie danych osobowych (chyba że prawo UE lub państwa członkowskiego rozdziela odpowiedzialność między współadministratorów w inny sposób).
  • Gdy wybrany przez poszkodowanego współadministrator zrekompensuje mu szkodę, może żądać zwrotu odpowiedniej części wypłaconej sumy od pozostałych administratorów – w częściach wynikających z zawartego przez nich porozumienia.
  • Zwolnienie z obowiązku pokrycia całego odszkodowania przez wskazanego administratora jest możliwe tylko wtedy, gdy nie jest on w żaden sposób odpowiedzialny za szkodę. Jeżeli odpowiada za nią chociażby w najmniejszym stopniu, to wyłączenie to już go nie obejmie.
  • Rozporządzenie nie przewiduje wprost zwolnienia z takiego obowiązku w przypadku siły wyższej, przez co współadministratorzy ponoszą teoretycznie większe ryzyko.

Udział współadministratorów w decydowaniu o celach i sposobach przetwarzania danych może przyjmować rozmaite formy. Poza tym warto pamiętać, że sam fakt współpracy różnych podmiotów w procesie przetwarzania nie czyni ich współadministratorami. Przykładowo:

  1. W przypadku, gdy biuro podróży przesyła dane osobowe swoich klientów, rezerwujących wyjazdy wakacyjne, do hotelu i linii lotniczych – biuro podróży, hotel i linie będą trzema administratorami danych, działającymi samodzielnie i odpowiedzialnymi za ochronę danych osobowych klientów we własnym zakresie.
  2. Jeżeli natomiast te trzy podmioty w ramach współpracy utworzą wspólną stronę internetową, uzgodnią między sobą ważne elementy sposobów przetwarzania danych użytkowników portalu, będą sprawować nad nim wspólną kontrolę i postanowią wymieniać się danymi swoich klientów w celach marketingowych, będą już współadministratorami w zakresie przetwarzania danych w procesie rezerwacji przy użyciu portalu, nawet jeżeli nie podzielają tych samych celów.

Inny przykład związany jest z kwestią odróżnienia udostępnienia danych od powierzenia ich przetwarzania:

  1. Kiedy przedsiębiorstwo headhunterskie A pomaga przedsiębiorstwu B w rekrutacji pracowników, zazwyczaj działa ono jako podmiot przetwarzający dane (procesor), bo to B decyduje o celach i sposobach przetwarzania, a więc jest administratorem danych.
  2. Jeżeli jednak przedsiębiorstwo A jest administratorem danych osobowych we własnej bazie danych, w której posiada inne CV niż te otrzymane od B i korzysta również z nich przy realizacji umowy z przedsiębiorstwem B – należy uznać przedsiębiorstwa za współadministratorów w zakresie przetwarzania związanego z procesem tej rekrutacji.

Warto także zauważyć, że rozporządzenie, wprowadzając konstrukcję współadministratorów, zdaje się wychodzić naprzeciw przede wszystkim przedsiębiorcom, którzy ze sobą współpracują – czy to w formie grup kapitałowych, czy też po prostu działającym wspólnie na postawie umowy dla osiągnięcia ustalonych wspólnie celów. Takie rozwiązanie powinno ułatwić im bowiem podział obowiązków w kwestii ochrony danych osobowych[2]. Czas jednak pokaże, jak opisana przeze mnie instytucja będzie tak naprawdę funkcjonować w praktyce, a także w jakim kierunku w interpretacji nowych unijnych przepisów pójdzie orzecznictwo i doktryna.

 

[1] Opinia Grupy Roboczej Artykułu 29 nr 1/2010  w sprawie pojęć „administrator danych” i „przetwarzający”

[2] Dariusz Wociór (red.), Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego

Privacy Shield

Privacy Shield UE – USA

Koniec niepewności co do warunków legalnego transferu danych osobowych do USA! Mamy konsensus. Po burzliwych obradach Komisja Europejska przyjęła decyzję wdrażającą porozumienie zawarte pomiędzy USA, a Unią Europejską w sprawie nowego rozwiązania pozwalającego na transfer danych osobowych za ocean (Privacy Shield). Z zadowoleniem przyjmujemy wieści o podpisaniu umowy precyzującej zasady przekazywania danych. Jest to krok milowy ku zapewnieniu maksymalnej realizacji praw i wolności obywateli państw członkowskich Unii Europejskiej.

Czym jest Privacy Shield?

Tarcza Prywatności jest porozumieniem politycznym w sprawie nowych ram dotyczących transatlantyckich wymian danych osobowych w celach handlowych.

Co zastąpi Privacy Shield?

Porozumienie pod nazwą Tarcza Prywatności UE – USA jest zgodne z wymogami określonymi przez Trybunał Sprawiedliwości w wyroku z dnia 6 października 2015 r. stwierdzającym nieważność dotychczas stosowanych zasad, tj. programu „bezpieczna przystań” (ang. Safe Harbour). Pisaliśmy na temat ww. wyroku tutaj.

Cel Privacy Shield

Priorytetowym celem Tarczy Prywatności jest wypracowanie nowych mechanizmów zapewniających ochronę praw podstawowych obywateli Unii Europejskiej, a których dane są przekazywane do Stanów Zjednoczonych Ameryki. Celem porozumienia jest stworzenie mechanizmów i procedur, które stanowiłyby kompleksową odpowiedź na wyzwania związane z przetwarzaniem na dużą skalę danych osobowych w chmurach obliczeniowych oraz dynamicznym rozwojem Big data.

Zasady Privacy Shield

  1. Rygorystyczne obowiązki nałożone na przedsiębiorstwa przetwarzające dane. Departament Handlu Stanów Zjednoczonych będzie prowadził regularne aktualizacje i przeglądy uczestniczących w porozumieniu przedsiębiorstw w celu zapewnienia, by przestrzegały zasad, którym się podporządkowały. W przypadku niewywiązywania się z nałożonych obowiązków firmy mogą spotkać się z dolegliwymi sankcjami.
  2. Wyraźne zabezpieczenia i wymogi przejrzystości regulujące dostęp administracji rządowej USA do danych osobowych. Postulat zakładający, iż organy władz publicznych będą miały ograniczone możliwości dostępu do danych Europejczyków tzn. w zakresie niezbędnym do celów ochrony bezpieczeństwa narodowego czy egzekwowania prawa. Zasada minimalizacji danych jako klucz programu.
  3. Skuteczna ochrona praw osób fizycznych, których dane osobowe zostały niewłaściwie wykorzystane w ramach Tarczy Prywatności. Osoba fizyczna będzie mogła skorzystać z:
    • rozpatrzenia skargi przez samo przedsiębiorstwo,
    • alternatywnych metod rozwiązywania sporów.
  4. Wspólny mechanizm corocznego przeglądu Tarczy Prywatności. Wzmożona współpraca na linii Komisja Europejska – Departament Handlu USA – europejskie organy ochrony danych.

Nowe regulacje w ramach Tarczy Prywatności zaczęły obowiązywać w trybie natychmiastowym. W najbliższym czasie możemy spodziewać się poradnika, w którym Komisja Europejska wyjaśni mechanizm dochodzenia roszczeń obywateli UE w sytuacji kiedy dane są przetwarzane w sposób nie realizujący zasad przyjętych w ramach porozumienia.

Broszura informacyjna Komisji Europejskiej dot. Privacy Shield