Regulacje dotyczące e-prywatności: Co tak naprawdę zmierza w twoim kierunku?

Mario Steinberg Ostatnia aktualizacja 21.10.2020
.
. 8 Min.
Rozporządzenie o prywatności i łączności elektronicznej: Co Cię czeka?
Ostatnia aktualizacja 21.10.2020

Mimo że rozporządzenie o prywatności i łączności elektronicznej (rozporządzenie o prywatności i łączności elektronicznej) ma zostać przyjęte dopiero pod koniec 2020 r., już teraz rzuca ono swój cień. W tym artykule chciałbym przybliżyć Państwu, czym jest rozporządzenie o prywatności i łączności elektronicznej, jaka jest obecna sytuacja prawna w zakresie stosowania narzędzi śledzących oraz jak może się ona zmienić w ramach EPVO. Na koniec krótko przedstawię, dlaczego uważam, że nowe rozporządzenie jest ważne. Ale bez paniki: Tak jak świat, wbrew wszelkim przewidywaniom, zmieni się wraz z wejściem w życie RODO 25.05.2018 się nie skończyło, tego samego nie należy się spodziewać w przypadku obowiązywania rozporządzenia o e-prywatności.

I. Rozporządzenie o prywatności i łączności elektronicznej

1. Co to jest rozporządzenie o prywatności i łączności elektronicznej?

Rozporządzenie o prywatności i łączności elektronicznej (EPVO) to projekt rozporządzenia, który jest obecnie dyskutowany na szczeblu europejskim przez Komisję Europejską. projekt rozporządzenia Komisji Europejskiejktóra zastępuje dyrektywę o prywatności i łączności elektronicznej (Dyrektywa 2002/58/WEostatnio zmieniony przez Dyrektywa 2009/136/WE), która obowiązuje od 2002 r., oraz dostosowanie jej do obecnego stanu technologii (np. tzw. usługi over-the-top, tj. usługi komunikacyjne oparte na protokole IP, nie są obecnie objęte dyrektywą o prywatności i łączności elektronicznej).

Jako rozporządzenie europejskie, rozporządzenie o prywatności i łączności elektronicznej będzie miało bezpośrednie i natychmiastowe zastosowanie w całej Unii Europejskiej. W przeciwieństwie do dyrektywy o prywatności i łączności elektronicznej, nie będzie ona zależała od wdrożenia do prawa krajowego przez poszczególne państwa członkowskie. Nawiasem mówiąc, ta transpozycja dyrektywy o prywatności i łączności elektronicznej do prawa krajowego nigdy nie miała miejsca w Niemczech, jeśli chodzi o część dotyczącą ochrony danych odnoszącą się do operatorów stron internetowych.

2. Jaki jest cel rozporządzenia o prywatności i łączności elektronicznej?

Rozporządzenie o prywatności i łączności elektronicznej ma na celu ochronę poufności komunikacji, jak również poufności i integralności urządzeń końcowych użytkowników.

Mówiąc prościej, użytkownicy powinni być chronieni przed szpiegowaniem ich bez ich wiedzy podczas odwiedzania stron internetowych, korzystania z poczty elektronicznej lub komunikatorów.

W przeciwieństwie do RODO, chronione są nie tylko osoby fizyczne (osoby fizyczne), ale również osoby prawne (spółki i stowarzyszenia). Rozporządzenie o prywatności i łączności elektronicznej wyjaśnia i uzupełnia stronę RODO w odniesieniu do danych dotyczących łączności elektronicznej, które są danymi osobowymi.

3. Co reguluje rozporządzenie o prywatności i łączności elektronicznej?

Rozporządzenie o prywatności i łączności elektronicznej reguluje nie tylko komunikację za pośrednictwem (klasycznej) telefonii głosowej, wiadomości tekstowych (SMS) i poczty elektronicznej, ale także komunikację za pośrednictwem telefonii VoIP, usług komunikatorów i internetowych usług poczty elektronicznej. Dotyczy to również coraz ważniejszej komunikacji między maszynami (słowo kluczowe "Internet rzeczy").

EPVO zwraca szczególną uwagę na to, w jaki sposób informacje są przechowywane lub wysyłane, żądane lub przetwarzane przez urządzenia końcowe użytkowników (np. komputery i smartfony). Dzieje się tak, ponieważ wrażliwe dane osobowe (np. wiadomości e-mail, zdjęcia, dane kontaktowe i lokalizacyjne) są praktycznie zawsze przechowywane na tych urządzeniach końcowych. Dlatego urządzenia użytkowników końcowych powinny być chronione przed narzędziami śledzącymi, które są wykorzystywane do potajemnego obserwowania ich działań bez ich wiedzy (np. pliki cookie, odciski palców przeglądarki i podobne technologie służące do śledzenia zachowania użytkownika).

4. kiedy wchodzi w życie rozporządzenie o prywatności i łączności elektronicznej?

Pierwotnie zakładano, że rozporządzenie o prywatności i łączności elektronicznej wejdzie w życie w tym samym czasie co RODO . Komisja Europejska już na początku stycznia 2017 r. opublikowała swój projekt rozporządzenia ePrivacy. Ponieważ jednak w proces legislacyjny muszą być zaangażowane również Parlament Europejski i Rada Unii Europejskiej, liczne przepisy rozporządzenia o e-prywatności są obecnie nadal przedmiotem dyskusji politycznych. Ze względu na złożoność procesu legislacyjnego nie przewiduje się, by rozporządzenie o prywatności i łączności elektronicznej weszło w życie przed końcem 2019 r. Ponadto prawdopodobnie będzie istniał okres przejściowy, podobny do tego, który obowiązuje na stronie RODO , do czasu faktycznego zastosowania rozporządzenia o prywatności i łączności elektronicznej.

II. Sytuacja prawna w zakresie stosowania narzędzi śledzenia

1. Czym są narzędzia do śledzenia?

Narzędzia trackingowe mają na celu umożliwienie zrozumienia zachowań użytkowników Internetu: Jak często dana strona jest odwiedzana przez konkretnego użytkownika lub z jakiego komunikatora korzysta (jeśli "analizowane" jest zachowanie konkretnego użytkownika, to nie jest to już narzędzie do czystej analityki i statystyki, ale narzędzie do śledzenia)? Jaka jest treść wysyłanych wiadomości? Jakie artykuły są wyszukiwane i zamawiane w sklepie internetowym? Do jakich kont w mediach społecznościowych są zalogowani ludzie? Czy kliknięto na linkowany artykuł i dokonano zakupu (marketing afiliacyjny)?

Dane są zbierane nie tylko podczas odwiedzania strony internetowej lub korzystania z usługi, ale często długo po tym. Dzieje się tak, ponieważ pliki cookie, piksele zliczające itp. ustawione na urządzeniu końcowym zazwyczaj nie są usuwane po zakończeniu korzystania z usługi. Często pozostają one na urządzeniu użytkownika przez kilka miesięcy i nadal wysyłają dane bez wiedzy użytkownika.

W wielu przypadkach zebrane w ten sposób dane są nie tylko gromadzone i przetwarzane przez samego usługodawcę, ale często są również przekazywane osobom trzecim.

W wyniku tego powstaje duża liczba profili użytkowników, o czym użytkownik nie wie.

2. Gdzie obecnie uregulowane jest stosowanie narzędzi śledzących?

Uwaga wstępna: Ta część jest z konieczności sformułowana nieco prawniczo. Jeśli nie interesują Cię te subtelności, możesz bez problemu kontynuować lekturę w punkcie 3.

W Niemczech wymogi dotyczące elektronicznych usług informacyjnych i komunikacyjnych są określone w Ustawa o telemediach (TMG) uregulowane. Ustawa o telemediach weszła w życie w 2007 roku i została ostatnio znowelizowana we wrześniu 2017 roku. Znowelizowana w 2009 r. dyrektywa o prywatności i łączności elektronicznej, która w art. 5 ust. 3 reguluje przechowywanie i dostęp do informacji przechowywanych w urządzeniu końcowym użytkownika, nie została jednak formalnie transponowana do prawa niemieckiego. W tym kontekście rząd federalny nie uznał tego za konieczne ze względu na uregulowania zawarte już w § 15 ust. 3 TMG. Przepisy dotyczące ochrony danych zawarte w ustawie o telemediach (§ 4; § 11 i nast. TMG), które regulują obowiązki dostawców usług, również nie zostały dostosowane do RODO .

W związku z tym nie ma zastosowania norma kolizyjna z art. 95 RODO, która reguluje związek między RODO a dyrektywą o prywatności i łączności elektronicznej. Ponieważ bezpośrednie stosowanie dyrektywy o prywatności i łączności elektronicznej również nie wchodzi w rachubę (w przeciwieństwie do rozporządzeń europejskich, dyrektywy europejskie nie są stosowane bezpośrednio i natychmiastowo), należy pierwszeństwo stosowania RODO.

Oznacza to, że od momentu obowiązywania strony RODO, tj. od 25 maja 2018 r., podstawą prawną przetwarzania danych osobowych przez dostawców usług jest wyłącznie art. 6 ust. 1 RODO ; od tego momentu nie obowiązują już odpowiednie przepisy ustawy o telemediach.

Oczekuje się, że zmieni się to dopiero wraz z wejściem w życie rozporządzenia o prywatności i łączności elektronicznej: W obecnym stanie prawnym przepisy EPVO będą miały pierwszeństwo przed odpowiednimi przepisami RODO , pod warunkiem, że będą one miały ten sam cel.

3. Jaka jest obecna sytuacja prawna w zakresie stosowania narzędzi śledzenia?

Aktualną podstawą prawną do korzystania z narzędzi śledzących jest art. 6 (1) RODO. Oznacza to, że narzędzia śledzące mogą być stosowane zasadniczo tylko wtedy, gdy

  • przetwarzanie jest niezbędne do ochrony uzasadnione interesy administratora lub osoby trzeciej, z wyjątkiem przypadku, gdy nadrzędny charakter wobec takich interesów mają interesy lub podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych, w szczególności gdy podmiot danych jest dzieckiem (art. 6 ust. 1 akapit pierwszy lit. f) RODO)

czy

  • osoba, której dane dotyczą, wyraża zgodę na zgoda na przetwarzanie dotyczących jej danych osobowych do jednego lub większej liczby konkretnych celów (art. 6 ust. 1 akapit pierwszy lit. a) RODO).

>> Szczegóły dotyczące prawnie uzasadnionych interesów dostawcy usług

Jeżeli usługodawca posiada nadrzędny uzasadniony interes w przypadku stosowania narzędzi śledzących zgoda użytkownika nie jest wymagana.

Na przykład na stronie internetowej pole wyboru byłoby wtedy zbędne. Operator strony internetowej musiałby jedynie poinformować o stosowanych narzędziach śledzenia w polityce prywatności.

Uzasadnione interesy usługodawcy mogą być rzeczywiste, ekonomiczne i niematerialne.

Często, oczywiście, będzie to interesy gospodarcze są zaangażowane. Może to być na przykład zapisywanie koszyka klienta w sklepie internetowym lub integracja czcionek internetowych, usług mapowych i mediów społecznościowychPlugins na stronie internetowej. Za uzasadnione interesy uznaje się również narzędzia do analizy i statystyki stron internetowych, które dotyczą osób odwiedzających stronę, lub korzystanie z trackerów reklamowych.

Jeżeli przetwarzanie danych jest konieczne do zabezpieczenia tych uzasadnionych interesów, należy je zrównoważyć z interesami lub podstawowymi prawami i wolnościami użytkownika. Obejmują one ochronę przed niekorzystnymi warunkami ekonomicznymi, prawo do poszanowania życia prywatnego i komunikowania się zgodnie z art. 7 ustawy o ochronie praw człowieka i podstawowych wolności. Karta Praw Podstawowych Unii Europejskiej (CFR)podstawowe prawo do ochrony danych zgodnie z art. 8 KPP oraz prawo do samostanowienia informacyjnego.

Przy rozważaniu poszczególnych interesów podstawowe znaczenie mają skutki planowanego przetwarzania danych i jego podatność na nadużycia. Ponadto należy wziąć pod uwagę m.in, jakie racjonalne oczekiwania ma użytkownik w stosunku do usługi oraz czy może on w sposób rozsądny przewidzieć, że może nastąpić zamierzone przetwarzanie danych.

W poszczególnych przypadkach trudno jest czasami rozstrzygnąć, czy przeważają uzasadnione interesy usługodawcy (lub osoby trzeciej), czy też interesy użytkownika.

Należy zauważyć, że usługodawca musi udowodnić, że przeważają jego uzasadnione interesy. Jeżeli w przypadku sporu nie można przedstawić takiego dowodu, oznacza to, że gromadzenie danych było niezgodne z prawem, a usługodawca musi liczyć się z grzywną.

Wyważenie interesów powinno być zatem zrozumiałe dla organów nadzoru zrozumiały oraz dobrze udokumentowany być dobrze udokumentowane.

>> Szczegóły dotyczące zgody użytkownika

Jeżeli usługodawca nie może oprzeć integracji narzędzia śledzącego na uzasadnionym interesie, zgoda użytkownika jest obowiązkowa.

Warunki skutecznego wyrażenia zgody są określone w art. 7 RODO . Są to:

  • Zrozumiała forma;
  • jasny i prosty język;
  • Odrębność od innych faktów;
  • wcześniejsze odwołanie do prawa do odstąpienia od umowy w dowolnym momencie;
  • w odniesieniu do zakazu sprzedaży wiązanej (tj. że usługa nie może być uzależniona od udzielenia zgody na przetwarzanie danych osobowych, które nie jest związane z usługą).

Zgoda może być również wyrażona w sposób dorozumiany, tj. przez czynność konkludentną. Jednakże w przypadku przetwarzania szczególnych kategorii danych osobowych zawsze wymagana jest wyraźna zgoda (zob. art. 9 ust. 2 lit. a) RODO).

Należy również zauważyć, że zgoda może zostać wycofana w dowolnym momencie. Dlatego też przetwarzanie danych musi zostać wstrzymane od momentu wycofania zgody przez osobę, której dane dotyczą.

Obecnie zgodę na umieszczanie plików cookie i podobnych technologii na stronach internetowych uzyskuje się zazwyczaj poprzez tzw. "checkbox", w którym użytkownik musi aktywnie zaznaczyć odpowiednie pole (opt-in).

O ile nie są ustawione tylko technicznie niezbędne pliki cookie, wystarczy krótka informacja w tak zwanym "banerze plików cookie", która jest następnie potwierdzana tylko przez kliknięcie przycisku "OK", nie jest wystarczające.

W każdym przypadku użytkownicy muszą zostać poinformowani o stosowanych narzędziach śledzenia w polityce prywatności.

4. Jaka jest prawdopodobna sytuacja prawna dotycząca stosowania narzędzi do śledzenia?

Projekt rozporządzenia o prywatności i łączności elektronicznej opublikowany przez Komisję Europejską na początku stycznia 2017 r. projekt rozporządzenia o e-prywatności jest obecnie nadal przedmiotem dyskusji politycznej. Są na ten temat opinie m.in. Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danychpoprawki Parlamentu Europejskiego i dokumenty do dyskusji Rady Unii Europejskiej.

Nie wiadomo zatem, jak dokładnie będzie brzmiało rozporządzenie o e-prywatności.

Jednakże w świetle trwających ostatnio "skandali związanych z danymi", w szczególności zwolennicy ochrony danych prowadzą coraz intensywniejsze kampanie na rzecz tego, by EPVO nie odbiegało od obecnego poziomu ochrony zapewnianego przez dyrektywę o prywatności i łączności elektronicznej oraz RODO .

Na przykład, Europejska Rada Ochrony Danych w pracy opublikowanej w maju 2018 r. Europejska Rada Ochrony Danych stwierdziła, że poufność komunikacji elektronicznej wymaga szczególnej ochrony, która musi wykraczać poza RODO . W związku z tym uzasadnione interesy usługodawcy nie powinny w przyszłości stanowić podstawy prawnej do przetwarzania treści i metadanych łączności elektronicznej.

Gdyby ten pogląd miał przeważyć, narzędzia do śledzenia można by stosować wyłącznie za uprzednią zgodą użytkownika (np. za pomocą pola wyboru).

III. dlaczego rozporządzenie w sprawie e-prywatności jest dobrym rozwiązaniem

Wbrew wszelkim przepowiedniom zagłady, EPVO jest rozsądnym i od dawna spóźnionym rozporządzeniem. W końcu nie należy tak po prostu akceptować całkowitego monitorowania zachowań użytkowników, które jest obecnie technicznie możliwe.

Dlatego dobrze się stało, że operatorzy stron internetowych i dostawcy usług muszą z wyprzedzeniem dostarczać jasnych i przejrzystych informacji o tym, jakie dane są gromadzone podczas odwiedzania strony internetowej lub korzystania z usługi oraz komu i w jakim celu są one przekazywane. Tylko w ten sposób odwiedzający stronę i użytkownicy mogą zdecydować, czy odwiedzenie strony lub skorzystanie z usługi jest rzeczywiście warte ujawnienia ich danych.

Jednak jako operator strony internetowej nie musisz chować głowy w piasek. W trybie natychmiastowym należy sprawdzić, czy wszystkie usługi zintegrowane na stronie internetowej można oprzeć na uzasadnionym interesie lub zgodzie użytkownika. Jeśli nie, należy uzyskać brakujące zgody użytkowników. Ponadto, powinieneś przede wszystkim w przejrzysty sposób wyjaśnić swoje działania w zakresie śledzenia w polityce prywatności.

Jak tylko znany będzie ostateczny tekst rozporządzenia o prywatności i łączności elektronicznej, należy sprawdzić, czy, a jeśli tak, to od kiedy trzeba uzyskać dodatkowe zgody. Aby zapewnić sobie możliwość wdrożenia tego i wszystkich innych wymaganych elementów w wolnej chwili, warto być na bieżąco z rozporządzeniem o prywatności i łączności elektronicznej.

Contributed image: Scott Webb [Pexels]

Mario Steinberg jest prawnikiem i specjalistą w zakresie prawa administracyjnego w kancelarii prawa handlowego LIEB.Rechtsanwälte. Jego praca koncentruje się na prawie ochrony danych osobowych, prawie bezpieczeństwa IT oraz prawie IT.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.