BiznesAnalitykaPolecane tematy
W jaki sposób rozporządzenie ePrivacy zmieni wykorzystanie naszych danych w internecie
10 lutego 2021 r., po wielu latach dyskusji, został podpisany projekt Rozporządzenia o prywatności i łączności elektronicznej (tzw. Rozporządzenie ePrivacy). Dotychczas kwestie ePrivacy były regulowane dyrektywą 2002/58/WE. Dyrektywa jest jednak aktem, który nakłada na państwa członkowskie obowiązek osiągnięcia określonego rezultatu bez wskazywania środków do jego osiągnięcia. Dlatego też przepisy dyrektywy o prywatności i łączności elektronicznej w każdym z krajów Unii Europejskiej przybrały inną postać, niejednokrotnie znacznie różniąc się od siebie. W przeciwieństwie jednak do dyrektywy, rozporządzenie jest aktem prawnym Unii Europejskiej, który staje się bezpośrednio skuteczny jako prawo we wszystkich państwach członkowskich jednocześnie.
- podmioty zbierające i wykorzystujące informacje o urządzenia końcowych (telefonach, laptopach) w celach marketingowych - przykład – profilowanie behawioralne użytkowników końcowych w oparciu o pliki „cookies”;
- podmioty kierujące marketing z wykorzystaniem e-mail lub telefonu (zarówno do osób fizycznych, jak i do osób prawnych) - przykład – „cold mailing” do potencjalnych klientów;
- podmioty świadczące usługi łączności elektronicznej (dostawcy Internetu, podmioty w branży telekomunikacyjnej) - firmy świadczące usługi chatów, wideokonferencji i platform pracy zespołowej z funkcją nagrywania spotkań;
- dostawcy oprogramowania umożliwiającego łączność elektroniczną - firmy dostarczające oprogramowanie do wideokonferencji.
Rozporządzenie ePricacy reguluje ono zagadnienia związane z prywatnością w komunikacji elektronicznej na terenie Unii Europejskiej. Nowe rozporządzenie wprowadzi kilka istotnych zmian dla gospodarki elektronicznej, dlatego warto przyjrzeć się, co ulegnie modyfikacji i czy obecny profil biznesowy nie będzie wymagał wprowadzenia wielu zmian.
Pełna nazwa nowego projektu prawa brzmi „Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego i ochrony danych osobowych w łączności elektronicznej oraz uchylające dyrektywę 2002/58 / WE (rozporządzenie o prywatności i łączności elektronicznej)”. Jeżeli rozporządzenie to wejdzie w życie, uchyli dyrektywę z 2002 r. w sprawie prywatności i łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) i będzie stanowić lex specialis w stosunku do Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, „RODO”).
Rozporządzenie obejmie ochroną (np. obowiązkiem zachowania poufności) dane pochodzące z usług łączności elektronicznej. Chodzi tu nie tylko informacje pozyskiwane w związku ze świadczeniem tradycyjnych usług łączności, ale też informacje pozyskiwane w związku z nowymi, opartymi na internecie usługami umożliwiającymi komunikację, jak np. usługi telefonii internetowej (VoIP), komunikatory internetowe, usługi poczty elektronicznej przez internet, tzw. usługi OTT (Over-The-Top Communications Services).
Rozporządzenie obejmie ochroną (np. obowiązkiem zachowania poufności) dane pochodzące z usług łączności elektronicznej. Chodzi tu nie tylko informacje pozyskiwane w związku ze świadczeniem tradycyjnych usług łączności, ale też informacje pozyskiwane w związku z nowymi, opartymi na internecie usługami umożliwiającymi komunikację, jak np. usługi telefonii internetowej (VoIP), komunikatory internetowe, usługi poczty elektronicznej przez internet, tzw. usługi OTT (Over-The-Top Communications Services).
ePrivacy ma chronić nie tylko prywatność osób fizycznych, jak w przypadku RODO, ale jego przepisy mają znaleźć zastosowanie także do osób prawnych.
Zmiany w polityce zarządzania cookies i cookie walls
Nowością będzie zmiana polityki cookies i sposobu informowania przez dostawców usług internetowych o tym, że ich witryny z takich plików korzystają. W świecie internetu istnieje także możliwość tzw. płacenia danymi, czyli stosowania tzw. cookie walls. Obecnie kwestię tę reguluje przepis Art. 173 ust. 1 ustawy – Prawo telekomunikacyjne, który przewiduje generalny obowiązek informowania o wykorzystywaniu plików cookies i uzyskiwania zgody użytkownika na ich użycie. W praktyce niewiele osób je czyta i większość użytkowników automatycznie naciska ikonkę „akceptuję”, aby tylko móc przejść do treści strony, która odwiedzają.
Zgodnie z obowiązującą dyrektywą ePrivacy, korzystanie ze ścian cookies jako takich nie jest zabronione. Jednak stosowane banery cookie na wielu stronach mogą być sprzeczne z RODO. W szczególności chodzi tutaj o tzw. ściany, które uniemożliwiają dostęp do strony internetowej, jeśli ich nie zatwierdzisz. W proponowanej zmianie zakłada się, że takie praktyki będą co do zasady dozwolone, chyba że uzależnienie dostępu do danej usługi internetowej od wyrażenia zgody na instalację plików cookies będzie nieproporcjonalne do zakresu i celu zbieranych danych.
Zgodnie z obowiązującą dyrektywą ePrivacy (którą zastępuje rozporządzenie), korzystanie ze ścian cookies jako takich nie jest zabronione. Jednak stosowane banery cookie na wielu stronach mogą być sprzeczne z RODO. W szczególności chodzi tutaj o tzw. ściany, które uniemożliwiają dostęp do strony internetowej, jeśli ich nie zatwierdzisz. W proponowanej zmianie zakłada się, że takie praktyki będą co do zasady dozwolone, chyba że uzależnienie dostępu do danej usługi internetowej od wyrażenia zgody na instalację plików cookies będzie nieproporcjonalne do zakresu i celu zbieranych danych.
Projektowane rozporządzenie ePrivacy zmieni powyższą praktykę. Nie trzeba będzie uzyskiwać zgody na korzystanie z pików cookies w przypadku, gdy nie będzie to związane z żadną ingerencją w prywatność lub ingerencja ta będzie ograniczona. Zatem nie będzie konieczne uzyskiwanie zgody, gdy jest to konieczne do:
- dokonania transmisji określonego komunikatu przy użyciu sieci (np. w celu zapewnienia działania funkcjonalności danej strony internetowej),
- świadczenia usługi społeczeństwa informacyjnego żądanej przez użytkownika końcowego (np. użytkownik wypełnia w Internecie formularz, a w plikach cookies zapamiętane zostają jego dotychczasowe wybory),
- pomiaru aktywności w sieci przez dostawcę usług (np. administrator strony internetowej analizuje liczbę i rodzaj wejść na swoją stronę).
Zainstalowanie pozostałych rodzajów plików cookies (chociażby takich, które pozwalają wyświetlać zindywidualizowane reklamy) oraz innych identyfikatorów będzie wymagało zgody użytkownika, jednak będzie ona wyrażana, co do zasady, za pomocą ustawień przeglądarki internetowej, a nie jak dotychczas, przez akceptację powiadomień wyświetlanych na stronie.
Dostawcy będą musieli działać zgodnie z zasadą Privacy by default
Dostawcy oprogramowania umożliwiającego wyszukiwanie i przedstawianie informacji w internecie będą mieli zatem obowiązek skonfigurowania oprogramowania tak, aby oferowało ono opcję uniemożliwienia osobom trzecim przechowywania informacji na urządzeniach końcowych – zasada Privacy by default. Oznacza to, że dostawcy oprogramowania umożliwiającego dostęp do Internetu powinni informować użytkowników końcowych już w momencie instalowania danej przeglądarki internetowej o możliwości wyboru ustawień prywatności spośród różnych opcji.
Wydaje się, że niechcianą wiadomością elektroniczną będzie również reklama na Facebooku lub stronach internetowych korzystających z reklam Google. Art. 16 ust. 1 rozporządzenia ePrivacy jest jednak bardzo ogólny, jeżeli chodzi o zakres podmiotowy. Prawdopodobnie wejście w życie rozporządzenia ePrivacy może skutkować zmianami regulaminów FB i Googla albo zmianą modelu biznesowego, np. blokadą części usług FB lub Google jeśli nie ma zgody na marketing bezpośredni. Można też założyć, że FB i Google będą bardzo lobbować za zmianami rozporządzenia ePrivacy.
Użytkownicy końcowi będą mieć możliwość wyboru spośród szeregu ustawień prywatności, od najwyższych (np. „nigdy nie akceptuj plików cookie”) po najniższe (np. „zawsze akceptuj pliki cookie) oraz pośrednie (np. „odrzuć pliki cookie osób trzecich” lub „akceptuj tylko pliki cookie administratora”). Będzie to tzw. stopniowalność zgód na pliki cookies.
Nowe zasady funkcjonowania reklamy w sieci
W gospodarce cyfrowej usługi świadczy się często w zamian za świadczenie wzajemne inne niż pieniądze, np. w zamian za to, że użytkownicy końcowi są narażeni na reklamy. Jest to tzw. „darmowy” dostęp do usług. „Darmowy” ponieważ użytkownik nie płaci żadnego abonamentu, ale w zamian zgadza się, aby dane o jego aktywności w internecie były sprzedawane reklamodawcom. To stąd wyszukanie czegokolwiek w internecie generuje pojawiające się tematyczne reklamy na Facebooku lub stronach internetowych korzystających z reklam Google.
Nowe przepisy wprowadzają zakaz wysyłania niechcianych wiadomości elektronicznych jakimikolwiek kanałami komunikacyjnymi: e-mailem, SMS-em i co do zasady również telefonicznie, jeżeli użytkownik nie wyraził na to zgody.Osoby fizyczne lub prawne mogą korzystać z usług łączności elektronicznej w celu wysyłania komunikatów do celów marketingu bezpośredniego użytkownikom końcowym będącym osobami fizycznymi, jednak jedynie tym, którzy wyrazili na to zgodę. Zgodę tę firmy telekomunikacyjne i agencje marketingowe będą zobowiązane uzyskać od klienta przed wysłaniem mu komunikatu marketingowego.
Zgodnie z ePrivacy nie trzeba będzie uzyskiwać zgody na korzystanie z pików cookies w przypadku, gdy nie będzie to związane z żadną ingerencją w prywatność lub ingerencja ta będzie ograniczona. Zainstalowanie pozostałych rodzajów plików cookies (chociażby takich, które pozwalają wyświetlać zindywidualizowane reklamy) oraz innych identyfikatorów będzie wymagało zgody użytkownika, jednak będzie ona wyrażana, co do zasady, za pomocą ustawień przeglądarki internetowej, a nie jak dotychczas, przez akceptację powiadomień wyświetlanych na stronie.
Wydaje się, że niechcianą wiadomością elektroniczną będzie również reklama na Facebooku lub stronach internetowych korzystających z reklam Google. Art. 16 ust. 1 rozporządzenia ePrivacy jest bardzo ogólny, jeżeli chodzi o zakres podmiotowy – Osoby fizyczne lub prawne. Także zakres przedmiotowy – komunikaty do celów marketingu bezpośredniego – jest bardzo szeroki. Nie ma tu rozróżnienia na rodzaj komunikatów. Komunikaty te mają być skierowane do osób fizycznych – komunikatów do celów marketingu bezpośredniego, użytkownikom końcowym, będącym osobami fizycznymi. Jeżeli zatem będą spełnione w/w trzy przesłanki to wówczas konieczne jest uzyskanie zgody osoby fizycznej na przesłanie jej tychże komunikatów. Jak się wydaje część działalności Facebooka i Googla będzie zawierać się w wyżej przywołanym przepisie Art. 16 projektowanego rozporządzenia, przez co będzie odnosić się ono również do ww. gigantów. Prawdopodobnie wejście w życie rozporządzenia ePrivacy może więc skutkować zmianami regulaminów FB i Googla albo zmianą modelu biznesowego, np. blokadą części usług FB lub Google jeśli nie ma zgody na marketing bezpośredni. Można też założyć, że FB i Google będą bardzo lobbować za zmianami rozporządzenia ePrivacy.
Projektowane rozporzadzenie ePrivacy dopuszcza tzw. miękką zgodę w zakresie wykorzystywania danych kontaktowych dotyczących poczty elektronicznej. Polega to na tym, że jeżeli osoba fizyczna lub prawna otrzymuje od swojego klienta elektroniczne dane kontaktowe dotyczące poczty elektronicznej w związku ze sprzedażą produktu lub usługi, zgodnie z rozporządzeniem (UE) 2016/679, taka osoba fizyczna lub prawna może wykorzystywać te elektroniczne dane kontaktowe do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych. Prawo do wyrażenia sprzeciwu będzie przysługiwać w czasie gromadzenia danych i za każdym razem, gdy wysyłana jest wiadomość.
Dodatkowe wymogi w marketingu elektronicznym
Jeżeli natomiast chodzi o marketing telefoniczny, osoba fizyczna lub prawna korzystająca z usług łączności elektronicznej w celach wykonywania połączeń w ramach marketingu bezpośredniego będzie miała obowiązek podać:
- identyfikator linii, pod którą można się z nią skontaktować; lub
- konkretny kod lub prefiks umożliwiający rozpoznanie, że połączenie jest połączeniem marketingowym.
Wszelkie osoby fizyczne lub prawne wykorzystujące usługi łączności elektronicznej do przekazywania komunikatów do celów marketingu bezpośredniego będą miały obowiązek informowania użytkowników końcowych o marketingowym charakterze materiałów i tożsamości osoby prawnej lub fizycznej, w której imieniu przekazywane są komunikaty, jak również będą zmuszone podawać informacje niezbędne odbiorcom do wykonania ich prawa do wycofania w łatwy sposób zgody na dalsze otrzymywanie komunikatów marketingowych.
Nowe rozporzadzenie ePrivacy obejmie ochroną również metadane
Metadane pozyskane z łączności elektronicznej mogą ujawniać dane szczególnie chronione i dane osobowe, np. wybierane numery, odwiedzane strony internetowe, lokalizacja geograficzna, godzina, data i czas trwania połączenia itp. Pozwalają one na wyciągnięcie konkretnych wniosków dotyczących prywatnego życia osób zaangażowanych w komunikację elektroniczną, takich jak ich relacje towarzyskie, zwyczaje bądź aktywności codziennego życia, zainteresowania, gusty itp.
Zgodnie z art. 5 projektu, dane pochodzące z łączności elektronicznej są poufne. Wszelka ingerencja w dane pochodzące z łączności elektronicznej – taka, jak słuchanie, podsłuchiwanie, przechowywanie, monitorowanie, skanowanie lub innego rodzaju przechwytywanie, nadzorowanie lub przetwarzanie ich przez osoby inne niż użytkownicy końcowi – jest zakazana, z wyjątkiem sytuacji dozwolonych niniejszym rozporządzeniem. Powyższe oznacza to, że jakiekolwiek ingerowanie w przesyłanie danych pochodzących z łączności elektronicznej, czy to za sprawą bezpośredniej ingerencji człowieka, czy za pośrednictwem zautomatyzowanego przetwarzania przez maszyny, dokonywane bez zgody wszystkich komunikujących się stron, powinno być, jako zasada, zakazane.
W stosunku do dyrektywy 2002/58/WE niniejsze rozporządzenie rozszerza możliwości dostawców usług łączności elektronicznej w zakresie przetwarzania metadanych pochodzących z łączności elektronicznej na podstawie zgody użytkowników końcowych. Jednocześnie dostawcy usług łączności elektronicznej mogą przetwarzać metadane pochodzące z łączności elektronicznej, jeśli użytkownik końcowy, którego to dotyczy, wyraził zgodę na przetwarzanie jego metadanych komunikacyjnych dla jednego celu lub dla kilku celów, w tym dla celu świadczenia konkretnych usług na rzecz takiego użytkownika końcowego, pod warunkiem, że ten cel lub te cele nie mogłyby być zrealizowane przez przetwarzanie informacji poddanych anonimizacji.
Dostawca usługi łączności elektronicznej będzie zobowiązany do usunięcia metadanych pochodzących z łączności elektronicznej lub będzie musiał dokonać anonimizacji danych, gdy nie będą one potrzebne dla celów przesyłu komunikatu. Wyjątkiem jest możliwość przechowywania metadanych niezbędnych do naliczania płatności.
Projektowane rozporzadzenie ePrivacy dopuszcza tzw. miękką zgodę w zakresie wykorzystywania danych kontaktowych dotyczących poczty elektronicznej. Polega to na tym, że jeżeli osoba fizyczna lub prawna otrzymuje od swojego klienta elektroniczne dane kontaktowe dotyczące poczty elektronicznej w związku ze sprzedażą produktu lub usługi, zgodnie z rozporządzeniem (UE) 2016/679, taka osoba fizyczna lub prawna może wykorzystywać te elektroniczne dane kontaktowe do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych.
Zgodnie z art. 5 projektu, dane pochodzące z łączności elektronicznej są poufne. Wszelka ingerencja w dane pochodzące z łączności elektronicznej – taka, jak słuchanie, podsłuchiwanie, przechowywanie, monitorowanie, skanowanie lub innego rodzaju przechwytywanie, nadzorowanie lub przetwarzanie ich przez osoby inne niż użytkownicy końcowi – jest zakazana, z wyjątkiem sytuacji dozwolonych niniejszym rozporządzeniem. Powyższe oznacza to, że jakiekolwiek ingerowanie w przesyłanie danych pochodzących z łączności elektronicznej, czy to za sprawą bezpośredniej ingerencji człowieka, czy za pośrednictwem zautomatyzowanego przetwarzania przez maszyny, dokonywane bez zgody wszystkich komunikujących się stron, powinno być, jako zasada, zakazane.
Wysokość kar w rozporządzeniu ePrivacy
Za naruszenie zasady poufności komunikacji, dozwolonego przetwarzania danych pochodzących z łączności elektronicznej, terminów na usunięcie grozi pieniężna kara administracyjna w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.
Czasu na przygotowanie się do zmian w prawie trochę jeszcze jest. Planowany jest bowiem 24-miesięczny okres przejściowy.
Maria Batyra, radca prawny i Przemysław Wierzbicki, adwokat, prawnicy z Kancelarii KKLW Legal Kurzyński Wierzbicki Sp. k. z praktyki Nowych Technologii
