Regulacje dotyczące e-prywatności: Co tak naprawdę zmierza w twoim kierunku?

8 Min.
Przepisy o e-prywatności: To nadchodzi twoja droga
Ostatnio zaktualizowany na

Chociaż oczekuje się, że "rozporządzenie o prywatności i łączności elektronicznej" (rozporządzenie o prywatności i łączności elektronicznej) zostanie przyjęte dopiero w 2020 r., to już teraz rzuca ono cień. W tym artykule chciałabym przedstawić Państwu przegląd tego, czym jest rozporządzenie o prywatności i łączności elektronicznej, jak wygląda obecna sytuacja prawna w zakresie korzystania z narzędzi śledzenia i jak może się ona zmienić w ramach EPVO. Na koniec pokrótce wyjaśnię, dlaczego nowe rozporządzenie jest moim zdaniem ważne. Ale nie panikuj: Tak jak, wbrew wszelkim przewidywaniom, świat wciąż jest w trakcie RODO W dniu 25.05.2018 r. nie należy się tego również spodziewać w odniesieniu do ważności rozporządzenia o e-prywatności.

I. Rozporządzenie o prywatności i łączności elektronicznej (E-Privacy Regulation)

1. Co to jest rozporządzenie o e-prywatności?

Rozporządzenie o prywatności i łączności elektronicznej (EPVO) jest rozporządzeniem, które jest obecnie przedmiotem dyskusji na szczeblu europejskim. Projekt rozporządzenia Komisji Europejskiejktóra zastępuje dyrektywę o e-prywatności obowiązującą od 2002 roku (Dyrektywa 2002/58/WEostatnio zmieniona przez Dyrektywa 2009/136/WEDyrektywa o prywatności i łączności elektronicznej) i dostosować je do aktualnego stanu techniki (np. tzw. usługi typu over-the-top, czyli usługi łączności oparte na IP, nie są obecnie objęte dyrektywą o prywatności i łączności elektronicznej).

Jako rozporządzenie europejskie, EPVO będzie miało bezpośrednie i natychmiastowe zastosowanie w całej Unii Europejskiej. W przeciwieństwie do dyrektywy o e-prywatności, nie będzie ona zależała od wdrożenia do prawa krajowego przez poszczególne państwa członkowskie. Nawiasem mówiąc, to wdrożenie dyrektywy o e-prywatności do prawa krajowego nigdy nie miało miejsca w Niemczech, jeśli chodzi o część dotyczącą ochrony danych istotnych dla operatorów stron internetowych.

2. Jaki jest cel rozporządzenia o e-prywatności?

Rozporządzenie o e-prywatności ma na celu ochronę poufności komunikacji oraz poufności i integralności urządzeń końcowych użytkowników.

Mówiąc prościej, użytkownicy powinni być chronieni przed szpiegowaniem bez ich wiedzy, gdy odwiedzają stronę internetową lub korzystają z poczty elektronicznej lub usług posłańców.

W odróżnieniu od nich RODOchronione są nie tylko osoby fizyczne (osoby fizyczne), ale również osoby prawne (spółki i stowarzyszenia). Rozporządzenie o prywatności i łączności elektronicznej wyjaśnia i uzupełnia przepisy RODOdotyczące danych w zakresie łączności elektronicznej, które są danymi osobowymi.

3. Co reguluje rozporządzenie o e-prywatności?

Rozporządzenie o prywatności elektronicznej reguluje nie tylko komunikację za pośrednictwem (klasycznej) telefonii głosowej, wiadomości tekstowych (SMS) i poczty elektronicznej, ale także komunikację za pośrednictwem telefonii VoIP, usług kurierskich i internetowych usług poczty elektronicznej. Dotyczy to również coraz ważniejszej komunikacji maszyna-maszyna (słowo kluczowe "Internet przedmiotów").

EPVO zwraca szczególną uwagę na sposób, w jaki informacje są przechowywane lub wysyłane, wymagane lub przetwarzane przez urządzenia końcowe użytkowników (np. komputery i smartfony). Dzieje się tak, ponieważ poufne dane osobowe są praktycznie zawsze przechowywane na tych urządzeniach końcowych (np. e-maile i wiadomości, zdjęcia, dane kontaktowe i lokalizacyjne). Użytkownicy urządzeń końcowych powinni być zatem chronieni przed korzystaniem z narzędzi do śledzenia, aby potajemnie obserwować ich działania bez ich wiedzy (np. pliki cookie, pobieranie odcisków palców z przeglądarki i podobne technologie do śledzenia zachowań użytkowników).

4. kiedy rozporządzenie o e-prywatności wejdzie w życie?

Pierwotnie przewidywano, że rozporządzenie o e-prywatności wejdzie w życie w tym samym czasie co RODOrozporządzenie. Dlatego też Komisja Europejska opublikowała swój projekt EPVO już na początku stycznia 2017 roku. Ponieważ jednak Parlament Europejski i Rada Unii Europejskiej również muszą być zaangażowane w proces legislacyjny, wiele przepisów rozporządzenia o prywatności i łączności elektronicznej jest nadal przedmiotem dyskusji politycznej. Ze względu na złożoność procedury ustawodawczej nie oczekuje się, że rozporządzenie o e-prywatności wejdzie w życie przed końcem 2019 roku. Ponadto prawdopodobnie będzie obowiązywał okres przejściowy podobny do tego, który obowiązuje w RODOobecnym rozporządzeniu, do czasu faktycznego wejścia w życie rozporządzenia o prywatności i łączności elektronicznej.

Skrzynki pocztowe RAIDBOXES

II. sytuacja prawna w zakresie stosowania narzędzi śledzenia przesyłek

1. Co to są narzędzia do śledzenia?

Narzędzia do śledzenia służą do śledzenia zachowań użytkowników Internetu: Jak często wykorzystywana jest strona internetowa odwiedzana przez konkretnego użytkownika lub usługa komunikatora (jeśli zachowanie konkretnego użytkownika jest "analizowane", nie jest to już czyste narzędzie analityczne i statystyczne, ale narzędzie śledzenia)? Jaką treść mają wysyłane wiadomości? Jakie artykuły są wyszukiwane i zamawiane w sklepie internetowym? Na jakie konta w mediach społecznościowych jesteś zalogowany? Czy linkowany artykuł jest kliknięty i kupiony (affiliate marketing)?

Dane są zbierane nie tylko podczas odwiedzania strony internetowej lub korzystania z serwisu, ale często przez długi czas po tym czasie. Dzieje się tak dlatego, że ustawione na urządzeniu końcowym ciasteczka, zliczanie pikseli itp. zwykle nie są usuwane po zakończeniu usługi. Często pozostają one na urządzeniu końcowym użytkownika przez kilka miesięcy i nadal wysyłają dane, nie wiedząc o tym użytkownika.

W wielu przypadkach gromadzone w ten sposób dane są nie tylko gromadzone i przetwarzane przez samego usługodawcę, ale często są również przekazywane osobom trzecim.

Konsekwencją tego jest tworzenie dużej liczby profili użytkownika bez jego wiedzy.

2. Gdzie reguluje się obecnie stosowanie narzędzi śledzenia?

Uwaga wstępna: Ta część jest z konieczności w pewnym sensie sformułowana prawnie. Jeśli nie interesują Cię te subtelności, możesz bez problemu czytać dalej pod adresem 3.

W Niemczech wymogi dotyczące elektronicznych usług informacyjnych i komunikacyjnych są określone w Niemiecka Ustawa o Telemediach (TMG) uregulowane. Ustawa o telemediach weszła w życie w 2007 r. i została ostatnio zmieniona we wrześniu 2017 roku. Jednak dyrektywa o prywatności i łączności elektronicznej, zmieniona w 2009 roku i regulująca w art. 5 ust. 3 przechowywanie i dostęp do informacji przechowywanych w urządzeniu końcowym użytkownika, nie została formalnie transponowana do prawa niemieckiego. W związku z tym rząd federalny nie uznał tego za konieczne na podstawie przepisów zawartych już w sekcji 15 ust. 3 TMG. Nie RODOdostosowano do tego również przepisów o ochronie danych osobowych zawartych w ustawie o telemediach (§ 4; § 11 i nast. niemieckiej ustawy o telemediach), które regulują obowiązki dostawców usług.

W związku z tym nie ma zastosowania norma kolizyjna z art. 95RODO, która reguluje związek między dyrektywą o e-prywatności RODOa dyrektywą. Ponieważ bezpośrednie stosowanie dyrektywy o prywatności i łączności elektronicznej również nie wchodzi w grę (dyrektywy europejskie, w przeciwieństwie do rozporządzeń europejskich, nie są bezpośrednio i natychmiastowo stosowane), to Pierwszeństwo stosowania RODO.

Oznacza to, że od momentu wejścia w życie ustawy o RODOtelemediach, tj. od dnia 25 maja 2018 r., podstawą prawną przetwarzania danych osobowych przez dostawców usług jest wyłącznie art. 6 ust. 1RODO; odpowiednie przepisy ustawy o telemediach nie mają już zastosowania.

Prawdopodobnie nie zmieni się to do czasu wejścia w życie rozporządzenia o prywatności i łączności elektronicznej: W obecnym stanie rzeczy przepisy EPVO będą miały RODOpierwszeństwo przed odpowiednimi przepisami rozporządzenia, pod warunkiem że będą one służyły temu samemu celowi.

3. Jaka jest aktualna sytuacja prawna w zakresie stosowania narzędzi śledzenia?

Obecną podstawą prawną dla stosowania narzędzi śledzenia ruchu jest art. 6 ust. 1 RODO. Oznacza to, że narzędzia śledzące mogą być normalnie używane tylko wtedy, gdy

  • przetwarzanie w celu konserwacji słuszne interesy administratora lub osoby trzeciej, z wyjątkiem przypadków, gdy nadrzędne są takie interesy lub podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko (art. 6 ust. 1 akapit pierwszy lit. fRODO))

lub

  • osoba zainteresowana przekazuje swoje Zgoda do przetwarzania odnoszących się do niej danych osobowych w jednym lub kilku określonych celach (art. 6 ust. 1 akapit pierwszy lit. aRODO)).

>> Szczegóły dotyczące uzasadnionych interesów dostawcy usług

W przypadku gdy usługodawca przeważające uzasadnione interesy na użycie narzędzi śledzących, nie jest wymagana zgoda użytkownika.

Na stronie internetowej, na przykład, pole wyboru byłoby wtedy zbędne. Operator strony internetowej musiałby jedynie poinformować o narzędziach śledzenia użytych w oświadczeniu o ochronie danych.

Uzasadnione interesy dostawcy usług mogą być rzeczywiste, ekonomiczne i niematerialne.

Często, oczywiście, będzie to interesy handlowe Handel. Mogą one na przykład polegać na przechowywaniu koszyka klienta w sklepie internetowym lub integracji czcionek internetowych, usług kartowych i mediówPlugins społecznościowych na stronie internetowej. Ale również analizy internetowe i narzędzia statystyczne dotyczące odwiedzających witrynę lub korzystania z trackerów reklamowych należy uznać za uzasadnione interesy.

Jeżeli odpowiednie przetwarzanie danych jest konieczne do zabezpieczenia tych uzasadnionych interesów, należy je wyważyć z interesami lub podstawowymi prawami i wolnościami użytkownika. Obejmują one ochronę przed niekorzystną sytuacją ekonomiczną, prawo do poszanowania życia prywatnego i komunikacji zgodnie z art. 7 rozporządzenia (WE) nr 45/2001. Karta praw podstawowych Unii Europejskiej (CRCh)podstawowe prawo do ochrony danych osobowych zgodnie z art. 8 GRCh oraz prawo do informacyjnego samostanowienia.

Przy rozważaniu odpowiednich interesów szczególnie ważne są skutki zamierzonego przetwarzania danych i jego podatność na nadużycia. Inne czynniki, które należy wziąć pod uwagę, obejmują jakie racjonalne oczekiwania ma użytkownik wobec usługi i czy może on racjonalnie przewidzieć, że zamierzone przetwarzanie danych będzie miało miejsce.

To, czy uzasadnione interesy dostawcy usług (lub osoby trzeciej) lub interesy użytkownika przeważają nad uzasadnionymi interesami użytkownika, jest czasami trudne do ustalenia w indywidualnych przypadkach.

Należy zauważyć, że dostawca usług musi wykazać, że jego uzasadnione interesy przeważają. Jeśli ten dowód nie powiedzie się w sporze, gromadzenie danych było nielegalne i usługodawca musi liczyć się z grzywną.

Wyważenie interesów powinno być zatem zadaniem organów nadzorczych identyfikowalny być i dobrze udokumentowany będzie.

FREE DEV Program RAIDBOXES

>> Szczegóły dotyczące zgody użytkownika

Jeżeli dostawca usług nie może oprzeć integracji narzędzia śledzącego na uzasadnionym interesie, zgoda użytkownika jest obowiązkowa.

Warunki skutecznej zgody są RODOuregulowane w art. 7. Te są:

  • Zrozumiała forma;
  • jasny i prosty język;
  • Odmienność od innych sytuacji;
  • uprzednie powiadomienie o prawie do odstąpienia od umowy w dowolnym momencie;
  • przestrzeganie zakazu sprzedaży wiązanej (tzn. że usługa nie może być uzależniona od udzielenia zgody na przetwarzanie danych osobowych niezwiązanych z usługą).

Zgoda może być również udzielona w sposób dorozumiany, tzn. w drodze działania rozstrzygającego. Wyraźna zgoda jest jednak zawsze wymagana w przypadku przetwarzania szczególnych kategorii danych osobowych (zob. art. 9 ust. 2 lit. aRODO)).

Należy również zauważyć, że zgoda może zostać cofnięta w każdej chwili. Dlatego też przetwarzanie danych musi się zakończyć z chwilą, gdy osoba, której dane dotyczą, wycofa swoją zgodę.

Obecnie zgoda na korzystanie z plików cookie i podobnych technologii na stronach internetowych jest zazwyczaj uzyskiwana za pomocą tzw. pola wyboru, które użytkownik musi aktywnie zaznaczyć (opt-in).

Jeśli ustawione są nie tylko niezbędne technicznie ciasteczka, to w tzw. "Cookie Banner" podawana jest zwięzła podpowiedź, która jest potwierdzana tylko przez kliknięcie przycisku "OK", niezadowalający.

W każdym przypadku, użytkownicy muszą być informowani w polityce prywatności o stosowanych narzędziach śledzenia.

4. Jaka jest prawdopodobna sytuacja prawna w odniesieniu do stosowania narzędzi śledzenia?

Komisja Europejska opublikowała Projekt rozporządzenia o e-prywatności jest obecnie nadal przedmiotem dyskusji politycznej. Istnieją między innymi oświadczenia Europejski Komitet Ochrony Danych i Europejski Inspektor Ochrony Danychpoprawki Parlamentu Europejskiego i dokumenty do dyskusji Rady Unii Europejskiej.

Jest zatem kwestią otwartą, jakie dokładnie sformułowania będzie miało rozporządzenie o e-prywatności.

W związku z trwającymi w ostatnim czasie "skandalami związanymi z danymi", w szczególności osoby zajmujące się ochroną danych coraz częściej prowadzą kampanie mające na celu dopilnowanie, by Biuro ds.

Europejski Komitet Ochrony Danych w dokumencie z maja 2018 r. wyraził pogląd, że poufność komunikacji elektronicznej wymaga szczególnej ochrony, która musi wykraczać poza ten RODOzakres Dlatego też uzasadnione interesy dostawcy usług nie powinny już w przyszłości stanowić podstawy prawnej dla przetwarzania treści i metadanych dotyczących łączności elektronicznej.

Jeśli ten pogląd przeważa, narzędzia do śledzenia powinny być używane tylko za uprzednią zgodą użytkownika (np. za pomocą pola wyboru).

III. Dlaczego rozporządzenie w sprawie e-prywatności jest dobrym rozwiązaniem

Wbrew wszelkim przepowiedniom o zagładzie, EPVO jest rozsądną i od dawna spóźnioną regulacją. Wszakże pełne monitorowanie naszych zachowań użytkowników, które jest obecnie technicznie możliwe, nie powinno być tak po prostu akceptowane.

Dlatego dobrze się stało, że operatorzy stron internetowych i usługodawcy muszą z wyprzedzeniem udzielać jasnych i przejrzystych informacji o tym, jakie dane są gromadzone podczas odwiedzania strony internetowej lub korzystania z usługi oraz komu i w jakim celu są one przekazywane. Tylko w ten sposób odwiedzający i użytkownicy strony internetowej mogą zdecydować, czy naprawdę warto odwiedzić stronę internetową, czy też skorzystać z serwisu, ujawniając swoje dane.

Niemniej jednak, jako operator strony internetowej nie musisz chować głowy w piasek. Jako środek natychmiastowy, najlepiej jest sprawdzić, czy możesz oprzeć wszystkie usługi zawarte na Twojej stronie internetowej na uzasadnionym interesie lub zgodzie użytkowników. Jeśli nie, należy uzyskać brakującą zgodę użytkowników. Ponadto, w polityce prywatności należy również zapewnić przejrzystość działań związanych z monitorowaniem.

Gdy tylko znany będzie ostateczny tekst rozporządzenia o prywatności i łączności elektronicznej, należy przede wszystkim sprawdzić, czy i - w razie potrzeby - od kiedy trzeba uzyskać dodatkową zgodę. Abyście mogli Państwo w spokoju i ciszy wdrożyć to i wszystko inne, co jest konieczne, warto mieć oko na rozporządzenie o prywatności i łączności elektronicznej.

Zdjęcie: Scott Webb [Pexels]

Mario Steinberg jest prawnikiem i specjalistą w zakresie prawa administracyjnego w LIEB.Rechtsanwälte. Jednym z jego głównych obszarów specjalizacji jest doradztwo w zakresie prawa ochrony danych osobowych i prawa bezpieczeństwa IT. Jest również współzałożycielem sieci konsultantów "kształtującą twoją organizację"która doradza firmom w zakresie informatyki biznesowej, zgodności z przepisami i wzornictwa prawnego.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.