Co zmieni Regulacja ePrivacy? Cz. 2

W części pierwszej analizy omawiałem i komentowałem nowy projekt regulacji ePrivacy, przedstawiony w 2017r. przez Komisję Europejską (KE), a niedawno odświeżony przez prezydencje portugalską w Radzie Europejskiej (Rada), w której części skupiłem się na sposobie regulacji poufności komunikacji elektronicznej, która to zasada jest głównym założeniem całej, nowej regulacji. W tej części omówię zasady dotyczące marketingu bezpośredniego i tzw. plików cookies, które również są ujęte w nowej regulacji.

1. Regulacja marketingu bezpośredniego

Nowe prawo nałoży nowe obowiązki na podmioty chcące oferować usługi bezpośredniego marketingu, takie jak np. połączenia telefoniczne, w celu reklamy produktu, lub maile, które zazwyczaj trafiają do spamu. Obowiązkami tymi będzie konieczność zapewnienia użytkownikowi możliwośći sprzeciwienia się bycia podmiotem takiego marketingu, jak np. możliwość wpisywania się na listy, które będą skupiały ludzi nie chcących aby takie oferty były do nich wysyłane. Jednocześnie operatorzy sieci, zarówno komórkowych jak i internetu będą mieli obowiązek ograniczania liczby takich wiadomości, bądź połączeń marketingowy, które zawierałyby niechciane, szkodzące, lub irytujące wiadomości. Jednocześnie, na otrzymywanie takich komunikacji użytkownik będzie musiał wyrazić zgodę. W gestii Państw Członkowskich będzie pozostawało jak szczegółowo uregulować te kwestie, na poziomie konkretnych wymogów i standardów. Regulacja ePrivacy ma określić jedynie ogólną zasadę.

Nowe obostrzenia mają przyczynić się do ograniczenia spamu i niechcianych, automatycznych połączeń, wykonywanych przez np. boty. Zmiany te są o tyle istotne, że dotychczas użytkownicy nie mieli możliwości proaktywnego odseparowania się od niechcianych komunikacji marketingowych i mogli być nimi zalewani na swoich prywatnych kanałach komunikacyjnych. Dopiero po odebraniu takiej komunikacji mogli zastrzedz oni, że nie życzą sobie oni konkaktu przez te podmioty, co zasadniczo problemu nie rozwiązywało, bo intruzja w prywatność już nastąpiła, a ilość podmiotów zaangażowanych w takie praktyki sprawia, że zastrzeganie tego aby więcej nie być podmiotem takiej komunikacji, za każdym razem gdy ktoś dzwoni, lub kieruje wiadomość do użytkownika, jest szczególnie uciążliwie. Dlatego z entuzjazmem patrzę na te zmiany szczególnie, że takie wiadomości marketingowe zazwyczaj oferują produkty i usługi mało potrzebne, a jednocześnie oferują je w sposób wykorzystujący natarczywe i manipulujące techniki sprzedaży. Ochrona prywatności w ten sposób i ekspansja tej ochrony w ten obszar napewno przyczyni się do zapewnienia obywatelom większego spokoju, a także nie narazi ich, a w szczególności osób starszych, na bycie zmanipulowanymi i być może niekorzystne rozporządzenie własnym majątkiem.

2. Zasady dotyczące tzw. cookies

Regulacja ePrivacy ma również wprowadzić zakaz przetwarzania danych na temat urządzenia użytkownika, takich jak informacje na temat używanego oprogramowania i specyfikacji technicznych urządzenia. Jednocześnie wprowadza ona rewolucyjny zakaz użytkowania mocy obliczeniowej i pamięci tych urządzeń przez podmioty inne niż sam właściciel urządzenia. Oznacza to, że tzw. pliki cookie, śledzące aktywność użytkowników w internecie, jednocześnie zajmujące pamięć i moc obliczeniową naszych komputerów, co do zasady mogą zostać zakazane.

Wyjątkami dla tej zasady mają być sytuacje kiedy takie pliki cookie są potrzebne do utrzymania i zapewnienia usługi, przez usługodawcę, użytkownik wyraził zgodę, lub jest to potrzebne dla celów statystycznych, wąsko rozumianych. Mimo więc, że nowe prawo ma ustanowić zakaz, to zgoda użytkownika uprawni go nadal do umieszczania cookies. Jednocześnie nowe prawo ma zakać warunkowania oferowania usługi od zgody na pliki cookies. Oznacza to, że można będzie korzystać z usługi np. danego serwisu, bez akceptacji niezbędnych cookies, w przeciwieństwie do sytuacji obecnej, gdzie bez akceptacji wielu cookies, dostawca usługi nie pozwala na swobodne korzystanie z np. strony internetowej. Mimo tego furtka prawna, jaką jest stworzenie możliwośći zgody na pliki śledzące, gdzie w tej sytuacji zakaz się nie stosuje, zupełnie rozmiękcza jego wartość w obronie naszej prywatności. Wyjątek ten zakłada, że zgoda jest wyrazem świadomości użytkownika na praktyki, które są związane z cookies. Jednak jak pokazuje praktyka warunki takich zgód zazwyczaj nie są czytane, są skomplikowane i nie są rozumiane przez użytkowników. Oznacza to, że zazwyczaj zgadzają sie oni na coś, o czym często tak naprawdę nie mają świadomości. Dlatego zgoda, jako podstawa prawna przetwarzania danych osobowych, była bardzo często krytykowana już przy projektowaniu, a potem przy praktyce ochrony danych osobowych po wprowadzeniu GDPR.

3. Podsumowanie

Nowy projekt regulacji ePrivacy, jeżeli uda się go uchwalić w najbliższym czasie, może znacząco przyczynić się do poprawy standardu ochrony prywatności w UE. Jest to kolejny filar rodzącego się systemu prawa ochrony danych osobowych, a także prawa gospodarki cyfrowej, w których to dziedzinach UE jest pionierem i wywiera wplyw na to jak potem te kwestie są regulowane na całym świecie. Jednocześnie jednak nowy projekt wskazuje na to, że ze względu na niemożność osiągnięcia kompromisu powiela on błędy i mechanizmy z GDPR, które sprawiają, że ochrona prywatności jest mniej skuteczna, niżby mogła być. Pytanie jednak czy faktycznie dlatego, nie posiadając konsensusu politycznego, możemy mieć nadzieje i oczekiwania na wyższe standardy ochrony prywatności, jeśli aktualnie pewne Państwa Członkowskie i lobby wielkich gigantów technologicznychl, jak GAFAM, efektywnie blokują potrzebny postęp. Pozostaje mieć nadzieje, że powoli zmieniający się klimat polityczny pozwoli w przyszłości na bardziej progresywne zmiany na tym polu i skuteczniejszą ochronę prywatności, bez furtek, które na ten moment pozwalają na efektywne obejście celów, dla których pewne zakazy, jak np. poufność komunikacji, zostały ustalone.

Jan Czarnocki – doktorant i stypendysta im. Marii Skłodowskiej-Curie w Centrum Prawa Technologii Informacyjnych i Ochrony Własności Intelektualnej Katolickiego Uniwersytetu w Leuven. W swojej pracy bada zagadnienia związane z ochroną prywatności i danych, koncentrując się na ochronie danych biometrycznych i zdrowotnych, w kontekście Internetu Rzeczy i algorytmów Sztucznej Intelignencji. Przed tym pracował jako stażysta w Dyrektoracie Spraw Zagranicznych, w Sekretariacie Europejskiej Partii Ludowej w Parlamencie Europejskim, a także w Centrum Studiów Europejskich im. Wilfrieda Martensa. Uzyskał tytuł magistra prawa na Uniwersytecie Warszawskim i tytuł LL.M prawa porównaczego na Chińskim Uniwersytecie Nauk Politycznych i Prawnych w Pekinie. Oprócz prawa interesuje się geopolityką, ekonomią, filozofią i biznesem w sieci.