Zmiana prawa o prywatności i łączności elektronicznej w UE

Rozporządzenie o prywatności i łączności elektronicznej: co Cię czeka?

Chociaż "Rozporządzenie o prywatności i łączności elektronicznej" (rozporządzenie o prywatności i łączności elektronicznej) ma zostać przyjęte dopiero pod koniec 2020 r., już teraz rzuca ono swój cień. W tym artykule chciałbym dać Ci przegląd tego, o co chodzi w rozporządzeniu o prywatności i łączności elektronicznej, jak wygląda obecna sytuacja prawna w zakresie korzystania z narzędzi śledzących i jak może się to zmienić pod wpływem EPVO. Na koniec krótko wyjaśnię, dlaczego uważam, że nowe rozporządzenie jest ważne. Ale nie panikuj: Tak jak, wbrew wszelkim przewidywaniom, świat nie zmieni się wraz z wejściem w życie RODO 25 maja 2018 r., nie należy się tego również spodziewać w przypadku obowiązywania rozporządzenia o prywatności i łączności elektronicznej.

I. Rozporządzenie o prywatności i łączności elektronicznej

1 Czym jest rozporządzenie o prywatności i łączności elektronicznej?

Rozporządzenie o prywatności i łączności elektronicznej (EPR) to projekt rozporządzenia omawiany obecnie na szczeblu europejskim przez Komisję Europejską, który ma zastąpić dyrektywę o prywatności i łączności elektronicznej(dyrektywa 2002/58/WE, ostatnio zmieniona dyrektywą 2009/136/WE; dyrektywa o prywatności i łączności elektronicznej), która obowiązuje od 2002 r., i dostosować ją do obecnego stanu wiedzy (np. tzw. usługi over-the-top, tj. usługi komunikacyjne oparte na protokole IP, nie są obecnie objęte dyrektywą o prywatności i łączności elektronicznej).

Jako rozporządzenie europejskie, RODO będzie stosowane bezpośrednio i natychmiastowo w całej Unii Europejskiej. W przeciwieństwie do dyrektywy o prywatności i łączności elektronicznej, nie będzie ona zależna od transpozycji do prawa krajowego przez poszczególne państwa członkowskie. Nawiasem mówiąc, transpozycja dyrektywy o prywatności i łączności elektronicznej do prawa krajowego nigdy nie miała miejsca w Niemczech, jeśli chodzi o część ochrony danych dotyczącą operatorów stron internetowych.

2. Jaki jest cel rozporządzenia o prywatności i łączności elektronicznej?

Rozporządzenie o prywatności i łączności elektronicznej ma na celu ochronę poufności komunikacji, a także poufności i integralności urządzeń końcowych użytkowników.

Mówiąc prościej, użytkownicy powinni być chronieni przed szpiegowaniem ich bez ich wiedzy podczas odwiedzania stron internetowych, korzystania z poczty elektronicznej czy komunikatorów.

W przeciwieństwie do RODO, ochroną objęte są nie tylko osoby fizyczne (ludzie), ale także osoby prawne (spółki i stowarzyszenia). Rozporządzenie ePrivacy precyzuje i uzupełnia RODO w odniesieniu do danych pochodzących z łączności elektronicznej, które są danymi osobowymi.

3. Co reguluje rozporządzenie o prywatności i łączności elektronicznej?

Rozporządzenie ePrivacy reguluje nie tylko komunikację za pośrednictwem (tradycyjnej) telefonii głosowej, wiadomości tekstowych (SMS) i poczty elektronicznej, ale także komunikację za pośrednictwem telefonii VoIP, komunikatorów i internetowych usług poczty elektronicznej. Ma ono również zastosowanie do komunikacji maszyna-maszyna, która staje się coraz ważniejsza (słowo kluczowe "Internet przedmiotów").

EPVO zwraca szczególną uwagę na to, w jaki sposób informacje są przechowywane lub wysyłane, żądane lub przetwarzane przez urządzenia końcowe użytkowników (np. komputery i smartfony). Wynika to z faktu, że wrażliwe dane osobowe są praktycznie zawsze przechowywane na tych urządzeniach końcowych (np. e-maile i wiadomości, obrazy, dane kontaktowe i lokalizacyjne). Użytkownicy urządzeń końcowych powinni być zatem chronieni przed narzędziami śledzącymi wykorzystywanymi do potajemnego monitorowania ich działań bez ich wiedzy (np. pliki cookie, odciski palców przeglądarki i podobne technologie do śledzenia zachowań użytkowników).

4 Kiedy wejdzie w życie rozporządzenie o prywatności i łączności elektronicznej?

Pierwotnie rozporządzenie o prywatności i łączności elektronicznej miało wejść w życie w tym samym czasie co RODO . Komisja Europejska opublikowała już projekt rozporządzenia o prywatności i łączności elektronicznej na początku stycznia 2017 roku. Ponieważ jednak Parlament Europejski i Rada Unii Europejskiej muszą być również zaangażowane w proces legislacyjny, liczne przepisy rozporządzenia o e-prywatności są obecnie nadal przedmiotem dyskusji politycznej. Ze względu na złożoność procesu legislacyjnego jest mało prawdopodobne, aby rozporządzenie o e-prywatności weszło w życie w 2019 roku. Ponadto do czasu faktycznego wejścia w życie rozporządzenia o prywatności i łączności elektronicznej prawdopodobnie będzie obowiązywał okres przejściowy, podobny do tego, który obowiązywał w przypadku strony RODO .

II Sytuacja prawna w zakresie korzystania z narzędzi śledzących

1. Czym są narzędzia do śledzenia?

Narzędzia trackingowe mają na celu umożliwienie zrozumienia zachowań użytkowników Internetu: Jak często dana strona jest odwiedzana przez konkretnego użytkownika lub z jakiego komunikatora korzysta (jeśli "analizowane" jest zachowanie konkretnego użytkownika, to nie jest to już narzędzie do czystej analityki i statystyki, ale narzędzie do śledzenia)? Jaka jest treść wysyłanych wiadomości? Jakie artykuły są wyszukiwane i zamawiane w sklepie internetowym? Do jakich kont w mediach społecznościowych są zalogowani ludzie? Czy kliknięto na linkowany artykuł i dokonano zakupu (marketing afiliacyjny)?

Dane są zbierane nie tylko podczas odwiedzania strony internetowej lub korzystania z usługi, ale często długo po tym. Dzieje się tak dlatego, że pliki cookie, piksele zliczające itp. ustawione na urządzeniu końcowym zazwyczaj nie są usuwane po zakończeniu korzystania z usługi. Często pozostają one na urządzeniu użytkownika przez kilka miesięcy i nadal wysyłają dane bez świadomości użytkownika.

W wielu przypadkach zebrane w ten sposób dane są nie tylko gromadzone i przetwarzane przez samego usługodawcę, ale często są również przekazywane osobom trzecim.

W wyniku tego powstaje duża liczba profili użytkowników, o czym użytkownik nie wie.

2. Gdzie obecnie regulowane jest korzystanie z narzędzi śledzących?

Uwaga wstępna: Ta część jest z konieczności sformułowana nieco prawniczo. Jeśli nie interesują Cię te subtelności, możesz bez problemu kontynuować lekturę w punkcie 3.

W Niemczech wymogi dotyczące elektronicznych usług informacyjnych i komunikacyjnych są uregulowane w ustawie o telemediach (TMG). Ustawa o telemediach weszła w życie w 2007 roku i została ostatnio zmieniona we wrześniu 2017 roku. Dyrektywa o prywatności i łączności elektronicznej, która została zmieniona w 2009 r. i reguluje przechowywanie i dostęp do informacji przechowywanych na urządzeniu użytkownika w art. 5 ust. 3, nie została jednak formalnie transponowana do prawa niemieckiego. Wynika to z faktu, że rząd federalny nie uznał tego za konieczne ze względu na regulacje zawarte już w sekcji 15 (3) TMG. Przepisy o ochronie danych zawarte w ustawie o telemediach (sekcja 4; sekcje 11 i następne TMG), które regulują obowiązki dostawców usług, również nie zostały dostosowane do RODO .

Konsekwencją tego jest to, że reguła kolizyjna art. 95 RODO, która reguluje relacje między RODO a dyrektywą o prywatności i łączności elektronicznej, nie ma zastosowania. Ponieważ bezpośrednie stosowanie dyrektywy o prywatności i łączności elektronicznej jest również wykluczone (w przeciwieństwie do przepisów europejskich, dyrektywy europejskie nie mają bezpośredniego i natychmiastowego zastosowania), RODO nadal ma pierwszeństwo.

Oznacza to, że od momentu obowiązywania strony RODO, tj. od 25 maja 2018 r., podstawą prawną przetwarzania danych osobowych przez dostawców usług jest wyłącznie art. 6 ust. 1 RODO ; od tego momentu nie obowiązują już odpowiednie przepisy ustawy o telemediach.

Oczekuje się, że zmieni się to dopiero wraz z wejściem w życie rozporządzenia o prywatności i łączności elektronicznej: W obecnym stanie prawnym przepisy EPVO będą miały pierwszeństwo przed odpowiednimi przepisami RODO , pod warunkiem, że będą one miały ten sam cel.

"*" wyświetla wymagane pola

Chcę otrzymywać newsletter, aby być informowanym o nowych artykułach na blogu, e-bookach, funkcjach i nowościach dotyczących WordPress. Mogę wycofać swoją zgodę w dowolnym momencie. Należy zapoznać się z naszą Polityką prywatności.
To pole służy do weryfikacji i nie powinno być zmieniane.

3. jaka jest obecna sytuacja prawna w zakresie korzystania z narzędzi śledzących?

Aktualną podstawą prawną do korzystania z narzędzi śledzących jest art. 6 (1) RODO. Oznacza to, że narzędzia śledzące mogą być stosowane zasadniczo tylko wtedy, gdy

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 akapit pierwszy lit. f) RODO)

oraz

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie dotyczących jej danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 akapit pierwszy lit. a) RODO).

>> Szczegóły dotyczące prawnie uzasadnionych interesów dostawcy usług

Jeśli usługodawca ma nadrzędny uzasadniony interes w korzystaniu z narzędzi śledzących, zgoda użytkownika nie jest wymagana.

Na przykład na stronie internetowej pole wyboru byłoby wtedy zbędne. Operator strony internetowej musiałby jedynie poinformować o stosowanych narzędziach śledzenia w polityce prywatności.

Uzasadnione interesy usługodawcy mogą być rzeczywiste, ekonomiczne i niematerialne.

Często będzie to oczywiście kwestia interesów handlowych. Mogą one obejmować na przykład zapisywanie koszyka zakupów klienta w sklepie internetowym lub integrację czcionek internetowych, usług mapowych i wtyczek mediów społecznościowych na stronie internetowej. Za uzasadnione interesy uznaje się jednak również narzędzia do analizy i statystyki odwiedzających witrynę lub korzystanie z modułów śledzących reklamy.

Jeśli odpowiednie przetwarzanie danych jest konieczne do zabezpieczenia tych uzasadnionych interesów, należy je zestawić z interesami lub podstawowymi prawami i wolnościami użytkownika. Obejmują one ochronę przed niekorzystnymi warunkami ekonomicznymi, prawo do poszanowania życia prywatnego i komunikowania się zgodnie z art. 7 Karty praw podstawowych Unii Europejskiej (KPP), podstawowe prawo do ochrony danych zgodnie z art. 8 KPP oraz prawo do samostanowienia w zakresie informacji.

Przy wyważaniu odpowiednich interesów szczególnie ważne są skutki zamierzonego przetwarzania danych i jego podatność na niewłaściwe wykorzystanie. Ponadto należy wziąć pod uwagę uzasadnione oczekiwania użytkownika dotyczące usługi oraz to, czy użytkownik może racjonalnie przewidzieć, że zamierzone przetwarzanie danych może mieć miejsce.

W poszczególnych przypadkach trudno jest czasami rozstrzygnąć, czy przeważają uzasadnione interesy usługodawcy (lub osoby trzeciej), czy też interesy użytkownika.

Należy zauważyć, że usługodawca musi udowodnić, że przeważają jego uzasadnione interesy. Jeżeli w przypadku sporu nie można przedstawić takiego dowodu, oznacza to, że gromadzenie danych było niezgodne z prawem, a usługodawca musi liczyć się z grzywną.

Wyważenie interesów powinno być zatem zrozumiałe dla organów nadzorczych i dobrze udokumentowane.

>> Szczegóły dotyczące zgody użytkownika

Jeżeli usługodawca nie może oprzeć integracji narzędzia śledzącego na uzasadnionym interesie, zgoda użytkownika jest obowiązkowa.

Warunki skutecznego wyrażenia zgody są określone w art. 7 RODO . Są to:

  • Zrozumiała forma;
  • Jasny i prosty język;
  • Odrębność od innych faktów;
  • Wcześniejsze odwołanie do prawa do odstąpienia od umowy w dowolnym momencie;
  • w odniesieniu do zakazu sprzedaży wiązanej (tj. że usługa nie może być uzależniona od udzielenia zgody na przetwarzanie danych osobowych, które nie jest związane z usługą).

Zgoda może być również wyrażona w sposób dorozumiany, tj. przez czynność konkludentną. Jednakże w przypadku przetwarzania szczególnych kategorii danych osobowych zawsze wymagana jest wyraźna zgoda (zob. art. 9 ust. 2 lit. a) RODO).

Należy również zauważyć, że zgoda może zostać wycofana w dowolnym momencie. Dlatego też przetwarzanie danych musi zostać wstrzymane od momentu wycofania zgody przez osobę, której dane dotyczą.

Obecnie zgodę na umieszczanie plików cookie i podobnych technologii na stronach internetowych uzyskuje się zazwyczaj poprzez tzw. "checkbox", w którym użytkownik musi aktywnie zaznaczyć odpowiednie pole (opt-in).

O ile nie są ustawiane tylko technicznie niezbędne pliki cookie, zwięzłe powiadomienie w tak zwanym "banerze plików cookie", które jest następnie potwierdzane przez kliknięcie przycisku "OK", nie jest wystarczające.

W każdym przypadku użytkownicy muszą zostać poinformowani o stosowanych narzędziach śledzenia w polityce prywatności.

4. Jaka jest prawdopodobna sytuacja prawna w zakresie korzystania z narzędzi śledzących?

Projekt rozporządzenia o prywatności i łączności elektronicznej opublikowany przez Komisję Europejską na początku stycznia 2017 r. jest obecnie nadal przedmiotem dyskusji politycznej. Istnieją między innymi opinie Europejskiego Komitetu Ochrony Danych i Europejskiego Inspektora Ochrony Danych, poprawki Parlamentu Europejskiego oraz dokumenty do dyskusji Rady Unii Europejskiej.

Nie wiadomo zatem, jak dokładnie będzie brzmiało rozporządzenie o e-prywatności.

Jednakże w świetle trwających ostatnio "skandali związanych z danymi", w szczególności zwolennicy ochrony danych prowadzą coraz intensywniejsze kampanie na rzecz tego, by EPVO nie odbiegało od obecnego poziomu ochrony zapewnianego przez dyrektywę o prywatności i łączności elektronicznej oraz RODO .

W dokumencie opublikowanym na stronie Mai 2018 Europejska Rada Ochrony Danych stwierdziła, że poufność komunikacji elektronicznej wymaga szczególnej ochrony, która musi wykraczać poza RODO . W związku z tym uzasadnione interesy usługodawcy nie powinny już w przyszłości stanowić podstawy prawnej przetwarzania treści i metadanych komunikacji elektronicznej.

Jeśli ten pogląd przeważy, narzędzia śledzące mogą być używane wyłącznie za uprzednią zgodą użytkownika (np. za pomocą pola wyboru).

III Dlaczego rozporządzenie o prywatności i łączności elektronicznej jest dobrym rozwiązaniem

Wbrew wszelkim przepowiedniom zagłady, EPVO jest rozsądnym i od dawna spóźnionym rozporządzeniem. W końcu nie należy tak po prostu akceptować całkowitego monitorowania zachowań użytkowników, które jest obecnie technicznie możliwe.

Dlatego dobrze się stało, że operatorzy stron internetowych i dostawcy usług muszą z wyprzedzeniem dostarczać jasnych i przejrzystych informacji o tym, jakie dane są gromadzone podczas odwiedzania strony internetowej lub korzystania z usługi oraz komu i w jakim celu są one przekazywane. Tylko w ten sposób odwiedzający stronę i użytkownicy mogą zdecydować, czy odwiedzenie strony lub skorzystanie z usługi jest rzeczywiście warte ujawnienia ich danych.

Jednak jako operator strony internetowej nie musisz teraz chować głowy w piasek. Jako środek natychmiastowy najlepiej jest sprawdzić, czy możesz oprzeć wszystkie usługi zintegrowane z Twoją witryną na uzasadnionym interesie lub zgodzie użytkownika. Jeśli nie, powinieneś uzyskać brakującą zgodę użytkownika. Ponadto powinieneś przede wszystkim w przejrzysty sposób przedstawić swoje działania związane ze śledzeniem w polityce prywatności.

Gdy tylko znany będzie ostateczny tekst rozporządzenia o prywatności i łączności elektronicznej, powinieneś sprawdzić w szczególności, czy, a jeśli tak, to od kiedy, musisz uzyskać dodatkową zgodę. Warto być na bieżąco z rozporządzeniem o prywatności i łączności elektronicznej, aby móc w spokoju wdrożyć to i wszystkie inne wymagane przepisy.

Featured image: Scott Webb [Pexels]

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.