Odpowiedź na nowe metody śledzenia w internecie

Od uchwalenia dyrektywy o ePrivacy minęło już ponad 20 lat. W tym czasie pojawiły się nowe metody. Europejska Rada Ochrony Danych Osobowych przygotowała wytyczne, by odpowiedzieć na te wyzwania.

Publikacja: 23.11.2023 07:40

Odpowiedź na nowe metody śledzenia w internecie

Foto: Adobe Stock

Dyrektywa o prywatności i łączności elektronicznej w art. 5 ust. 3 zobowiązuje państwa członkowskie, by zagwarantowały w swoich systemach prawnych, iż przechowywanie informacji lub uzyskanie dostępu do tych już przechowywanych w urządzeniu abonenta lub użytkownika było dozwolone, wyłącznie jeśli wyraził on zgodę, i to po otrzymaniu jasnych i wyczerpujących informacji, m.in. o celach przetwarzania tych danych. Akt ten pochodzi z 2002 r. i początkowo odnosił się głównie do tzw. plików cookies (stąd każdorazowa konieczność udzielenia zgody na ich pobieranie) czy rozsyłania maili reklamowych.

Od tego jednak czasu śledzenie za pomocą cookies mocno straciło na znaczeniu (m.in. ze względu na słuszną krytykę ze strony krajowych organów ochrony danych osobowych), pojawiły się zaś nowe modele biznesowe, oparte na nowych sposobach. Dlatego EROD zdecydowała się na stworzenie wytycznych wskazujących, w jakich sytuacjach wspomniany przepis ma być stosowany.

Czytaj więcej

Szymon Sieniewicz: Ciasteczka na celowniku UODO

– Najwięksi gracze rynkowi w branży e-commerce dostrzegli jednak zagrożenia związane ze stosowaniem rozwiązań opartych na cookies, a także ich techniczne ograniczenia (np. brak możliwości stosowania cookies w aplikacjach mobilnych) i zaczęli poszukiwać nowych rozwiązań służących do śledzenia użytkowników – mówi radca prawny Jakub Wezgraj. – Wytyczne EROD mają „ujarzmić” te zapędy i ułatwić projektowanie nowych rozwiązań w zgodzie z przepisami prawa dotyczącymi ochrony prywatności. Wiele bowiem projektowanych obecnie rozwiązań, a nawet już używanych (w tym w Polsce), opiera się na zapewnieniu jak największej efektywności komercyjnej, a to niekoniecznie idzie w parze ze zgodnością z prawem. Inna kwestia, że technologie te niekiedy są tak konstruowane, że trudno zastosować do nich aktualne rozwiązania prawne. Proponowane przez EROD wytyczne uznaję za bardzo istotne dla całej branży e-commerce – dodaje ekspert.

– Technologia się zmienia i pojawiają się nowe metody śledzenia, rodzące ryzyko naruszenia poufności komunikacji, które 20 lat temu po prostu nie istniały – mówi adw. dr Paweł Litwiński. – Dlatego trzeba się pochylić nad techniczną stroną tego przepisu – dodaje.

O jakie nowe sposoby śledzenia chodzi? W dokumencie wskazano m.in. piksel śledzący, śledzenie oparte na adresie IP czy dane zbierane przez urządzenia oparte na technologii internetu – mówi Paweł Litwiński.

Przede wszystkim jednak w wytycznych wskazano cztery kryteria zastosowania art. 5 ust. 3 do danej technologii śledzącej. Pierwsze z nich to definicja „informacji” rozumianej szeroko, a więc zarówno jako dane osobowe, jak i nieosobowe.

Poza tym operacje na tych danych muszą dotyczyć „urządzenia końcowego”, które również zdefiniowano szeroko, jako każde posiadające połączenie pośrednie lub bezpośrednie z publicznie dostępną siecią telekomunikacyjną, niezależnie od sposobu połączenia. Operacja musi także dotyczyć zapewnienia publicznie dostępnej usługi komunikacji elektronicznej w „publicznej sieci komunikacyjnej”, która również została zdefiniowana szeroko – jako system łączności – niezależnie od tego, czy oparty na stałej infrastrukturze, i centralnym administrowaniu, czy nie.

Wreszcie operacja musi polegać na „uzyskaniu dostępu” lub „przechowywaniu” informacji. EROD podkreśla, że te działania nie muszą być prowadzone w jednym akcie komunikacji, ani nawet przez tę samą stronę, by przepis znalazł zastosowanie.

To wstępne wytyczne, z których krajowe urzędy już teraz mogą korzystać. Jednak do 28 grudnia EROD zbiera opinie w konsultacjach społecznych.

Dyrektywa o prywatności i łączności elektronicznej w art. 5 ust. 3 zobowiązuje państwa członkowskie, by zagwarantowały w swoich systemach prawnych, iż przechowywanie informacji lub uzyskanie dostępu do tych już przechowywanych w urządzeniu abonenta lub użytkownika było dozwolone, wyłącznie jeśli wyraził on zgodę, i to po otrzymaniu jasnych i wyczerpujących informacji, m.in. o celach przetwarzania tych danych. Akt ten pochodzi z 2002 r. i początkowo odnosił się głównie do tzw. plików cookies (stąd każdorazowa konieczność udzielenia zgody na ich pobieranie) czy rozsyłania maili reklamowych.

Pozostało 83% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara