CyberbezpieczeństwoPolecane tematy
ePrivacy jest potrzebne, abyśmy odzyskali kontrolę nad swoimi danymi
W ostatnich latach przyjęło się twierdzenie, że dane dla ekonomii cyfrowej są tym samym czym dotąd dla gospodarki była ropa naftowa. Są czynnikiem produkcji oraz siłą napędową nowoczesnych przedsiębiorstw. Nie tylko nauczyliśmy się je zbierać, ale opieramy na nich modele biznesowe, monetyzujemy je w coraz większym zakresie oraz bierzemy je za podstawę wyceny przedsiębiorstw. Według analizy PWC oraz Bloomberga z 2020 r., na 10 przedsiębiorstw o największej wartości rynkowej, 7 zawdzięcza swój sukces umiejętności gromadzenia i wykorzystywania na masową skalę, danych swoich użytkowników.
Upowszechnienie w ostatnich latach internetu rzecz (w 2020 r. liczba urządzeń IoT podłączonych do sieci przekroczyła 12 mld) oraz popularyzacja cyfrowych platform komunikacyjnych powoduje, że wolumen wszystkich wytworzonych danych zbliża nas niechybnie do niewyobrażalnej liczby 175 bln GB, których wytworzenie przewiduje się w roku 2025. Taka liczba danych zwiększa prędkość naszego rozwoju, pozwala odkrywać to co jeszcze kilka lat temu było dla ludzi nieosiągalne.
Przy wszystkich powyższych superlatywach, zbieranie danych ma jednak swój koszt i wpływ na otaczający nas świat. Coraz szybsze pędzenie za białym królikiem transformacji cyfrowej powoduje, że ci dla których efektywne zbieranie danych ma największą wartość w coraz mniejszym stopniu respektują kwestie prywatności zbieranych danych. Urządzenia z których korzystamy śledzą każdy nasz ruch, często bez naszej wiedzy rejestrują nasze rozmowy przetwarzając je na informacje o naszych preferencjach, a zasilone tymi danymi algorytmy w lepszym lub gorszym celu próbują wywierać na nas wpływ. Systematycznie tracimy kontrolę nad tym jak nasze dane są przetwarzane oraz zaczynamy się zadowalać iluzją poufności i prywatności, także w tym obszarze, który wydaje się najbardziej wrażliwy – komunikacji z innymi osobami.
Osiągnięto porozumienie w zakresie unijnego rozporządzenia ePrivacy
Zdając sobie sprawę ze wskazanych ryzyk oraz pokus rynku, organy unii europejskiej od ponad 4 lat debatowały na temat nowych przepisów Unii Europejskiej dotyczących prywatności w łączności elektronicznej (potocznie nazywanych rozporządzeniem ePrivacy). Wszystko wskazuje na to, że po latach dyskusji i sporów na temat finalnego brzmienia ePrivacy, wypracowano założenia, które mają szansę wkrótce wejść w życie. Zgodnie z komunikatem Rady Unii Europejskiej z dnia 10 lutego br., osiągnięto na poziomie Rady finalne porozumienie co do treści projektu rozporządzenia, w oparciu, o które usługodawcy będą mogli przetwarzać dane pochodzące z łączności elektronicznej lub mieć dostęp do danych przechowywanych na urządzeniach użytkowników końcowych. Wskazane porozumienie pozwala zainicjować rozmowy z Parlamentem Europejskim w sprawie ostatecznej treści aktu.
Proponowany dokument ma uchylić obowiązującą dyrektywę o e-prywatności, a jako przepis szczególny względem RODO uszczegółowić i uzupełnić obowiązujące zasady ochrony danych, rozciągając je także w zakresie komunikacji elektronicznej, na dane osób prawnych. Analizując treść projektu rozporządzenia, jednego można być pewnym – jeżeli na etapie prac w Parlamencie Europejskim nie zostaną wprowadzone znaczące zmiany, nowy porządek wprowadzany przez ePrivacy będzie miał niebagatelny wpływ na świat operatorów, dostawców narzędzi do komunikacji oraz wszystkich, którzy opierają działalność na przepływie danych w otwartej sieci. O zastosowaniu przepisów nie będzie decydować miejsce świadczenia usługi, siedziba usługodawcy czy miejsce położenia serwerów, a miejsce pobytu podmiotu danych, czyli w wypadku ePrivacy użytkownika końcowego. Tak długo jak będzie się on znajdował na terytorium UE, dostawca będzie zobligowany stosować się do zasad narzuconych przez unijnego regulatora.
Zgodnie z przyjętymi założeniami, rozporządzenie ePrivacy odnosi się nie tylko do treści łączności elektronicznej przekazywanych za pośrednictwem publicznie dostępnych usługi i sieci, ale też metadanych związanych z tą łącznością. Na etapie projektowania rozporządzenia, ten element wzbudzał chyba największe kontrowersje. Autorzy projektu od początku bronili tezy, że informacja o lokalizacji, czasie i odbiorcy łączności przechowywana w metadanych łączności elektronicznej, w większości przypadków będzie równie newralgiczna co sama treść komunikacji. Pozostawali w tym przekonaniu wyjątkowo bezkompromisowi.
Dla samej regulacji typ usługi łączności będzie pozostawał zasadniczo bez znaczenia. Do nowych zasad będą musieli się zastosować zarówno dostawcy świadczący tradycyjne usługi łączności, jak też te oparte na łączach internetowych, takie jak usługi VoIP i VoLTE, czy też inne usługi OTT oparte na aplikacjach umożliwiających prowadzenie komunikacji audio-wideo. Będą nią także objęte systemy IoT przekazujące dane poprzez sieć publiczną.
Zasadniczo dostawcy usług łączności, będą zobligowani zapewnić, aby dane pochodzące z łączności elektronicznej były poufne. Jak podkreśla Rada, wszelka ingerencja, w tym słuchanie, monitorowanie i przetwarzanie danych przez kogokolwiek poza użytkownikiem końcowym będzie zakazane (z wyjątkiem sytuacji dozwolonych w rozporządzeniu). Wydaje się, że oznacza to nie mniej, ni więcej, tylko wprowadzenie powszechnego obowiązku szyfrowania łączności elektronicznej w modelu end-to-end. Niezależnie od wyzwania technologicznego z jakim operatorzy i dostawcy aplikacji będą zmuszeni się zmierzyć, narzucenie wskazanego obowiązku ciężko krytykować. Ma on przywrócić możliwość rzeczywistego egzekwowania jednego z podstawowych praw – ochrony życia prywatnego, w tym poufności komunikacji. Czas na dostosowanie się do nowych regulacji jest też co najmniej rozsądny. Finalna wersja projektu przewiduje wejście regulacji w życie, w terminie 24 miesięcy od dnia publikacji gotowego aktu.
Od danych do metadanych
Zgodnie z przyjętymi założeniami, rozporządzenie odnosi się nie tylko do treści łączności elektronicznej przekazywanych za pośrednictwem publicznie dostępnych usługi i sieci, ale też metadanych związanych z tą łącznością. Na etapie projektowania rozporządzenia, ten element wzbudzał chyba największe kontrowersje. Autorzy projektu od początku bronili tezy, że informacja o lokalizacji, czasie i odbiorcy łączności przechowywana w metadanych łączności elektronicznej, w większości przypadków będzie równie newralgiczna co sama treść komunikacji. Pozostawali w tym przekonaniu wyjątkowo bezkompromisowi.
Podążając za swoją ideą ograniczenia wykorzystywania metadanych, w ostatniej turze negocjacji nad treścią projektu ePrivacy praktycznie wykluczono możliwość przetwarzania metadanych w oparciu o przesłankę uzasadnionego interesu. Wzbudziło to powszechny sprzeciw ze strony rynku, który jednak nie wpłynął w istotny sposób na treść regulacji. Chcąc przetwarzać metadane, operatorzy będą zmuszeniu uzyskiwać od użytkowników wyraźne zgody, które tak jak w przypadku RODO będą musiały być dobrowolne, świadome i jednoznaczne, a co więcej archiwizowane, po to na operatorze będzie ciążył obowiązek wykazania, że taką zgodę otrzymał.
Dostawcy usług łączności, będą – przez rozporządzenie ePrivacy – zobligowani zapewnić, aby dane pochodzące z łączności elektronicznej były poufne. Jak podkreśla Rada, wszelka ingerencja, w tym słuchanie, monitorowanie i przetwarzanie danych przez kogokolwiek poza użytkownikiem końcowym będzie zakazane (z wyjątkiem sytuacji dozwolonych w rozporządzeniu). Wydaje się, że oznacza to nie mniej, ni więcej, tylko wprowadzenie powszechnego obowiązku szyfrowania łączności elektronicznej w modelu end-to-end. Ma to przywrócić możliwość rzeczywistego egzekwowania jednego z podstawowych praw – ochrony życia prywatnego, w tym poufności komunikacji.
Przetwarzanie danych pochodzących z łączności elektronicznej bez zgody użytkownika będzie dozwolone w ograniczonej liczbie przypadków, np. w celu zapewnienia integralności usług łączności, weryfikacji pod kątem złośliwego oprogramowania lub wirusów lub gdy usługodawca jest związany prawem UE lub prawem państwa członkowskiego przewidującym ściganie przestępstw lub zapobieganie zagrożeniom dla bezpieczeństwa publicznego lub w celu ochrony żywotnych interesów użytkowników.
Komunikacja w celach marketingowych
W przeciwieństwie do naszego przyzwyczajenia traktowania zgody (o raz udzielonej zapominamy do czasu jej odwołania) obecne brzmienie projektu rozporządzenia, będzie wymagało od dostawców usług komunikacyjnych nieco większej aktywności. Tam, gdzie przetwarzanie danych pochodzących z łączności elektronicznej będzie trwało – czyli użytkownik będzie dalej korzystał z usługi – będzie trzeba mu przypominać o możliwości wycofania zgody w okresowych odstępach czasu nie dłuższych niż 12 miesięcy, o ile nie zażąda on nieotrzymywania takiego przypomnienia.
Dodatkowym elementem zabezpieczenia prywatności użytkowników będzie także wymuszenie uzyskiwania zgody na wykorzystywanie przez aplikację funkcji przetwarzania i przechowywania danych oraz zbieranie danych z urządzenia. Sam projekt nie wyłącza możliwości wysyłania użytkownikom materiałów marketingowych (w tym opartych o zbierane dane). Niemniej jednak poprzez rozszerzenie definicji wiadomości elektronicznej o wszelkie wiadomości zawierające informacje, takie jak tekst, głos, obraz, dźwięk lub obraz przesyłane za pośrednictwem sieci komunikacji elektronicznej – które mogą być przechowywane w sieci lub w powiązanych urządzeniach komputerowych lub na urządzeniu końcowym odbiorcy, w tym SMS, MMS oraz funkcjonalnie równoważne aplikacje i techniki – dostawcy będą zmuszeni każdorazowo weryfikować źródła pochodzenia danych, aby umożliwić użytkownikowi wycofanie swojej zgody na przesyłanie komunikacji marketingowej ze wszystkich źródeł elektronicznych.
Od metadanych do ciasteczek i alternatywy dla nich
Niezależnie od kwestii zapewnienia prywatności komunikacji, rozporządzenie wprowadza także małą rewolucję w obszarze wykorzystywania popularnych ciasteczek. Tak samo, jak w przypadku metadanych zbieranych w komunikacji elektronicznej i tu podstawą przetwarzania ma być wyłącznie zgoda użytkownika (a nie – jak wynikało z wcześniejszych projektów – uzasadniony interes administratora strony). To użytkownik ma decydować, czy będzie akceptował pliki cookie lub podobne identyfikatory. Nie będzie przy tym zabronione uzależnienie dostępu do strony internetowej od zgody na stosowanie plików cookie w dodatkowych celach ‒ jako alternatywa dla systemu pobierania opłat ‒ o ile użytkownik będzie mógł wybrać pomiędzy tą ofertą, a równoważną ofertą tego samego usługodawcy nieprzewidującą zgody na stosowanie ciasteczek. Informacje będą musiały być jasne, wyczerpujące i przyjazne dla użytkownika, co bezsprzecznie wpłynie na konieczność zmiany wszystkich tych, których czytanie przyprawiało dotąd użytkownika o zawrót głowy.
Coraz szybsze pędzenie za białym królikiem transformacji cyfrowej powoduje, że ci dla których efektywne zbieranie danych ma największą wartość w coraz mniejszym stopniu respektują kwestie prywatności zbieranych danych. Urządzenia z których korzystamy śledzą każdy nasz ruch, często bez naszej wiedzy rejestrują nasze rozmowy przetwarzając je na informacje o naszych preferencjach, a zasilone tymi danymi algorytmy w lepszym lub gorszym celu próbują wywierać na nas wpływ. Systematycznie tracimy kontrolę nad tym jak nasze dane są przetwarzane.
Aby przeciwdziałać zmęczeniu banerami cookie, rozporządzenie zachęca sprzedawców oprogramowania (ale ich do tego nie zobowiązuje) aby umieszczali w aplikacjach zestaw domyślnych ustawień, które pozwolą użytkownikom końcowym w łatwy i przejrzysty sposób zarządzać zgodą na pliki cookie, dokonywać precyzyjnych wyborów dotyczących przechowywania i udzielania dostępu do danych przechowywanych na ich urządzeniach końcowych, czy też łatwo ustawiać i modyfikować białe listy dla kategorii akceptowanych lub nie akceptowanych plików cookies, tak aby mieć łatwo wykonalną kontrolę nad wyrażaniem zgody. Tak bardzo jak rozwiązanie wydaje się słuszne, przy pozostawieniu na koniec dnia formy zalecenia, możemy mieć poważne wątpliwości, kto się do niego finalnie zastosuje.
Czy potrzebna są nam bezpieczniki?
Żyjemy w dynamicznie zmieniającym się świecie. Tak, jak nieco ponad 100 lat temu ropa naftowa umożliwiła skrócenie czasu potrzebnego na przemierzenie całego świata z 80 dni do kilkudziesięciu, a obecnie kilkunastu godzin, tak dziś oparcie naszych biznesów oraz ekonomii na przepływie danych nadaje nam dotąd niespotykanej prędkości rozwoju. Tam jednak, gdzie nie ma żadnych reguł, w praktyki może zakradać się chaos, a dane (jak i paliwo) mogą być wykorzystywane wbrew ich pierwotnemu przeznaczeniu (co najdobitniej pokazała nam w ostatnich latach Cambridge Analytica).
ePrivacy przez niektórych jest nazywane młodszym bratem RODO, który może przeregulować już obciążony przepisami rynek ICT. Niemniej jednak, pomimo mankamentów ePrivacy jest potrzebne, abyśmy odzyskali kontrolę nad swoimi danymi. Tak samo jak w przypadku RODO nie jest kluczowe finalne brzmienie regulacji, a to jak będzie ona później intepretowana. Jeżeli tylko nie będziemy mieli tendencji do jej nadinterpretacji, na końcu króliczej nory możemy znaleźć całkiem uporządkowany świat, bez szalonych kapeluszników.
Michał Kibil, założyciel i Senior Partner w kancelarii DGTL Kibil Piecuch i Wspólnicy