Rozporządzenie ePrivacy- przewodnik

Analysis

Rozporządzenie ePrivacy

Większa ochrona użytkowników urządzeń końcowych (komputerów, telefonów, smartfonów, czy tabletów) przed nadmierną ingerencją w sferę ich prywatności.

Alert prawny 2/2018 | 13 marca 2018 r.

Komisja Europejska przygotowała propozycję nowego rozporządzenia ePrivacy (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej), które ma zastąpić obowiązującą obecnie dyrektywę 2002/58/WE.

Celem rozporządzenia ePrivacy jest wzmocnienie ochrony użytkowników tzw. urządzeń końcowych, czyli w szczególności komputerów, telefonów, smartfonów, czy tabletów przed nadmierną ingerencją w sferę ich prywatności.

Dostawcy usług łączności (np. dostawcy internetu, czy dostawcy telekomunikacyjni), a także inne podmioty coraz częściej wykorzystują dane pozyskane z urządzeń końcowych, takie jak dane o historii przeglądarki, ruchu na stronach internetowych lub dane naszej lokalizacji w celu świadczenia dodatkowych usług i w celach marketingowych. Użytkownicy takich urządzeń powinni być zatem chronieni i mieć kontrolę nad swoimi danymi.

Rozporządzenie ePrivacy ma być komplementarne do RODO, a jednocześnie stanowi wobec niego regulację szczególną, w przypadku gdy dane pozyskiwane w związku ze świadczeniem usług łączności są danymi osobowymi.

Co istotne, rozporządzenie chroni nie tylko prywatność osób fizycznych (jak w przypadku RODO), ale jego przepisy stosuje się również do osób prawnych.

KE zdała sobie sprawę, że dotychczasowe ramy prawne nie są wystarczające ze względu na rozwój technologii, stąd proponowane zmiany w prawie, w szczególności:

  • zwiększenie wymogów co do pozyskiwania zgody użytkownika końcowego na wykorzystywanie informacji o jego urządzeniu lub informacji znajdujących się na urządzeniu (np. w zakresie zgód na gromadzenie informacji za pomocą plików cookies), także w przypadku wykorzystywania ich w celu marketingu;
  • podniesienie poziomu przejrzystości w odniesieniu do plików cookies;
  • skorelowanie przepisów ePrivacy z przepisami RODO;
  • objęcie ochroną również metadanych, takich jak informacje o lokalizacji, długości rozmowy, odwiedzanych stronach www;
  • obowiązek wyświetlania numeru (lub specjalnego prefiksu) w przypadku marketingu telefonicznego;
  • wprowadzenie kar administracyjnych za naruszenie przepisów rozporządzenia do 20 mln EUR lub do 4% rocznego obrotu.

Na kogo wpłynie nowa regulacja:

  • podmioty zbierające i wykorzystujące informacje o urządzenia końcowych (telefonach, laptopach) w celach marketingowych; przykładem może być wykorzystywanie informacji z plików cookies lub informacji o lokalizacji w celach marketingowych;
  • podmioty kierujące marketing z wykorzystaniem e-mail lub telefonu (zarówno do osób fizycznych, jak i do osób prawnych);
  • podmioty świadczące usługi łączności elektronicznej (dostawcy Internetu, podmioty w branży telekomunikacyjnej);
  • dostawcy oprogramowania umożliwiającego łączność elektroniczną.

Poniżej przedstawiamy główne założenia projektu rozporządzenia ePrivacy.

Zakres informacji objętych ochroną

  • Rozporządzenie obejmuje ochroną (np. obowiązkiem zachowania poufności) dane pochodzące z usług łączności elektronicznej. Chodzi nie tylko informacje pozyskiwane w związku ze świadczeniem tradycyjnych usług łączności, ale też informacje pozyskiwane w związku z nowymi, opartymi na Internecie usługami umożliwiającymi komunikację jak np. usługi telefonii internetowej (VoIP), komunikatory internetowe, usługi poczty elektronicznej przez internet (tzw. usługi OTT, Over-the-Top communications services).
  • Za dane pochodzące z łączności elektronicznej uznaje się wszelkie informacje dotyczące przesyłanych lub przekazywanych treści (treści łączności elektronicznej) oraz informacje dotyczące użytkowników końcowych, w tym dane służące do śledzenia i zidentyfikowania źródła i miejsca docelowego łączności, lokalizacji, daty i godziny oraz rodzaju łączności.
  • Ochroną objęto również metadane, jako mogące ujawniać pośrednio szczególnie chronione informacje, takiej jak zwyczaje, codzienne aktywności, relacje towarzyskie. Do metadanych zalicza się m.in. wybierane numery, odwiedzane strony internetowe, lokalizację, godzinę, datę i czas trwania połączenia.
  • Rozporządzenie dotyczy danych w zakresie w jakim sieci łączności są udostępniane nieokreślonej grupie użytkowników (np. publiczne hot spoty). Nie ma ono natomiast zastosowania do sieci firmowych, dostępnych dla użytkowników wyłącznie jednej organizacji.
  • Rozporządzenie ma również zastosowanie do komunikatów przesyłanych w trybie maszyna-maszyna, jeśli dochodzi do przekazywania sygnału w ramach sieci. Ma to w szczególności zastosowanie do rozwiązań opartych na internecie rzeczy (Internet of Things, IoT). Unijny prawodawca dopuszcza możliwość szczególnego uregulowania odpowiednich środków bezpieczeństwa w tym zakresie w odrębnych aktach prawnych.
     

Relacja do RODO

  • Przepisy rozporządzenia ePrivacy stanowią przepisy szczegółowe (lex specialis) względem RODO w odniesieniu do danych pochodzących z łączności elektronicznej, które można zakwalifikować jako dane osobowe.
  • We wszystkich kwestiach danych osobowych, które nie zostały uregulowane wprost w rozporządzeniu ePrivacy, stosuje się RODO.
  • Rozporządzenie ePrivacy nakazuje stosowanie gwarancji wynikających z RODO również do danych osób prawnych. W szczególności należy tu mieć na uwadze obowiązek wdrożenia odpowiednich środków bezpieczeństwa danych, a także warunki pozyskiwania zgody określone w RODO.
  • Obowiązek przeprowadzenia oceny skutków dla bezpieczeństwa danych (data privacy impact assessment), jeśli przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw i wolności użytkowników urządzeń końcowych (w szczególności w przypadku przetwarzania metadanych). W niektórych przepadkach konieczne będą konsultacje z organem nadzoru.

Retencja danych

  • Stosowane przepisy RODO w stosunku do danych osobowych.


Zgody użytkowników i obowiązki informacyjne

  • Wszystkie dane pochodzące z łączności (zgodnie z opisem powyżej) traktowane są jako poufne. Przechwytywanie danych, tj. w szczególności słuchanie, czytanie, skanowanie, czy przechowywanie danych, a także monitorowanie odwiedzanych stron, interakcji z innymi użytkownikami, jest zasadniczo zakazane.
  • Na przetwarzanie takich danych np. dla celów marketingowych, należy uzyskać uprzednią zgodę użytkownika. Zgoda taka powinna spełniać warunki określone w RODO, czyli w szczególności być dobrowolna, świadoma i jednoznaczna.
  • Również dostęp do informacji przechowywanych na urządzeniu końcowym (np. listy kontaktów, zdjęć przechowywanych w telefonie) może następować wyłącznie za zgodą użytkownika oraz w konkretnych i przejrzystych celach.
  • Bez uzyskiwania zgody użytkownika dane pochodzące z łączności mogą być przetwarzane np. w celu zapewnienia bezpieczeństwa i ciągłości, a także odpowiedniej jakości usług łączności elektronicznej oraz jeśli jest to konieczne do świadczenia usługi społeczeństwa informacyjnego na żądanie użytkownika.
  • Centralizacja zgody w oprogramowaniu (poprzez odpowiednie ustawienia przeglądarki) – wzmocnienie kontroli użytkowników nad swoimi danymi.
  • Jednak przepisy dopuszczają możliwość uzyskania przez operatora strony internetowej od użytkownika indywidualnej zgody np. na wykorzystywanie cookies w celach reklamowych, również jeśli użytkownik wybrał w przeglądarce ogólną opcję „odrzuć pliki cookie osoby trzeciej”.
  • Przed instalacją oprogramowania należy przedstawić użytkownikowi dostępne opcje prywatności i poprosić o dokonanie wyboru.
  • W przypadku uzyskiwania zgody za pomocą ustawień przeglądarki internetowej, konieczne będzie wyraźne działanie ze strony użytkownika (konkretna zgoda) np. na przechowywanie plików cookie podmiotów trzecich.
  • Obowiązek informowania użytkowników o ustawieniach prywatności oprogramowania, tj. o różnych możliwych stopniach prywatności i o konsekwencjach wyboru określonych ustawień.
  • Przed uzyskaniem zgody należy spełnić obowiązki informacyjne względem użytkownika, w szczególności poinformować go w sposób jasny i zrozumiały o celach przetwarzania danych i sposobie wykorzystania danych (np. o kompilowaniu danych z historii przetwarzania i wykorzystywaniu ich do wysyłania reklam ukierunkowanych).


Marketing bezpośredni

  • Marketing bezpośredni to wszelkie form reklamy, w ramach których osoba fizyczna lub prawna wysyła materiały do celów marketingu bezpośredniego, kierując je bezpośrednio do jednego zidentyfikowanego użytkownika końcowego lub większej liczby zidentyfikowanych użytkowników końcowych lub do możliwych do zidentyfikowania użytkowników końcowych przy użyciu usług łączności elektronicznej.
  • Przed wysłaniem treści marketingowej na urządzenie końcowe użytkownika (np. sms, automatyczne systemy wywołujące, e-mail) należy uzyskać zgodę użytkownika.
  • Należy umożliwić łatwe wycofanie zgody na kierowanie treści marketingowych.
  • Jeżeli podmiot kieruje treści marketingowe do istniejącego klienta, wykorzystując jego adres e-mail, zasadniczo nie ma konieczności pozyskania zgody na takie działanie.
  • Państwa członkowskie UE mogą skorzystać z opcji narodowej i wyłączyć obowiązek pozyskiwania zgody na marketing telefoniczny, w postaci innej niż z wykorzystaniem automatycznych systemów wywołujących. Użytkownik nadal będzie mógł wyrazić sprzeciw wobec otrzymywania takich treści.
  • Komunikaty marketingowe powinny być wyraźnie oznaczone i powinny wskazywać tożsamość przesyłającego lub osoby, w imieniu której są przesyłane.


Nadzór

  • Organem nadzoru w kwestiach dotyczących rozporządzenia ePrivacy ma być organ właściwy w sprawach ochrony danych osobowych.


Kary administracyjne

  • Za naruszenie przepisów rozporządzenia organ nadzoru może nakładać kary. Maksymalna wysokość kary za niektóre z naruszeń może osiągnąć 20 mln euro lub 4% rocznego obrotu.

Subskrybuj "Alerty prawne"

Otrzymuj powiadomienia na e-mail o nowych Alertach prawnych Deloitte Legal

Did you find this useful?