Po paru latach międzyinstytucjonalnych przepychanek i po finalnym nie przyjęciu proponowanej przez Komisję Europejską (KE) nowej regulacji ePrivacy, Rada Unii Europejskiej (Rada) pod prezydencją Portugalii zaprezentowała nowy projekt regulacji ePrivacy. Nowa regulacja jest przedmiotem wielu sporów i energicznego lobbyingu ze strony technologicznych gigantów, jak np. GAFAM (Google, Amazon, Facebook, Apple, Microsoft), dla których nowa regulacja jest w sprzeczności z ich interesami. Dzieje się tak ponieważ jej celem jest ustanowienie wysokiego poziomu ochrony prywatności i wprowadzenie nowych zasad dotyczących komunikacji elektronicznej, które będą uzupełniały General Data Protection Regulation (GDPR, Rozporządzenie o Ochronie Danych Osobowych).
Będąca w trakcie europejskiego procesu legislacyjnego nowa regulacja ma na celu m.in. ochronę danych i metadanych, wytwarzanych w czasie komunikacji w sieci, w takich aplikacjach jak choćby WhatsApp, Messenger, Skype, czy Zoom. Ma także na celu uproszczenie zasad dotyczących tzw. plików cookie, zbanowanie niechcianych reklam w sieci—w formie np. spamu na maila, a także ustanowienie zunifikowanego reżimu egzekucji tych obowiązków przez odpowiednie władze publiczne.
W pierwszej cześci artykułu omówię zakres podmiotowy tej regulacji i jej główne założenia, jeśli chodzi o ochronę prywatności komunikacji elektronicznej, a w drugiej części inne szczegółowe założenia projektu, tak jak ochrona przed spamem i nowe zasady dla plików cookies.
- Wzmocniona ochrona prywatności w komunikacji elektronicznej
Głównym celem nowej regulacji, która jest uaktualnieniem wcześniejszej dyrektywy, jest skuteczniejsza ochrona prywatności komunikacji elektronicznej. Poprzednia dyrektywa swym przedmiotem nie obejmowała wielu nowych przypadków, w których komunikacja elektroniczna zachodzi, tak jak np. komunikacja typu M2M (machine to machine). Również sam wybór instrumentu legislacyjnego jakim jest regulacja, zamiast dyrektywy, która musi być stosowana bezpośrednio w Państwach Członkowskich, świadczy o tym jak dużą wagę UE i Państwa Członkowskie przywiązują do tej kwestii. Podmiotami regulacji są dostawcy usług komunikacji elektronicznej i to w ich kierunku skierowany jest katalog nowych obowiązków. Całość regulacji jest lex specialis do GDPR, więc przepisy regulacji ePrivacy będzie stosowało się uzupełniająco do GDPR, a w razie wątpliwości ogólne zasady ustanowione w GDPR będą stosowane do uzupełnienia ewentualnych wątpliwości.
- Przedmiot regulacji
Tematyką wyodrębnioną przez nowe prawo i poddaną uaktualnionym regulacjom będzie przetwarzanie treści i metadanych w komunikacji elektronicznej i wysyłanie bezpośrednich treści marketingowych do użytkowników. Regulacji nie stosuje się do czynności przedsięwziętych przez uprawnione organy władzy publicznej.
Głównym założeniem nowego prawa jest poufność treści komunikacji elektronicznej. Zabronione zostanie jakiekolwiek ingerowanie w treści danych pochodzących z komunikacji elektronicznej, takie jak podsłuch, podłączanie się pod sieć, monitorowanie, przechowywanie treści komunikacji i inne formy inwigilacji. Dane komunikacji elektronicznej będzie można przetwarzać tylko i wyłącznie gdy jest to niezbędne do świadczenia samej usługi komunikacji, do utrzymania bezpieczeństwa sieci i jej jakości, bądź wykrycia wad technicznych, lub jest to konieczne ze względu na obowiązki prawne wynikające z innych regulacji. Jednocześnie takie przetwarzanie i przechowywanie takich danych może być tylko i wyłącznie dozwolone przez okres niezbędny do spełnienia wyżej wymienionych celów. Jednocześnie wyżej wymienione wyjątki od ogólnej reguły poufności komunikacji są wyłączone, jeżeli cele te można wypełnić używając danych anonimowych.
Kolejnym wyjątkiem jest sytuacja kiedy przetwarzanie treści komunikacji jest konieczne dla dostarczenia usługi, której chce sam użytkownik, na co sam udzielił zgody, jeżeli jest to zgoda na przetwarzanie danych komunikacji w określonym celu i kiedy takie przetwarzanie nie stanowi ryzyka dla praw podstawowych. Jednocześnie w takich sytuacjach dostawca usługi, jeżeli ma przetwarzać dane pochodzące z komunikacji elektronicznej powinien przeprowadzić znany z GDPR tzw. impact assesment. Jest to narzędzie samoregulacji, gdzie podmiot przetwarzający dane samookreśla jakie może być potencjalne ryzyko dla praw podstawowych aktywności, którą chce przedsięwziąć.
Odrębnym przedmiotem regulacji są meta-dane, czyli dane, które nie są bezpośrednio treścią komunikacji, ale są danymi, które powstają w związku z tą komunikacją. Są to np. dane na temat długości danej treści, jeśli to jest tekst, dane lokalizacji z jakiej komunikacja została wysłana, lub np. dane na temat tego jaki jest rozmiar przesyłanego pliku. Są to dane nie mniej ważne dla ochrony prywatności, co można zobrazować na prostym przykładzie. Jeżeli potencjalnie meta-dane nie byłyby chronione przez zasadę poufności komunikacji, a sama treść by była, to oznaczałoby to, że dostarczyciel usług np. nie wiedziałby jaka jest treść Twojej porady telefonicznej u psychologa, ale np. wiedziałby, że czytelnik u psychologa był, a wcześniej np. w wyszukiwarce internetowej szukał haseł związanych przykładowo z depresją. Dlatego też ochrona meta-danych jest nie mniej ważna niż ochrona samej treści komunikacji.
Z tego też powodów projekt nowej regulacji ePrivacy przewiduje, że przetwarzanie takich danych będzie dozwolone tylko wtedy gdy jest to konieczne ze względu na obsługę sieci, jej zarządzanie, optymalizację, lub aby sprostać wymaganiom technicznym, określonym w innych regulacjach. Jest to również dozwolone jeżeli przetwarzanie tych danych jest konieczne do wypełnienia zobowiązań wynikających z umowy pomiędzy dostawcą, a usługobiorcą, którego komunikacja wytwarza te meta-dane. Jednocześnie okolicznością derogującą ten zakaz jest zgoda użytkownika, na przetwarzanie w określonym celu, zgodnie z ogólnymi zasadami z GDPR. Jednocześnie wszystkie te wyjątki od ogólnej zasady poufności nie są aplikowalne jeżeli tą samą czynność można wykonać na danych anonimowych, gdzie jednocześnie nie przetwarza się danych o lokalizacji użytkownika.
- Ponowne użycie
Mimo ogólnej zasady poufności komunikacji elektronicznych i metadanych, jeżeli na przetwarzanie takich danych została udzielona zgoda, a zachodzi potrzeba ponownego przetwarzania takich danych, to podmiot chcący je przetwarzać powinien dokonać testu kompatybilności, wzorowanego na tym samym teście z GDPR. Test ten polega na ocenie czy przyczyny dla których dane będą ponownie przetwarzane są zgodne z oryginalną przyczyną, na którą zgoda do przetwarzania danych została udzielona przez użytkownika. Ta klauzula o dozwolonym ponownym użyciu danych jest jedną z nowych rzeczy wprowadzonych przez prezydencje portugalską w Radzie, której nie znajdujemy w pierwszym projekcie KE z 2017r. Klauzula ta jest znaczącym rozluźnieniem reżimu poufności takich danych i należy postrzegać ją jako swego rodzaju rozwodnienie tej regulacji. Wynika to z tego, że jest to bardzo szeroki wyjątek od zakazu przetwarzania danych w komunikacji elektronicznej, ponieważ test kompatybilności będzie przeprowadzany przez podmioty chcące ponownie przetwarzać dane. Oznacza to również, że takie dane będą mogły być przetwarzane w nieskończoność, bez kontroli samego użytkownika, jeżeli uznane zostanie, że przycyzna dla której będą one przetwarzane jest zgodna z oryginalną przyczyną ich przetwarzania. Przy ustalaniu kompatybilności przetwarzania pod uwagę będą musiały zostać wzięte, tak jak w GDPR, takie kryteria jak związek oryginalnej przyczyny przetwarzania, z przyczyną dla której dane mają zostać przetworzone ponownie, kontekst w jakim dane zostały pierwszy raz zebrane i przetworzone, w szczególności relacja użytkownika z dostawcą usług, charakter przetwarzanych danych, w tym czy nie są to dane wrażliwe, potencjalne konsekwencje przetwarzania takich danych, a także czy zastosowane zostaną odpowiednie środki zabezpieczające, takie jak np. pseudonimizacja, czy zaszyfrowanie.
- Znaczenie nowego projektu dla każdego z nas
Kolejny, nowy projekt regulacji ePrivacy może zarówno cieszyć, jak i martwić. Regulacja poufności komunikacji elektronicznej dostosowana do wymagań technicznych obecnie panujących jest konieczna. Jednak proces legislacyjny trwa już długo i jest to druga, kolejna propozycja, po tej której na początku nie udało się uzgodnić pomiędzy Państwami Członkowskimi UE. Jednocześnie nowy projekt prezydencji portugalskiej wprowadza test kompatybilności ponownego użycia danych, powielony z GDPR, który znacznie zmniejsza poziom ochrony prywatności takiej komunikacji, ponieważ jest możliwym aby przy wykorzystaniu odpowiedniej prawnej ekwilibrystyki wymaganiom testu kompatybilności uczynić zadość i tym samym pozwolić na dalsze przetwarzanie takich danych, co oznacza mniejszą kontrolę użytkownika nad swoimi danymi.
Druga część artykułu omówi kwestie związane z zakazem marketingu bezpośredniego w sieci, a także nowe zasady dotyczące tzw. plików cookie.
Jan Czarnocki – doktorant i stypendysta im. Marii Skłodowskiej-Curie w Centrum Prawa Technologii Informacyjnych i Ochrony Własności Intelektualnej Katolickiego Uniwersytetu w Leuven. W swojej pracy bada zagadnienia związane z ochroną prywatności i danych, koncentrując się na ochronie danych biometrycznych i zdrowotnych, w kontekście Internetu Rzeczy i algorytmów Sztucznej Intelignencji. Przed tym pracował jako stażysta w Dyrektoracie Spraw Zagranicznych, w Sekretariacie Europejskiej Partii Ludowej w Parlamencie Europejskim, a także w Centrum Studiów Europejskich im. Wilfrieda Martensa. Uzyskał tytuł magistra prawa na Uniwersytecie Warszawskim i tytuł LL.M prawa porównaczego na Chińskim Uniwersytecie Nauk Politycznych i Prawnych w Pekinie. Oprócz prawa interesuje się geopolityką, ekonomią, filozofią i biznesem w sieci.
Sfinansowano przez Narodowy Instytut Wolności - Centrum Rozwoju Społeczeństwa Obywatelskiego ze środków Programu Rozwoju Organizacji Obywatelskich na lata 2018 – 2030
