fbTrack
REKLAMA
REKLAMA

Firma

E-privacy: nowe obowiązki dla firm zw. z bezpieczeństwem danych klientów

Fotolia
Dnia 10 stycznia 2017 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej – zwany e-Privacy. Pierwotnie zakładano, że rozporządzenie wejdzie w życie wraz z RODO dnia 25 maja 2018 r. Tak się jednak nie stało i e-Privacy, które miało stanowić o szczególnych zasadach przetwarzania danych w internecie, w tym danych osobowych, wciąż jest przedmiotem prac.

Przedstawiciele państw członkowskich nie mogą dojść do porozumienia w zasadniczych kwestiach związanych z regulacją rynku e-marketingu. Chodzi w głównej mierze o zakaz świadczenia usług w zamian za wykorzystanie danych użytkowników do celów marketingowych. Niezależnie od powyższego projekt rozporządzenia już wskazuje z jakimi obowiązkami muszą liczyć się przedsiębiorcy działający w sieci.

E-privacy – koszmar nie tylko cyfrowych gigantów

e-Privacy to określenie, które spędza sen z powiem szefom największych cyfrowych gigantów takich jak Google czy Facebook. Jednakże nie tylko oni będą mieli problem z odnalezieniem się w nowym reżimie ścisłej ochrony danych cyfrowych użytkowników z Unii Europejskiej. Rozporządzenie dotknie także setki mniejszych firm, w tym głównie z branży reklamowej, których działania na danych pozyskanych z sieci będą podlegały znacznym restrykcjom. Projekt rozporządzenia przewiduje szereg obowiązków mających na celu zapewnienie prywatności użytkowników sieci. Należy zwrócić uwagę, że nowe rozporządzenie będzie miało w przeważającym stopniu zastosowanie do osób fizycznych i prawnych, które korzystają z usług łączności elektronicznej, aby wysyłać materiały handlowe do celów marketingu bezpośredniego. W dobie powszechnego marketingu internetowego powyższe oznacza, że rozporządzeniem zostanie dotknięty w zasadzie każdy przedsiębiorca, który chce zaistnieć w sieci.

Coś więcej niż cookies

Choć rozporządzenie najbardziej kojarzy się z danymi zbieranymi z urządzenia użytkowników za pomocą plików cookies – zapewne przez wszechobecne okienka o nich informujące – to reguluje znacznie szerszy zakres danych cyfrowych. Mianowicie rozporządzenie dotyczy przetwarzania wszelkich danych pochodzących z łączności elektronicznej i pozwala na takie przetwarzanie wyłącznie w określonych przypadkach. Chodzi więc nie tylko dane takie jak historia wyszukiwania czy ustawienia przeglądarki ale także dane o lokalizacji czy dane o stanie zdrowia. To nowość w zakresie podporządkowania życia cyfrowego przepisom prawnym. Pod tym względem projekt jest pionierskim rozwiązaniem. Dotychczasowe rozwiązania prawne dotykały elektronicznej komunikacji marketingowej oraz bardzo ogólnie plików cookies. Nowe rozporządzenie ma zajmować się tematem szerzej w związku z zaistnieniem na rynku nowości technologicznych, które choć ułatwiają codzienne życie robią to kosztem rezygnacji użytkowników z prywatności.

W związku z tym, że urządzenia codziennego użytku coraz częściej korzystają z prywatnych danych użytkowników (nie raz danych wrażliwych) Komisja Europejska proponuje aby przetwarzanie takich danych było w ogóle możliwe tylko w trzech przypadkach (i) gdy jest to konieczne dla realizacji usługi łączności elektronicznej, (ii) w celu utrzymania lub przywrócenia bezpieczeństwa sieci lub usług bądź (iii) za zgodą użytkownika. Może to oznaczać koniec biznesu polegające na handlu danymi zbieranych od użytkowników wbrew ich woli. Rozporządzenie zakłada, że użytkownik będzie decydował o zasadach przetwarzania jego danych już na poziomie przeglądarki internetowej. Obecnie ochrona danych użytkowników jest w znacznym stopniu pozorna, a wyskakujące na stronach internetowych okienka z prośbą o akceptacje polityki cookies nie zachęcają do zapoznania się z treścią stanowiącą o zasadach pobierania danych użytkowników i ich dalszego udostępniania. Projekt rozporządzenia uszczegóławia także podstawy przetwarzania treści łączności elektronicznej i meta danych, jak również zasady dotyczące ich usuwania bądź anonimizacji.

Czy to koniec internetu jaki znamy?

Jak już wiemy projekt rozporządzenia zasadniczo zakazuje przetwarzana danych użytkowników poza przypadkami przewidzianymi przepisami. Powyższa kwestia natrafiła na opór przedstawicieli wielu branż działających w internecie. Trudno wyobrazić sobie rozwój powszechnych portali internetowych i aplikacji gdyby nie mogły one utrzymywać się z reklam.

Nie jest tajemnicą, że znaczna część przedsiębiorstw, którzy świadczą usługi drogą elektroniczną w szczególności tych związanych z komunikacją między użytkownikami, powstała w oparciu o model biznesowy, który zakłada „darmowy" dostęp do usług. „Darmowy" ponieważ użytkownik nie płaci żadnego abonamentu ale za to zgadza się, aby dane o jego aktywności w internecie były sprzedawane reklamodawcom. To stąd wyszukanie czegokolwiek w internecie generuje pojawiają się tematyczne reklamy na Facebooku lub stronach internetowych korzystających z reklam Google. e-Privacy pierwotnie miało ograniczyć te praktyki lub w najlepszym dla branży przypadku – pozwolić użytkownikowi zadecydować. Ostatnia wersja proponowanych przepisów odwraca jednak dotychczasowe założenia o 180 stopni.

Zmiana paradygmatu

Kwestia zakazu przetwarzania danych użytkowników bez ich zgody stała się tematem żywiołowych dyskusji w komisjach pracujących nad projektem, a także wśród przedstawicieli środowisk związanych z e-branżą. W wyniku dotychczas poczynionych ustaleń zaproponowano inne podejście do tematu, prawdopodobnie z obawy przed tym aby nie przeregulować rynku, który i tak w europie ma pod górkę. Warto w tym miejscu przypomnieć niedawną karę dla Google w wysokości 50 milionów euro, nałożoną przez francuski organ nadzorczy CNIL w związku z niezgodnym z przepisami pobieraniem danych użytkowników. Jednocześnie jednak najnowsze propozycje przewidują pewne odejścia od dotychczas prezentowanych założeń.

Zgodnie z nowym brzmieniem motywu 21 rozporządzenia przetwarzanie danych użytkowników jest dozwolone jeśli śledzenie aktywności w sieci jest niezbędne do świadczenia usług. Dla zwolenników ścisłej ochrony prywatności problematyczne może być to, że za niezbędne uznaje się również sytuacje, w której śledzenie użytkowników w celach reklamowych jest nieodłącznym elementem usług, których źródłem finansowania są reklamy. W praktyce oznacza to znaczne odstąpienie od standardów określonych przez RODO, które w przypadku przetwarzania opartego na zautomatyzowanej decyzji (reklama targetowana) stanowi, że osoba, której dane dotyczą powinna udzielić wyraźnej zgody na przetwarzanie jej danych w ten sposób. Aktualne brzmienie motywu 21 sugeruje, że zgoda użytkownika, w ogóle nie będzie potrzebna gdyż z jego strony wystarczająca jest akceptacja takiego przetwarzania. Może więc dojść do sytuacji gdy regulaminy usług będą zawierały postanowienia dotyczące handlu danymi. Wtedy nie tylko wątpliwe jest to, że użytkownik zapozna się z takimi postanowieniami ale obiektywnie nie będzie miał żadnej możliwości sprzeciwu lub negocjacji (choćby w celu ograniczenia) zasad przetwarzania jego danych.

Nowe obowiązki

Niezależnie od tego jak rozwiązana zostanie kwestia usługodawców, którzy swój biznes opierają o dozwolone śledzenie użytkowników projekt rozporządzenia jak dotąd niezmiennie wprowadza szereg kolejnych po RODO obowiązków związanych z przetwarzaniem danych osobowych użytkowników urządzeń końcowych (smartfonów, komputerów, tabletów) wśród, których należy wymienić zwiększenie wymogów co do uzyskania zgód od osób, których dane dotyczą oraz większą przejrzystość w zakresie zapisu plików cookies oraz ich wykorzystywaniem przez przedsiębiorców. Nadto, w przypadku telemarketerów konieczne będzie dostosowanie ich systemów do tego aby użytkownik jeszcze przed odbiorem połączenia wiedział, widząc numer (lub specjalny prefix), że osoba do niego dzwoniąca jest telemarketerem.

Projekt rozporządzenia przewiduje, że zasadniczo zakazane będzie przechwytywanie danych, tj. w szczególności słuchanie, czytanie, skanowanie, czy przechowywanie danych, a także monitorowanie odwiedzanych stron, interakcji z innymi użytkownikami. Na wykorzystanie takich danych do celów marketingowych podmiotów trzecich obligatoryjne będzie uzyskanie zgody użytkownika, która powinna spełniać cechy dobrowolności, świadomości i jednoznaczności. Nie ma tutaj w zasadzie nowości bowiem i na gruncie obowiązujących przepisów taka zgoda jest wymagana. W tym kontekście warto jednak zaznaczyć, że wykorzystujący dane będzie musiał przekazać użytkownikom jasną i wyraźną informacje o możliwości wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec wykorzystania danych do celów marketingowych.

Nadto, w przypadku przedsiębiorców świadczących usługi związane z komunikacją elektroniczną konieczne będzie zabezpieczenie połączeń tak aby zapewnić poufność wszelkich danych pozyskanych tą drogą. Chodzi także, o metadane takie jak lokalizacja, czas połączenia, odwiedzane strony internetowe, ruch na stronach, datę i godzinę połączeń oraz wszelkie treści przekazywane tą drogą.

Podobnie jak w na zasadach regulacji RODO, także gdy w treści komunikacji mogą pojawić się dane, których przetwarzanie wiąże się z wysokim ryzykiem naruszenia praw lub wolności użytkowników końcowych konieczne będzie przeprowadzenie oceny skutków dla bezpieczeństwa danych. W niektórych przypadkach konieczne będą konsultacje z organem nadzoru.

Pewnym ułatwieniem dla przedsiębiorców jest fakt, że projekt przewiduje najwięcej pracy po stronie producentów oprogramowania, w tym przeglądarek internetowych. Celem rozporządzenia jest umożliwienie użytkownikom określenia swoich preferencji co do prywatności już na poziomie ustawień przeglądarki internetowej. W przypadku przedsiębiorców, którzy w szerokim zakresie budują swój biznes w oparciu o dane pochodzące z urządzeń końcowych użytkowników konieczne więc będzie zabezpieczenie się przed wpływem rozporządzenia na rodzaj i ilość danych, których nie będą już w stanie otrzymać.Należy mieć na uwadze, że o ile danemu podmiotowi zależy na pozyskaniu pewnych kategorii danych od użytkowników ma on obowiązek organizacji swojego przedsiębiorstwa pod względem określenia procedur bezpieczeństwa i zapewnienia poufności danych. Poza tym projekt zmusza przedsiębiorców aby jeszcze przed uzyskaniem zgody od użytkownika poinformowali osobę, której dane dotyczą o możliwości dostosowania ustawień przeglądania strony w taki sposób aby zminimalizować zakres udostępnianych danych a także o celach i sposobach ich przetwarzania. Użytkownik powinien również zostać poinformowany o tym w jaki sposób może wycofać zgodę.

Warto mieć na uwadze, że niespełnienie obowiązków nałożonych przez rozporządzenie może mieć negatywne konsekwencje. Projekt przewiduje, że za naruszenie przepisów rozporządzenia organ nadzoru może nakładać kary. Maksymalna wysokość kary za niektóre z naruszeń może osiągnąć 20 mln euro lub 4% rocznego obrotu.

Wejście zmian w życie

Trwają konsultacje, które mają na celu wypracowanie optymalnego stanowiska dla prywatności użytkowników i rynku, który nie będzie rozwijał się równie dynamicznie jeśli przepisy utrudnią jego funkcjonowanie. Należy jednak mieć na uwadze, w którą stronę zmierzają regulacje europejskie i co może z tego wyniknąć dla bieżącej działalności tak aby z wyprzedzeniem dostosować przedsiębiorstwo do nowego otoczenia prawnego. Póki przepisy nie wejdą w życie warto podkreślić, że do danych użytkowników końcowych, które są danymi osobowymi stosuje się bezpośrednio przepisy RODO oraz przepisy krajowe.

radca prawny Michał Konieczny i apl. radcowski Patryk Hatak

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA